CN106686589B - 一种实现VoWiFi业务的方法、系统及AAA服务器 - Google Patents
一种实现VoWiFi业务的方法、系统及AAA服务器 Download PDFInfo
- Publication number
- CN106686589B CN106686589B CN201510753804.3A CN201510753804A CN106686589B CN 106686589 B CN106686589 B CN 106686589B CN 201510753804 A CN201510753804 A CN 201510753804A CN 106686589 B CN106686589 B CN 106686589B
- Authority
- CN
- China
- Prior art keywords
- aaa server
- message
- authentication
- eap
- epdg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Abstract
本发明公开了一种实现VoWiFi业务的方法、系统及AAA服务器,其中的方法包括:AAA服务器对UE发起的EAP‑AKA认证请求进行验证,如验证通过,则向UE返回第一认证成功消息并保存UE的EAP‑AKA鉴权认证成功信息;AAA服务器对UE发送的IKE‑Auther‑Request消息进行验证,如果AAA服务器保存有UE的EAP‑AKA鉴权认证成功信息,则验证通过。本发明的方法、系统及AAA服务器,可以避免对WiFi数据流和VoWiFi语音数据流进行二次计费的问题和WiFi业务流两次通过P‑GW设备,通过在3GPP AAA上保存用户在授信WiFi接入认证时的EAP‑AKA鉴权认证信息,在进行S2b认证时不再进行第二次EAP‑AKA认证,有效减少用户认证时延和系统计算量。
Description
技术领域
本发明涉及WIFI语音业务技术领域,尤其涉及一种实现VoWiFi业务的方法、系统及AAA服务器。
背景技术
3GPP标准中,对于WiFi与LTE的融合组网有S2a和S2b两种方案,其中S2a针对授信的WiFi,一般空口采用加密方式,用于公共WiFi网络;而S2b针对非授信的WiFi,在空口不加密或者使用用户级加密方式,用于私有WiFi网络。在标准制定之初,由于S2b方案要求终端支持对数据流进行IPSce封装,没有终端支持该方案;随着苹果IOS8的推出,支持了仅对VoWiFi(使用WiFi提供语音服务)业务的数据进行IPSec封装,终端产业链开始对S2b方案的支持。S2b标准主要针对非授信的WiFi网络,对于在空口加密授信公共WiFi网络如何实现未做定义,可以考虑“Portal认证(用户名+密码)+S2b”方案、“基本S2a(接入EPC场景)+S2b”方案。其中,“Portal认证(用户名+密码)+S2b”方案存在对用户的WiFi数据流和VoWiFi语音数据流进行二次计费的问题,“基本S2a(接入EPC场景)+S2b”方案存在用户数据流两次通过P-GW设备,会造成网络资源浪费的问题。
发明内容
有鉴于此,本发明要解决的一个技术问题是一种实现VoWiFi业务的方法、系统及AAA服务器。
一种实现VoWiFi业务的方法,包括:AAA服务器对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息;所述AAA服务器对所述UE发送的IKE-Auther-Request消息进行验证,如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务。
根据本发明的一个实施例,进一步的,所述AAA服务器对UE发起的EAP-AKA认证请求进行验证包括:所述UE关联WIFI网络的AP,向所述AAA服务器发起EAP-AKA认证请求;所述AAA服务器向所述UE返回随机数;所述UE将所述随机数带入EAP-AKA算法进行计算,将计算结果返回到所述AAA服务器;所述AAA服务器验证所述计算结果的准确性。
根据本发明的一个实施例,进一步的,所述如验证通过、则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息包括:所述AAA服务器验证所述计算结果是否准确,如果是,则认证成功;所述AAA服务器判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果;所述AAA服务器向所述UE返回第一认证成功消息。
根据本发明的一个实施例,进一步的,包括:所述UE接收到所述AAA服务器返回的第一认证成功消息后发出DHCP Discover广播,请求获取IP地址;TWAG收到DHCP Discover广播后向UE发送DHCP Offere消息,对所述UE分配IP地址;所述UE向所述TWAG发DHCPRequest消息,请求使用所述TWAG分配的IP地址;所述TWAG向所述UE回DHCP ACK消息进行确认;所述UE将分配的IP地址作为Local IP地址。
根据本发明的一个实施例,进一步的,所述AAA服务器对所述UE发送的IKE-Auther-Request消息进行验证包括:在所述UE开始进行VoWiFi业务时,向ePDG发起IKE-SA-Init消息,进行参数协商,包括:加密算法、秘钥算法交换算法协商;所述ePDG向所述UE返回IKE-SA-Init消息,携带确认的参数,包括:加密算法、秘钥算法交换算法;所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息。
根据本发明的一个实施例,进一步的,所述如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息包括:所述AAA服务器判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功;所述AAA服务器向ePDG回EAP Answer消息,指示所述UE鉴权已通过;所述ePDG向所述UE发送IKE-Auther-Answer消息,指示所述UE的EAP认证成功。
根据本发明的一个实施例,进一步的,在所述ePDG向所述UE发送IKE-Auther-Answer消息后包括::所述UE向所述ePDG发送IKE-Auth-Request消息,请求IP地址;所述ePDG向P-GW发起GTPv2 Create Session Request消息,请求建立GTP隧道;所述P-GW向所述ePDG返回GTPv2 Create Session Response消息,携带分配的IP地址;所述ePDG向所述UE回IKE-Auth-Answer消息,将所述P-GW分配的IP地址发送给所述UE,所述UE将此IP地址作为所述UE的Remote IP地址。
根据本发明的一个实施例,进一步的,在所述UE将此IP地址作为所述UE的RemoteIP地址后进行下述的流程:所述UE向所述ePDG发送IKE-Auther-Request消息,协商数据IPSec隧道信息;所述ePDG向所述UE返回IKE-Auther-Answer消息,数据IPSec隧道信息协商完成。
根据本发明的一个实施例,进一步的,所述UE结束VoWiFi业务并下线的流程包括:所述UE发送EAPoL_Logoff消息至AP/AC;所述AP/AC通过Accounting-Request消息触发Session Termination过程;所述TWAG终结计费消息并向所述AP/AC返回Accounting-Response消息,所述AP/AC释放WiFi资源;所述TWAG向所述AAA服务器发送SessionTermination Request消息;所述AAA服务器向所述TWAG返回Session Termination Answer消息;所述AAA服务器向P-GW发送Abort Session Request消息;所述P-GW向ePDG发DeleteBearer Request消息,删除承载;所述ePDG向所述P-GW返回Delete Bearer Response消息,承载删除完成;所述P-GW向所述AAA服务器返回Abort Session Answer消息;所述ePDG向所述AAA服务器发送Session Termination Request消息;所述AAA服务器向所述ePDG返回Session Termination Answer消息;所述ePDG向终端发Information Request消息,删除IPSec隧道;所述UE返回Information Request消息,IPSec隧道删除完成。
一种实现VoWiFi业务的系统,包括UE和AAA服务器,所述AAA服务器,用于对所述UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息;所述AAA服务器,还用于对所述UE发送的IKE-Auther-Request消息进行验证,如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务。
根据本发明的一个实施例,进一步的,所述UE关联WIFI网络的AP,向所述AAA服务器发起EAP-AKA认证请求;所述AAA服务器向所述UE返回随机数;所述UE将所述随机数带入EAP-AKA算法进行计算,将计算结果返回到所述AAA服务器;所述AAA服务器验证所述计算结果的准确性。
根据本发明的一个实施例,进一步的,所述AAA服务器验证所述计算结果是否准确,如果是,则认证成功,判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果,向所述UE返回第一认证成功消息。
根据本发明的一个实施例,进一步的,还包括ePDG:在所述UE开始进行VoWiFi业务时,向所述ePDG发起IKE-SA-Init消息,进行参数协商,包括:加密算法、秘钥算法交换算法协商;所述ePDG向所述UE返回IKE-SA-Init消息,携带确认的参数,包括:加密算法、秘钥算法交换算法;所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息。
根据本发明的一个实施例,进一步的,所述AAA服务器,还用于判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功;所述AAA服务器向ePDG回EAPAnswer消息,指示所述UE鉴权已通过;所述ePDG向所述UE发送IKE-Auther-Answer消息,指示所述UE的EAP认证成功。
根据本发明的一个实施例,进一步的,还包括:AP/AC、TWAG、P-GW;在所述UE结束VoWiFi业务并下线时,所述UE发送EAPoL_Logoff消息至所述AP/AC;所述AP/AC通过Accounting-Request消息触发Session Termination过程;所述TWAG终结计费消息并向所述AP/AC返回Accounting-Response消息,所述AP/AC释放WiFi资源;所述TWAG向所述AAA服务器发送Session Termination Request消息;所述AAA服务器向所述TWAG返回SessionTermination Answer消息;所述AAA服务器向P-GW发送Abort Session Request消息;所述P-GW向ePDG发Delete Bearer Request消息,删除承载;所述ePDG向所述P-GW返回DeleteBearer Response消息,承载删除完成;所述P-GW向所述AAA服务器返回Abort SessionAnswer消息;所述ePDG向所述AAA服务器发送Session Termination Request消息;所述AAA服务器向所述ePDG返回Session Termination Answer消息;所述ePDG向终端发Information Request消息,删除IPSec隧道;所述UE返回Information Request消息,IPSec隧道删除完成。
一种AAA服务器,包括:第一认证单元,用于对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息;认证信息存储单元,用于保存所述UE的EAP-AKA鉴权认证成功信息;第二认证单元,用于对所述UE发送的IKE-Auther-Request消息进行验证,如果所述认证信息存储单元保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务。
根据本发明的一个实施例,进一步的,所述第一认证单元,还用于接收到所述UE关联WIFI网络的AP时发起的EAP-AKA认证请求,向所述UE返回随机数;接收到所述UE将所述随机数带入EAP-AKA算法进行计算获得的计算结果,验证所述计算结果的准确性。
根据本发明的一个实施例,进一步的,所述第一认证单元,还用于验证所述计算结果是否准确,如果是,则认证成功,向所述UE返回第一认证成功消息;所述认证信息存储单元,还用于判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果。
根据本发明的一个实施例,进一步的,所述第二认证单元,用于接收所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息;判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功,向ePDG回EAP Answer消息,指示所述UE鉴权已通过。
本发明的实现VoWiFi业务的方法、系统及AAA服务器,可以避免对用户的WiFi数据流和VoWiFi语音数据流进行二次计费的问题和WiFi业务流两次通过P-GW设备所造成的网络资源浪费问题,实现了授信WiFi公共网络下基于S2b方案的VoWiFi业务,能够在不改变S2a和S2b基本架构和运营商现有AP/AC的WiFi接入网元的前提下,通过在3GPP AAA上保存用户在授信WiFi接入认证时的EAP-AKA鉴权认证信息,在用户进行S2b认证时不再进行第二次EAP-AKA认证,从而简化了认证流程,有效减少用户认证时延,降低终端及3GPP AAA服务器计算量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为根据本发明的实现VoWiFi业务的方法的一个实施例的流程示意图;
图2为根据本发明的实现VoWiFi业务的方法的一个实施例中的认证流程示意图;
图3为根据本发明的实现VoWiFi业务的方法的一个实施例中的用户下线流程示意图;
图4为根据本发明的实现VoWiFi业务的方法的一个实施例中的用户IP地址获取流程示意图;
图5为根据本发明的实现VoWiFi业务的系统的一个实施例的网络结构示意图;
图6为根据本发明的AAA服务器的一个实施例的模块结构示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。下面结合各个图和实施例对本发明的技术方案进行多方面的描述。
下文中的“第一”、“第二”等为描述上相区别,并没有其它特殊的含义。
图1为根据本发明的实现VoWiFi业务的方法的一个实施例的流程示意图,如图1所示:
步骤101,AAA服务器(验证、授权和记账服务器,Authentication、Authorization、Accounting server)对UE(用户设备,User Equipment)发起的EAP-AKA(可扩展认证和密钥协商协议)认证请求进行验证,如验证通过,则向UE返回第一认证成功消息并保存UE的EAP-AKA鉴权认证成功信息。
步骤102,AAA服务器对UE发送的IKE-Auther-Request(IKE为密钥交换协议)消息进行验证,如果AAA服务器保存有UE的EAP-AKA鉴权认证成功信息,则验证通过,并向UE返回第二认证成功消息,使UE能够进行VoWiFi业务。
本发明的实现VoWiFi业务的方法,采用“S2a的NSWO(非无缝分流)+S2b”方案,避免对用户的WiFi数据流和VoWiFi语音数据流进行二次计费的问题和WiFi业务流两次通过P-GW设备所造成的网络资源浪费问题,实现了授信WiFi公共网络下基于S2b方案的VoWiFi业务。
图2为根据本发明的实现VoWiFi业务的方法的一个实施例中的认证流程示意图,如图2所示:
步骤201,UE关联WIFI网络的AP(接入点,AccessPoint),向AAA服务器发起EAP-AKA认证请求。AAA服务器的功能也可以由HSS(归属用户服务器,Home Subscriber Server)来实现。
步骤202,AAA服务器向UE返回随机数。
步骤203,UE将随机数带入EAP-AKA算法进行计算,算出结果。
步骤204,UE将计算结果返回到AAA服务器。
步骤205,AAA服务器验证计算结果是否准确。
步骤206,如果计算结果准确,AAA服务器判断该用户同时已签约了VoWiFi业务,则保存其EAP-AKA鉴权结果,并向UE返回认证成功消息,S2a认证成功。
步骤207,用户打开UE上的VoWiFi使能开关,UE向ePDG发起IKE-SA-Init消息,协商加密算法、秘钥算法交换算法等,使用IKE协议。
步骤208,ePDG(演进的分组数据网关)向终端返回IKE-SA-Init消息,加密算法、秘钥算法交换算法协商完成。
步骤209,UE向AAA服务器发送IKE-Auther-Request消息,携带IPSec的SA信息、APN信息、NAI信息等。
步骤210,AAA服务器根据用户属性,查找用户S2b鉴权处理模块,发现其EAP-AKA认证已通过。
步骤211,3GPP AAA服务器向ePDG回EAP Answer(EAP为扩展认证协议)消息,指示用户鉴权已通过。
步骤212,ePDG向UE回IKE-Auther-Answer消息,指示EAP认证成功。
步骤213,UE向ePDG发起IKE-Auther-Request消息,协商IPSec安装联盟信息。
步骤214,ePDG向UE回IKE-Auther-Answer消息,IPSec安装联盟信息协商完成。
UE通过ePDG接入核心网,UE和ePDG之间采用IPSec隧道承载数据,使得不可信网络的网元无法感知数据传输,从而保证数据传输的安全性。此时,SIM卡将被用于认证,使入侵者无法访问ePDG和核心网。
图3为根据本发明的实现VoWiFi业务的方法的一个实施例中的用户下线流程示意图,如图3所示:
步骤301,UE发送EAPoL_Logoff消息给AP/AC(无线接入点或接入控制器)。
步骤302,AP/AC通过Accounting-Request(stop)消息触发Session Termination过程。
步骤303,TWAG(可信WLAN接入网关)终结计费消息,回Accounting-Response,AP/AC释放WiFi资源。
步骤304,TWAG向3GPP AAA服务器发Session Termination Request消息。
步骤305,3GPP AAA服务器返回Session Termination Answer消息。
步骤306,3GPP AAA服务器向P-GW(PDN GateWay,PDN网关)发送Abort SessionRequest消息,发起S2b下线。
步骤307,P-GW向ePDG(演进的分组数据网关)发送Delete Bearer Request消息,删除承载。
步骤308,ePDG返回Delete Bearer Response消息,承载删除完成。
步骤309,P-GW向3GPP AAA服务器回Abort Session Answer消息。
步骤310,ePDG向3GPP AAA服务器发Session Termination Request消息。
步骤311,3GPP AAA服务器回Session Termination Answer消息。
步骤312,ePDG向终端发Information Request消息,删除IPSec隧道。
步骤313,终端回Information Request消息,IPSec隧道删除完成。
图4为根据本发明的实现VoWiFi业务的方法的一个实施例中的用户IP地址获取流程示意图;如图4所示:
步骤401,UE完成S2a认证(步骤201-206)后,发出DHCP Discover广播要求获取IP地址。
步骤402,TWAG收到后向UE发送DHCP Offere,分配IP地址。
步骤403,UE向TWAG发DHCP Request,要求使用TWAG分配的IP地址。
步骤404,TWAG向UE回DHCP ACK确认,此地址作为UE的Local IP。
步骤405,UE使用Local IP通过ePDG与3GPP AAA/HSS进行S2b认证(具体流程见步骤207-212)。
步骤406,UE向ePDG发送IKE-Auth-Request,请求IP地址。
步骤407,ePDG向P-GW发起GTPv2Create Session Request消息,请求建立GTP隧道。
步骤408,P-GW回GTPv2Create Session Response消息,携带分配的IP地址。
步骤409,ePDG向UE回IKE-Auth-Answer,将P-GW分配的IP地址告知UE,此地址作为UE的Remote IP。
上述实施例中提供的实现VoWiFi业务的方法,在不改变S2a和S2b基本架构和运营商现有AP/AC的WiFi接入网元的前提下,通过3GPP AAA在授信WiFi接入认证时的EAP-AKA鉴权认证信息,在用户进行S2b认证时不再进行第二次EAP-AKA认证,从而简化了认证流程,有效减少用户认证时延,降低终端及3GPP AAA服务器计算量。
如图5所示,本发明提供一种实现VoWiFi业务的系统,包括UE51和AAA服务器52,AAA服务器52对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向UE返回第一认证成功消息并保存UE的EAP-AKA鉴权认证成功信息。AAA服务器52对UE发送的IKE-Auther-Request消息进行验证,如果AAA服务器保存有UE的EAP-AKA鉴权认证成功信息,则验证通过,并向UE返回第二认证成功消息,使UE能够进行VoWiFi业务。
在一个实施例中,UE51关联WIFI网络的AP,向AAA服务器52发起EAP-AKA认证请求。AAA服务器52向UE51返回随机数,UE51将随机数带入EAP-AKA算法进行计算,将计算结果返回到AAA服务器52,AAA服务器52验证计算结果的准确性。
AAA服务器52验证计算结果是否准确,如果是,则认证成功,判断UE51是否签约了VoWiFi业务,如果是,则保存UE51的EAP-AKA鉴权结果,向UE51返回第一认证成功消息。
在UE51开始进行VoWiFi业务时,向ePDG55发起IKE-SA-Init消息,进行参数协商,包括:加密算法、秘钥算法交换算法协商。ePDG55向UE51返回IKE-SA-Init消息,携带确认的参数,包括:加密算法、秘钥算法交换算法。UE51向AAA服务器52发送IKE-Auther-Request消息,IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息。
AAA服务器52判断是否保存有UE51的EAP-AKA鉴权认证成功信息,如果是,则验证成功。AAA服务器52向ePDG55回EAPAnswer消息,指示UE51鉴权已通过。ePDG55向UE51发送IKE-Auther-Answer消息,指示UE51的EAP认证成功。
在UE51结束VoWiFi业务并下线时,UE51发送EAPoL_Logoff消息至AP/AC53。AP/AC53通过Accounting-Request消息触发Session Termination过程。TWAG54终结计费消息并向AP/AC53返回Accounting-Response消息,AP/AC3释放WiFi资源。TWAG54向AAA服务器52发送Session Termination Request消息,AAA服务器52向TWAG54返回SessionTermination Answer消息。
AAA服务器52向P-GW56发送Abort Session Request消息,P-GW56向ePDG55发Delete Bearer Request消息,删除承载。ePDG55向P-GW56返回Delete Bearer Response消息,承载删除完成。
P-GW56向AAA服务器52返回Abort Session Response消息,ePDG55向AAA服务器52发送Session Termination Request消息,AAA服务器52向ePDG返回Session TerminationAnswer消息,ePDG55向终端发Information Request消息,删除IPSec隧道。UE51返回Information Request消息,IPSec隧道删除完成。
上述实施例中实现VoWiFi业务的系统,基于S2a的NSWO(非无缝分流)方案和S2b方案,用户首先从授信WiFi网络接入,经AP/AC、BRAS、TWAG到3GPP AAA进行S2a认证;S2a认证通过后,用户数据流采用NSWO方案经AP/AC、BRAS、TWAG直接进入Internet;用户使用VoWiFi业务时,认证数据流经AP/AC、BRAS、TWAG、Internet、ePDG到3GPP AAA进行S2b认证;S2b认证通过后,用户数据流经AP/AC、BRAS、TWAG、Internet、ePDG、P-GW到IMS网络,实现VoWiFi业务。
如图6所示,本发明提供一种AAA服务器。第一认证单元61对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向UE返回第一认证成功消息。认证信息存储单元62保存UE的EAP-AKA鉴权认证成功信息,第二认证单元63对UE发送的IKE-Auther-Request消息进行验证,如果认证信息存储单元保存有UE的EAP-AKA鉴权认证成功信息,则验证通过,并向UE返回第二认证成功消息,使UE能够进行VoWiFi业务。
在一个实施例中,第一认证单元61接收到UE关联WIFI网络的AP时发起的EAP-AKA认证请求,向UE返回随机数,接收到UE将随机数带入EAP-AKA算法进行计算获得的计算结果,验证计算结果的准确性。
第一认证单元61验证计算结果是否准确,如果是,则认证成功,向UE返回第一认证成功消息。认证信息存储单元62判断UE是否签约了VoWiFi业务,如果是,则保存UE的EAP-AKA鉴权结果。
第二认证单元63接收UE向AAA服务器发送IKE-Auther-Request消息,IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息等,判断是否保存有UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功,向ePDG回EAP Answer消息,指示UE鉴权已通过。
上述实施例中提供的实现VoWiFi业务的方法、系统及AAA服务器,采用“S2a的NSWO(非无缝分流)+S2b”方案架构,避免对用户的WiFi数据流和VoWiFi语音数据流进行二次计费的问题和WiFi业务流两次通过P-GW设备所造成的网络资源浪费问题,实现了授信WiFi公共网络下基于S2b方案的VoWiFi业务。
上述实施例中提供的实现VoWiFi业务的方法、系统及AAA服务器,能够在不改变S2a和S2b基本架构和运营商现有AP/AC的WiFi接入网元的前提下,通过在3GPP AAA上保存用户在授信WiFi接入认证时的EAP-AKA鉴权认证信息,在用户进行S2b认证时不再进行第二次EAP-AKA认证,从而简化了认证流程,有效减少用户认证时延,降低终端及3GPP AAA服务器计算量。
可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (18)
1.一种实现使用WiFi提供语音服务VoWiFi业务的方法,其特征在于,包括:
AAA服务器对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息;
所述AAA服务器对所述UE发送的IKE-Auther-Request消息进行验证;
如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务;
其中,所述AAA服务器向演进的分组数据网关ePDG发送EAP Answer消息,指示所述UE鉴权已通过;所述ePDG向所述UE发送IKE-Auther-Answer消息,指示所述UE的EAP认证成功;
所述UE向所述ePDG发送IKE-Auth-Request消息,请求IP地址;所述ePDG向PDN网关P-GW发起GTPv2 Create Session Request消息,请求建立GTP隧道;所述P-GW向所述ePDG返回GTPv2 Create Session Response消息,携带分配的IP地址;所述ePDG向所述UE回IKE-Auth-Answer消息,将所述P-GW分配的IP地址发送给所述UE,所述UE将此IP地址作为所述UE的Remote IP地址。
2.如权利要求1所述的方法,其特征在于,所述AAA服务器对UE发起的EAP-AKA认证请求进行验证包括:
所述UE关联WIFI网络的AP,向所述AAA服务器发起EAP-AKA认证请求;
所述AAA服务器向所述UE返回随机数;
所述UE将所述随机数带入EAP-AKA算法进行计算,将计算结果返回到所述AAA服务器;
所述AAA服务器验证所述计算结果的准确性。
3.如权利要求2所述的方法,其特征在于,所述如验证通过、则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息包括:
所述AAA服务器验证所述计算结果是否准确,如果是,则认证成功;
所述AAA服务器判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果;
所述AAA服务器向所述UE返回第一认证成功消息。
4.如权利要求3所述的方法,其特征在于,包括:
所述UE接收到所述AAA服务器返回的第一认证成功消息后发出DHCP Discover广播,请求获取IP地址;
可信WLAN接入网关TWAG收到DHCP Discover广播后向UE发送DHCP Offere消息,对所述UE分配IP地址;
所述UE向所述TWAG发DHCP Request消息,请求使用所述TWAG分配的IP地址;
所述TWAG向所述UE回DHCP ACK消息进行确认;
所述UE将分配的IP地址作为LocalIP地址。
5.如权利要求1或2所述的方法,其特征在于,所述AAA服务器对所述UE发送的IKE-Auther-Request消息进行验证包括:
在所述UE开始进行VoWiFi业务时,向ePDG发起IKE-SA-Init消息,进行参数协商,包括:加密算法、秘钥算法交换算法协商;
所述ePDG向所述UE返回IKE-SA-Init消息,携带确认的参数,包括:加密算法、秘钥算法交换算法;
所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息。
6.如权利要求5所述的方法,其特征在于,所述如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息包括:
所述AAA服务器判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功。
7.如权利要求6所述的方法,其特征在于,在所述UE将此IP地址作为所述UE的RemoteIP地址后进行下述的流程:
所述UE向所述ePDG发送IKE-Auther-Request消息,协商数据IPSec隧道信息;
所述ePDG向所述UE返回IKE-Auther-Answer消息,数据IPSec隧道信息协商完成。
8.如权利要求7所述的方法,其特征在于,所述UE结束VoWiFi业务并下线的流程包括:
所述UE发送EAPoL_Logoff消息至AP/AC;
所述AP/AC通过Accounting-Request消息触发Session Termination过程;
TWAG终结计费消息并向所述AP/AC返回Accounting-Response消息,所述AP/AC释放WiFi资源;
所述TWAG向所述AAA服务器发送Session Termination Request消息;
所述AAA服务器向所述TWAG返回Session Termination Answer消息;
所述AAA服务器向P-GW发送Abort Session Request消息;
所述P-GW向ePDG发Delete Bearer Request消息,删除承载;
所述ePDG向所述P-GW返回Delete Bearer Response消息,承载删除完成;
所述P-GW向所述AAA服务器返回Abort Session Answer消息;
所述ePDG向所述AAA服务器发送Session Termination Request消息;
所述AAA服务器向所述ePDG返回Session Termination Answer消息;
所述ePDG向终端发Information Request消息,删除IPSec隧道;
所述UE返回Information Request消息,IPSec隧道删除完成。
9.一种实现VoWiFi业务的系统,包括UE、ePDG和AAA服务器,其特征在于:
所述AAA服务器,用于对所述UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息并保存所述UE的EAP-AKA鉴权认证成功信息;
所述AAA服务器,还用于对所述UE发送的IKE-Auther-Request消息进行验证,如果所述AAA服务器保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务;
其中,所述AAA服务器向ePDG发送EAP Answer消息,指示所述UE鉴权已通过;所述ePDG向所述UE发送IKE-Auther-Answer消息,指示所述UE的EAP认证成功;所述UE向所述ePDG发送IKE-Auth-Request消息,请求IP地址;所述ePDG向P-GW发起GTPv2 Create SessionRequest消息,请求建立GTP隧道;所述P-GW向所述ePDG返回GTPv2 Create SessionResponse消息,携带分配的IP地址;所述ePDG向所述UE回IKE-Auth-Answer消息,将所述P-GW分配的IP地址发送给所述UE,所述UE将此IP地址作为所述UE的Remote IP地址。
10.如权利要求9所述的系统,其特征在于:
所述UE关联WIFI网络的AP,向所述AAA服务器发起EAP-AKA认证请求;所述AAA服务器向所述UE返回随机数;所述UE将所述随机数带入EAP-AKA算法进行计算,将计算结果返回到所述AAA服务器;所述AAA服务器验证所述计算结果的准确性。
11.如权利要求10所述的系统,其特征在于:
所述AAA服务器验证所述计算结果是否准确,如果是,则认证成功,判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果,向所述UE返回第一认证成功消息。
12.如权利要求9或10所述的系统,其特征在于,
在所述UE开始进行VoWiFi业务时,向所述ePDG发起IKE-SA-Init消息,进行参数协商,包括:加密算法、秘钥算法交换算法协商;所述ePDG向所述UE返回IKE-SA-Init消息,携带确认的参数,包括:加密算法、秘钥算法交换算法;
所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息。
13.如权利要求12所述的系统,其特征在于:
所述AAA服务器,还用于判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功;所述AAA服务器向ePDG回EAP Answer消息,指示所述UE鉴权已通过;
所述ePDG向所述UE发送IKE-Auther-Answer消息,指示所述UE的EAP认证成功。
14.如权利要求13所述的系统,其特征在于,还包括:AP/AC、TWAG、P-GW;
在所述UE结束VoWiFi业务并下线时,所述UE发送EAPoL_Logoff消息至所述AP/AC;所述AP/AC通过Accounting-Request消息触发Session Termination过程;所述TWAG终结计费消息并向所述AP/AC返回Accounting-Response消息,所述AP/AC释放WiFi资源;所述TWAG向所述AAA服务器发送Session Termination Request消息;所述AAA服务器向所述TWAG返回Session
Termination Answer消息;所述AAA服务器向P-GW发送Abort Session Request消息;
所述P-GW向ePDG发Delete Bearer Request消息,删除承载;所述ePDG向所述P-GW返回Delete Bearer Response消息,承载删除完成;所述P-GW向所述AAA服务器返回AbortSession Answer消息;所述ePDG向所述AAA服务器发送Session Termination Request消息;所述AAA服务器向所述ePDG返回Session Termination Answer消息;所述ePDG向终端发Information Request消息,删除IPSec隧道;所述UE返回Information Request消息,IPSec隧道删除完成。
15.一种AAA服务器,其特征在于,包括:
第一认证单元,用于对UE发起的EAP-AKA认证请求进行验证,如验证通过,则向所述UE返回第一认证成功消息;
认证信息存储单元,用于保存所述UE的EAP-AKA鉴权认证成功信息;
第二认证单元,用于对所述UE发送的IKE-Auther-Request消息进行验证,如果所述认证信息存储单元保存有所述UE的EAP-AKA鉴权认证成功信息,则验证通过,并向所述UE返回第二认证成功消息,使所述UE能够进行VoWiFi业务;
其中,所述第二认证单元,用于如果验证成功,向ePDG回EAP Answer消息,指示所述UE鉴权已通过;
所述UE向所述ePDG发送IKE-Auth-Request消息,请求IP地址;所述ePDG向P-GW发起GTPv2 Create Session Request消息,请求建立GTP隧道;所述P-GW向所述ePDG返回GTPv2Create Session Response消息,携带分配的IP地址;所述ePDG向所述UE回IKE-Auth-Answer消息,将所述P-GW分配的IP地址发送给所述UE,所述UE将此IP地址作为所述UE的Remote IP地址。
16.如权利要求15所述的AAA服务器,其特征在于:
所述第一认证单元,还用于接收到所述UE关联WIFI网络的AP时发起的EAP-AKA认证请求,向所述UE返回随机数;接收到所述UE将所述随机数带入EAP-AKA算法进行计算获得的计算结果,验证所述计算结果的准确性。
17.如权利要求16所述的AAA服务器,其特征在于:
所述第一认证单元,还用于验证所述计算结果是否准确,如果是,则认证成功,向所述UE返回第一认证成功消息;
所述认证信息存储单元,还用于判断所述UE是否签约了VoWiFi业务,如果是,则保存所述UE的EAP-AKA鉴权结果。
18.如权利要求17所述的AAA服务器,其特征在于:
所述第二认证单元,用于接收所述UE向所述AAA服务器发送所述IKE-Auther-Request消息,所述IKE-Auther-Request消息携带的信息包括:IPSec的SA信息、APN信息、NAI信息;判断是否保存有所述UE的EAP-AKA鉴权认证成功信息,如果是,则验证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510753804.3A CN106686589B (zh) | 2015-11-09 | 2015-11-09 | 一种实现VoWiFi业务的方法、系统及AAA服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510753804.3A CN106686589B (zh) | 2015-11-09 | 2015-11-09 | 一种实现VoWiFi业务的方法、系统及AAA服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106686589A CN106686589A (zh) | 2017-05-17 |
| CN106686589B true CN106686589B (zh) | 2020-04-28 |
Family
ID=58863959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510753804.3A Active CN106686589B (zh) | 2015-11-09 | 2015-11-09 | 一种实现VoWiFi业务的方法、系统及AAA服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106686589B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109428852B (zh) * | 2017-07-18 | 2023-09-15 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| CN108134678B (zh) | 2017-12-04 | 2021-01-08 | Tcl移动通信科技(宁波)有限公司 | 基于SMS的VoWIFI配置方法及终端设备 |
| CN111163493B (zh) * | 2018-11-08 | 2022-08-19 | 中国电信股份有限公司 | 通信配置方法、系统和相关设备 |
| CN111263381B (zh) * | 2018-12-03 | 2023-04-07 | 中国电信股份有限公司 | 业务处理方法、装置、系统、终端和计算机可读存储介质 |
| CN110430573A (zh) * | 2019-07-31 | 2019-11-08 | 维沃移动通信有限公司 | 一种信息认证方法、电子设备及网络侧设备 |
| CN113873491A (zh) * | 2021-10-29 | 2021-12-31 | 中国电信股份有限公司 | 通信装置、系统和计算机可读存储介质 |
| CN114401513B (zh) * | 2021-12-27 | 2023-10-20 | 中国电信股份有限公司 | 一种终端设备的权限认证方法及装置 |
| CN114338157B (zh) * | 2021-12-28 | 2023-11-07 | 中国电信股份有限公司 | 终端业务鉴权方法、装置、设备、系统及介质 |
| CN115996380B (zh) * | 2023-03-22 | 2023-06-20 | 北京首信科技股份有限公司 | 一种网络柔性管控的方法和设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101606372A (zh) * | 2007-02-06 | 2009-12-16 | 诺基亚公司 | 支持无uicc呼叫 |
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| CN102223634A (zh) * | 2010-04-15 | 2011-10-19 | 中兴通讯股份有限公司 | 一种用户终端接入互联网方式的控制方法及装置 |
| CN102273170A (zh) * | 2009-01-05 | 2011-12-07 | 诺基亚西门子通信公司 | 针对接入认证进行的可信性判定 |
| CN103095860A (zh) * | 2011-11-07 | 2013-05-08 | 中兴通讯股份有限公司 | 用户地址分配方法及系统 |
| CN103299578A (zh) * | 2011-01-14 | 2013-09-11 | 诺基亚西门子通信公司 | 通过非受信任网络的外部认证支持 |
-
2015
- 2015-11-09 CN CN201510753804.3A patent/CN106686589B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101606372A (zh) * | 2007-02-06 | 2009-12-16 | 诺基亚公司 | 支持无uicc呼叫 |
| CN102273170A (zh) * | 2009-01-05 | 2011-12-07 | 诺基亚西门子通信公司 | 针对接入认证进行的可信性判定 |
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| CN102223634A (zh) * | 2010-04-15 | 2011-10-19 | 中兴通讯股份有限公司 | 一种用户终端接入互联网方式的控制方法及装置 |
| CN103299578A (zh) * | 2011-01-14 | 2013-09-11 | 诺基亚西门子通信公司 | 通过非受信任网络的外部认证支持 |
| CN103095860A (zh) * | 2011-11-07 | 2013-05-08 | 中兴通讯股份有限公司 | 用户地址分配方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Editorial corrections for 33.402;Huawei等;《3GPP TSG SA WG3 Security - S3#54》;20090123;全文 * |
| S2b Attach Procedure;Azaire Networks;《3GPP TSG SA WG2 Architecture — S2#56b Rel-8 Ad-hoc》;20070215;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106686589A (zh) | 2017-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106686589B (zh) | 一种实现VoWiFi业务的方法、系统及AAA服务器 | |
| US8769647B2 (en) | Method and system for accessing 3rd generation network | |
| US10425448B2 (en) | End-to-end data protection | |
| KR102390380B1 (ko) | 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원 | |
| US9350734B1 (en) | Method and system for managing a flood of data-connection requests | |
| US20120264402A1 (en) | Method of and system for utilizing a first network authentication result for a second network | |
| EP1672945A1 (en) | UMTS-WLAN interworking system and authentication method therefor | |
| WO2018171863A1 (en) | Enhanced registration procedure in a mobile system supporting network slicing | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| CN103597779A (zh) | 用于为用户实体提供网络接入的方法及装置 | |
| JP2007525731A (ja) | 既存のwlanパブリックアクセス基盤に対してsimベースのローミングを提供する方法及びシステム | |
| WO2006135217A1 (en) | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system | |
| WO2015196396A1 (zh) | 建立网络连接的方法、网关及终端 | |
| WO2009152676A1 (zh) | Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统 | |
| EP2355439A1 (en) | Accessing restricted services | |
| CN101252770A (zh) | Ims的终端接入认证的方法、通信系统及相关设备 | |
| CN103517249A (zh) | 一种策略控制的方法、装置和系统 | |
| ES2300850T3 (es) | Aparato y metodo para la prevencion del fraude cuando se accede a traves de redes de area local inalambricas. | |
| WO2014121614A1 (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
| WO2017000620A1 (zh) | 重认证识别方法、演进分组数据网关及系统 | |
| Wang et al. | Security mechanisms and security analysis: hotspot WLANs and inter-operator roaming | |
| WO2014121613A1 (zh) | 一种位置信息的获取方法及相应装置 | |
| WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 | |
| WO2013123849A1 (zh) | 资源接纳控制方法、bng和pdp |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |