CN107615825A - 在不可信wlan接入上的多个pdn连接 - Google Patents
在不可信wlan接入上的多个pdn连接 Download PDFInfo
- Publication number
- CN107615825A CN107615825A CN201580080464.0A CN201580080464A CN107615825A CN 107615825 A CN107615825 A CN 107615825A CN 201580080464 A CN201580080464 A CN 201580080464A CN 107615825 A CN107615825 A CN 107615825A
- Authority
- CN
- China
- Prior art keywords
- ike
- extra
- pdn
- ipsec
- pdn connections
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
此发明的实施例涉及用于在不可信的WiFi网络上建立用户设备UE和演进型分组核心网络EPC之间的额外同时的分组数据网络PDN连接的方法和设备。UE在第一PDN连接上通过安全网关附连到EPC,在第一PDN连接上,UE被认证,并且已经建立了IKE安全关联SA和第一IPSec SA。然后,UE利用使用在第一PDN连接期间协商的算法和密钥进行加密保护的新的IKE请求/响应交换或增强的IKE CREATE_CHILD_SA交换建立额外PDN连接,从而改善延迟和UE电池寿命,因为对于每个额外PDN连接,UE不再需要协商单独IKE SA并认证UE。
Description
技术领域
本公开一般涉及在分组核心网络上建立多个分组数据网络连接。
背景技术
自从移动互联网技术出现以来,用户和他们对高速率数据存取的要求一直指数增长。无线电接入技术已经演变成支持宽带接入,并且分组核心网络已经演变成应对分组数据要求和演进型无线电接入技术。由第三代合作伙伴计划3GPP规定的长期演进LTE是提供增加的速度和容量的宽带蜂窝IP接入技术。3GPP规定的演进型分组核心EPC是规定用于LTE接入的分组核心网络。另外,EPC正变成用于分组交换服务的共同核心网络,所述分组交换服务用于2G和3G无线电接入网络以及WiFi本地接入网络、WLAN,如3GPP技术规范TS 23.401和TS 23.402中所规定的一样。
EPC位于无线电接入网络和分组数据网络PDN之间,PDN可以是内联网、外联网或互联网。当与PDN交互工作时,EPC能够以IPv4和/或IPv6寻址方案进行操作。EPC和PDN之间的交互工作点是SGi参考点。
EPC由分组核心域和用户域组成。用户域应请求来提供用户的完整更新信息。它维持数据库以便支持订户的漫游移动性以及认证、授权和计帐。用户域由包括归属订户服务器HSS、认证、授权和计帐AAA和策略服务器的多个节点组成。分组核心域通过2G(GSM)、3G(WCDMA/HSPA/CDMA)、4G(LTE)和诸如WiFi或Wimax的非3GPP技术提供IP服务。
为了向通过LTE无线电接入网络附连的UE提供分组服务,分组核心域利用移动性管理设备MME、服务网关SGW和分组数据网络网关PDN-GW。PDN-GW是IP网络和分组核心域之间的分界点,并且充当用于在维持相同IP地址的同时从一个接入网络连接或移动到不同接入网络的UE的PDN连接的共同锚定点。
利用LTE接入,UE经由PDN连接而连接到EPC。PDN连接是由IPv4地址和/或IPv6前缀表示的UE和由接入点名称APN表示的PDN之间的关联。PDN连接包括一个或多个演进型分组系统EPS承载。当UE连接到PDN时建立第一EPS承载,并且它在PDN连接的整个寿命中保持建立,以便为UE提供始终在线的到该PDN的IP连接性。该第一EPS承载称为默认EPS承载。由UE在LTE接入网络上为相同PDN连接建立的任何额外EPS承载称为专用EPS承载。在LTE无线电接入网络RAN上建立的EPS承载由多个串接段组成,这些串接段由从UE到称为演进型节点B(eNB)的基站的无线电承载、eNB和SGW之间的S1承载、以及SGW和PDN-GW之间的S5/S8承载组成。
通过LTE无线电接入网络RAN连接的UE可建立多个PDN连接,并且可同时连接到多个PDN。每个PDN连接由指示被请求用于PDN的连接性的类型(即,因特网协议,IPv4、IPv6或IPv4/IPv6)的PDN类型和接入点名称APN表征。当通过EPC为UE建立多个PDN连接时,取决于接入点名称APN,能够使用一个或多个PDN-GW。还可能的是,UE包括具有相同APN的多个PDN连接,在此情况下,所有PDN连接由相同PDN-GW提供。
在EPC网络中具有订阅的UE能够另外通过不可信的WLAN与EPC中的PDN-GW建立PDN连接。在该场景中,EPC网络不信任WLAN,当UE通过公共WiFi热点或通过并非由EPC运营商拥有的Wi-Fi热点连接到它的EPC服务时通常是这种情况。EPC的分组核心域包括演进型分组数据网关ePDG,它用作到EPC的网关,并且负责通过分组核心域在不可信的WLAN上建立到PDN-GW的安全分组数据连接,如3GPP TS 23.402中所描述的一样。安全分组数据连接由通过SWu接口在UE和ePDG之间建立的IP安全性IPSec隧道以及通过S2b接口在ePDG和PDN-GW之间建立的GPRS隧道协议GTP隧道组成。
在UE和ePDG之间的SWu接口上使用IPSec协议,其包括由因特网工程任务组IETFRFC 5996定义的因特网密钥交换版本2 IKEv2、由IETF RFC 4303定义的IP封装安全有效载荷ESP、以及由IETF RFC 4301定义的IPSec。IKEv2协议最初由IETF设计以便动态地协商用于IPSec隧道的密钥。但是,在SWu接口中,利用IKEv2协议来实现UE附连和PDN连接建立规程。当成功设立IKEv2初始交换(包括IKE_SA_INIT和IKE_AUTH)时,包括用户认证和第一/默认PDN连接的UE附连规程被完成,并且设立IKE安全关联SA和第一IPSec SA或隧道。利用IPSec隧道作为用于PDN连接的用户数据路径。值得注意的是,利用IKE_SA_INIT交换来设立包括IKE SPI指派的IKE SA,协商加密算法,交换现行值(nonce),并进行Diffie-Hellman交换DH,后者如“New Directions in Cryptography”(IEEE Transactions on InformationTheory, V.IT-22 n.6, June 1977)中所描述。利用IKE_AUTH交换来认证之前的IKE_SA_INIT消息,交换身份和证书,以及建立第一IPSec SA或隧道。在IKE_AUTH交换期间,完成对于第一PDN连接的用户认证、简档供应IPSecIPSecIPSec和IP地址指派。一旦完成IKE_AUTH交换,便通过SWu接口利用对应的第一IPSec隧道作为用户平面隧道来设立第一/默认PDN连接。为了释放第一/默认PDN连接,利用IKEv2 INFORMATIONAL交换来删除IKE_SA和第一IPSec SA。
当前的3GPP标准3GPP TS 23.402和3GPP 24.301支持SWu接口上的多个PDN连接。但是,每个额外PDN连接建立利用包括IKE_SA_INIT和IKE_AUTH交换的它自己的单独初始IKE交换规程。换句话说,对于每个PDN连接,建立IKE SA,它包括协商加密算法、交换现行值以及进行Diffie-Hellman交换DH,所有这些利用在ePDG和UE处均要求高处理功率的大量演算。导致建立IPSec SA的IKE_AUTH交换不仅在UE和ePDG之间而且在ePDG和认证器(即,AAA/HSS服务器)之间也要求广泛处理、计算和信令。大量演算和信令往往会耗尽UE的电池寿命,从而使得利用现有解决方案的多个PDN连接的实现和部署相当费成本且低效率。另外,对于每个建立的PDN连接,AAA/HSS向ePDG授权和发送用户简档。ePDG应当存储用于UE的每个额外PDN连接的用户简档。尽管关联到为UE建立的PDN连接的用户简档共享共同属性,但是将它们加以存储并作为各个简档对待。因此,ePDG处的存储器使用效率不高。
发明内容
本公开通篇使用以下首字母缩略词。
本发明的目的是消除或减轻现有技术的至少一个缺点并使得用户设备UE和安全网关(例如,在3GPP TS 23.402中规定的ePDG)能够在不建立新的IKE SA并执行新的认证的情况下利用一个简单的IKE交换(请求/响应)建立额外PDN连接。包括对UE的认证的处理器和信令密集初始IKE交换在第一PDN连接的建立(只在此处建立IKE SA和第一IPSec SA)期间被执行。当建立额外PDN连接时,将不执行包括IKE_SA_INIT交换和IKE_AUTH交换的初始IKE交换。因此,采用对UE和安全网关中的更少处理要求以及空中接口上和网络中的更少信令来更快速地建立额外PDN连接。为了建立额外PDN连接,能够使用增强的因特网密钥交换IKE CREATE_CHILD_SA交换。备选的是,也能够使用本文中简称为IKE请求/IKE响应消息的新IKE交换和消息。那些交换的特别之处在于,利用在第一PDN连接建立的IKE SA中协商/建立的加密算法和密钥来加密保护它们。尽管能够创建并使用新的IKE交换和消息,但本发明中的实施例是利用增强的IKE CREATE_CHILD_SA交换来被描述的。新的IKE请求/响应交换或增强的IKE CREATE_CHILD_SA交换建立又称为IPSec子SA的额外IPsec SA。在此公开中,额外IPsec SA和IPSec子SA可互换使用。
根据一个实施例,安全网关已经为UE建立了与第一PDN GW的第一PDN连接,第一PDN连接建立包括IKE SA和第一IPsec SA建立。安全网关接收IKE请求消息以便为额外PDN连接建立额外IPSec SA,并且其中IKE请求消息包括可指示IPv4、IPv6或同时的IPv4和IPv6地址类型的PDN类型。安全网关可在IKE请求消息中接收APN,或者如果没有接收到任何消息,那么它利用在建立第一PDN连接期间从AAA服务器接收的默认APN。利用在第一PDN连接建立的IKE SA中建立的加密算法和密钥来加密保护IKE请求消息。然后,安全网关在EPC中选择第二PDN-GW来用于为额外IPSec SA建立额外网络隧道。额外网络隧道可以基于GTP或基于代理移动IP。取决于APN决议(resolution),第二PDN-GW可以与第一PDN-GW相同。
一旦建立额外网络隧道,安全网关便发送包括由第二PDN-GW指派的UE地址的IKE响应消息。UE指派地址可以是IPv4地址或IPv6前缀或两者,并且可以被编码在IKE配置答复配置有效载荷CFG_REPLY CP中。IKE响应消息可另外包括用于额外PDN连接并且可被编码在标识有效载荷中的APN。另外,响应消息可包括为额外PDN连接选择的第二PDN-GW地址。IKE响应消息指示额外IPSec SA的建立,并且因此建立与PDN-GW的额外PDN连接。然后,安全网关将额外IPSec SA捆绑到额外网络隧道,以便将业务从对应网络隧道路由到额外IPSec隧道以及将业务从额外IPSec隧道路由到对应网络隧道。
在一个实施例中,IKE请求消息中的PDN类型被包含在IKE配置请求配置有效载荷CFG_REQUEST CP中。如果在IKE请求消息中发送APN,那么它可被包含在标识有效载荷中。
在支持从诸如LTE或WiFi的一个无线电网络切换到不可信的WiFi网络的不同实施例中,安全网关接收IKE请求消息,此时包括在切换进行之前UE附连到之前无线电网络时的之前分配的UE IP地址。UE IP地址可被编码在业务选择器有效载荷中。消息中的UE IP地址的存在指示PDN连接的切换。在该场景中,UE还可包括用于在之前的无线电网络中的PDN连接的APN,并且还可包括之前使用的PDN-GW地址。
在还有的另一个实施例中,安全网关利用IKE信息交换释放与额外网络隧道的额外PDN连接。IKE信息交换包括指示与为额外PDN连接建立的额外IPSec SA对应的安全参数索引的删除有效载荷。
根据另一个实施例,UE按照现有技术建立第一PDN连接,其包括建立IKE SA和第一IPSec SA。UE然后通过向安全网关发送请求建立额外IPSec SA而不是发起由IKE_SA_INIT交换和IKE_AUTH交换组成的新的初始IKE交换的IKE请求消息来请求在不可信的接入网络上到EPC的额外PDN连接。IKE请求消息包括PDN类型(它可以属于类型IPv4、IPv6或两者),PDN类型可被编码在IKE配置请求配置有效载荷CFG_REQUEST CP中。IKE请求消息还可包括APN。响应于IKE请求消息,UE接收指示成功建立额外PDN连接和建立额外IPsec SA的IKE响应消息,该消息包括UE指派地址信息,UE指派地址信息可以是IPv4地址、IPv6前缀或两者。IKE响应消息还可包括业务选择器。UE将额外IPSec SA捆绑到额外PDN连接,并且可利用业务选择器来通过额外IPSec SA或隧道路由关联到额外PDN连接的业务。
在支持从诸如LTE或另一个WiFi网络的无线电接入网络切换到不可信的WiFi网络的另一个实施例中,UE通过发送包括用于额外PDN连接的之前分配的IP地址的IKE请求消息来指示任何额外PDN连接的切换,并且其中IP地址可被编码在业务选择器有效载荷中。UE通过开始并完成与安全网关进行的包括IKE_SA_INIT交换和IKE_AUTH交换的初始交换来开始切换第一PDN连接。此后,UE针对每个额外PDN连接发送IKE请求消息,其中每个消息包括之前分配的IP地址以用于额外PDN连接。IKE请求消息还可包括之前使用的APN或之前选择的PDN-GW地址以用于额外PDN连接,以便允许在切换时安全网关维持相同PDN-GW以用于额外PDN连接。备选的是,安全网关可在切换之前从AAA/HSSS接收用于在无线电接入网络上建立的额外PDN连接的APN和/或PDN-GW。
附图说明
现在将参考附图只是作为示例来描述本发明的实施例,其中:
图1是根据现有技术建立多个PDN连接的序列图。
图2示出根据实施例建立多个PDN连接的序列图。
图3示出根据实施例释放随后的PDN连接的序列图。
图4示出根据实施例在安全网关处执行以便建立额外PDN连接的方法的流程图。
图5示出根据实施例在用户设备处执行以便建立额外PDN连接的方法的流程图。
图6是根据实施例的安全网关的示意图示。
图7是根据实施例的用户设备的示意图示。
图8是根据另一个实施例的用户设备的示意图示。
具体实施方式
现在将参考图来描述本发明的各个特征。在下文结合示例性实施例和示例更详细地描述这些各个方面,以便于理解本发明,但所述各个方面不应理解为被局限于这些实施例。而是,提供这些实施例是为了使得本公开将是充分且完整的,并将向本领域技术人员全面传达本发明的范围。
根据由计算机系统的元件或能够执行编程的指令的其它硬件执行的动作或功能的序列来描述本发明的许多方面。将意识到,各个动作能够由专门的电路、由被一个或多个处理器执行的程序指令或由两者的组合来执行。此外,本发明能够另外地被认为整体地在计算机可读载体或载波的任何形式内来实施,其中所述计算机可读载体或载波包含将使得处理器实行本文中描述的技术的计算机指令的合适集合。
图1示出根据如3GPP TS 23.402和3GPP TS 33.402的当前版本中所规定的现有技术,在不可信的3GPP例如WiFi接入上利用IKEv2和IPSec建立多个PDN连接的序列图。图1示出支持WiFi和诸如LTE的另一个无线电接入技术的UE 100。UE 100利用不安全的WLAN接入来通过SWu接口连接到安全网关,即用于安全接入到EPC服务的ePDG 101。安全网关(即,ePDG 101)通过SWm接口与AAA服务器102进行接口,SWm接口是用于UE认证和授权的Diameter基本接口。安全网关(即,ePDG 101)通过S2b接口与PDN-GW 103进行接口,其中UEPDN连接被锚定。
当UE 100确定它需要通过选择的ePDG 101附连到EPC时,UE 100发起与ePDG 101的IKE_SA_INIT和IKE_AUTH交换。这些初始交换一般由四个消息(IKE_SA_INIT请求/响应和IKE_AUTH请求/响应)组成。第一对消息(IKE_SA_INIT)协商加密算法,交换现行值,并进行Diffe-Hellman交换,并且第二对消息(IKE_AUTH)认证之前的IKE_SA_INIT消息,交换身份和证书,并建立第一IPsec SA。
在步骤104和步骤105,UE 100和ePDG 101交换第一对IKE_SA_INIT消息。在步骤106,UE 100向ePDG 101发送IKE_AUTH消息以便开始协商第一IPsec SA,其中UE 100在IDi有效载荷中发送用户身份,并在IDr有效载荷中发送APN信息。UE 100在IKE_AUTH请求消息内包括配置有效载荷(CFG_REQUEST),以便获得IPv4和/或IPV6归属IP地址。另外,UE省略AUTH参数以便向ePDG 101指示它想要通过IKEv2使用EAP。
在步骤107,UE 100和AAA服务器102通过ePDG 101交换EAP消息,以便进行认证和密钥交换,从而用于建立第一IPSec SA或IPSec 隧道。通过ePDG 101和UE 100之间的IKEv2以及通过ePDG 101和AAA服务器102之间的AAA协议(例如,Diameter)来携带EAP消息。在UE100和AAA服务器102之间交换的EAP消息的认证方法和数量随执行的EAP方法而变化。在图1中,使用如RFC 4187中所规定的EAP-AKA。步骤107是通过ePDG 101在UE 100和AAA服务器102之间进行EAP-AKA消息交换的简化图示,并且它以ePDG 101在步骤106接收到IKE_AUTH请求消息之后向AAA服务器102发送认证和授权请求消息来开始。认证和授权请求消息包含用户身份和APN。AAA服务器102检索与用户身份相关联的认证向量,并向ePDG 101发送包括用来发起认证挑战的EAP请求-AKA挑战的认证和授权响应消息。ePDG 101准备IKE_AUTH响应消息,它包括ePDG 101自己的身份、证书、AUTH参数(用来保护在步骤105发送给UE 100的之前消息以及从AAA服务器102接收的EAP请求-AKA挑战)。当UE 100从ePDG 101接收IKE_AUTH响应消息时,它检查认证参数,并通过向ePDG 101发送包含EAP响应-AKA挑战的另一个IKE_AUTH请求消息来对AKA挑战做出响应。ePDG 101将EAP-响应/AKA-挑战消息转发给AAA服务器102,AAA服务器102检查来自UE 100的认证响应是否正确。
图1中的AAA服务器102还将检查用户的订阅以便进行授权,并且在步骤108,如果所有检查成功;AAA服务器102向ePDG 101发送指示成功的最终认证和授权回答,它包括相关服务授权信息、EAP成功消息和密钥资料。在步骤109a,ePDG 101利用接收的密钥资料生成AUTH参数,以便认证IKE_SA_INIT阶段消息,因为鉴于还没有密钥资料可用,所以这前两个消息之前尚未被认证。在步骤109b,ePDG 101向UE 100发送包括在步骤108接收的EAP成功消息的IKE_AUTH响应消息。
在步骤110a,UE利用它自己的密钥资料生成AUTH参数以便认证第一IKE_SA_INIT消息,并且在步骤110b,UE向ePDG 101发送包含它已经生成的AUTH参数的IKE_AUTH请求消息。在步骤111,ePDG 101将从UE接收的AUTH参数与它自己生成的AUTH参数进行比较,并且如果相同;认为UE 100被认证。如在3GPP TS 23.402中所规定的,ePDG 101通过发起在ePDG101和选择的PDN-GW 103之间建立GTP隧道的请求来继续进行第一PDN连接的建立。ePDG101向PDN-GW 103发送GTP创建会话请求。PDN-GW 103为UE指派IPv4地址和/或IPv6前缀,并向ePDG 101发送包括指派的IPv4地址和/或IPv6前缀的GTP创建会话响应消息,并且GTP隧道建立完成。随后,ePDG 101继续演算认证第二IKE_SA_INIT消息的AUTH参数。在步骤112,ePDG 101向UE 100发送IKE_AUTH响应消息,其包括AUTH参数以及包括指派的IPv4地址/IPv6前缀的配置有效载荷(CFG_REPLY)。此时,建立了IKE SA和第一IPSec SA或第一IPSec隧道,完成了IKEv2参数和IKEv2协商。最终建立由IPSec隧道和GTP隧道的串接组成的第一PDN连接。
在步骤113,UE确定应当建立随后的PDN连接。根据存在的现有技术3GPP TS23.402和3GPP TS 24.302,UE 100发起与ePDG 101的另一个IKE_SA_INIT和IKE_AUTH交换。必须对于每个被请求的额外PDN连接重复上文描述的步骤104-112。值得注意的是,每个PDN连接建立和释放使用如上所述的它自己的单独IKE规程。对于每个IPSec/GTP隧道建立规程,UE应当向ePDG指示到期望PDN的APN以及附连类型指示,如3GPP TS 24.302中所规定。利用现有技术规程,对于每个PDN连接建立IKE SA,它涵盖协商加密算法、交换现行值以及进行Diffie-Hellman交换DH,所有这些利用在ePDG 101和UE 100处均要求高处理功率的大量演算。导致建立IPSec SA的IKE_AUTH交换不仅在UE 100和ePDG 101之间而且在ePDG 101和认证器(即,AAA服务器102)之间也要求广泛处理、计算和信令。大量演算和信令往往会耗尽UE 100的电池寿命,从而使得利用现有解决方案的多个PDN连接的实现和部署相当费成本且低效率。另外,AAA服务器102对于每个建立的PDN连接向ePDG 101授权和发送用户简档。预期ePDG 101将存储针对用于UE 100的每个额外PDN连接的用户简档。尽管关联到为UE100建立的PDN连接的用户简档共享共同属性,但是将它们加以存储并作为各个简档对待。因此,ePDG 101处的存储器使用效率不高。
图1示出利用GTP作为ePDG 101和PDN-GW 103之间的网络移动性协议的示例;但是,也可使用其它网络移动性协议,诸如代理移动IP。
图2示出根据一实施例在不可信的3GPP接入(例如,WiFi)上利用IKEv2和IPSec建立额外PDN连接。在该实施例中使用的安全网关是如3GPP 23.402中所规定的ePDG,但是也能够使用其它安全网关。为了建立额外PDN连接,ePDG能够利用增强的IKE CREATE_CHILD_SA交换,或者能够利用本文中简称为IKE请求/IKE响应消息的新的IKE交换和消息。增强的IKE CREATE_CHILD_SA交换或新创建的IKE交换包括一对请求-响应消息,并且利用在如图1的步骤104-112中所示的第一PDN连接的建立期间实行的初始IKE交换(IKE_SA_INIT)中协商的加密算法和密钥对上述交换之一进行加密保护。新的IKE请求/响应交换或增强的IKECREATE_CHILD_SA交换建立又称为IPsec子SA的额外IPsec SA。在此公开中,额外IPsec SA和IPsec子SA相同,并且可互换使用。下文中的实施例利用增强的IKE CREATE_CHILD_SA交换并利用IPsec子SA作为额外IPsec SA来进行描述。
图2中的步骤200对应于建立的第一PDN连接,其包括根据如上所述的图1的步骤104到步骤112建立IKE SA和第一IPSec SA,此后认为UE 100附连到网络。在步骤201,UE100确定应当建立随后的PDN连接,此时UE 100改为利用与ePDG 102的IKE CREATE_CHILD_SA交换来为额外PDN连接创建IPSec子SA。IKE CREATE_CHILD_SA交换包括一对请求-响应消息,并且利用在如图1的步骤104-112中所示的建立第一PDN连接时实行的初始IKE交换中协商的加密算法和密钥对IKE CREATE_CHILD_SA交换进行加密保护。
UE 100向ePDG 101发送IKE CREATE_CHILD_SA请求消息,该消息可在IDr有效载荷中包括APN,并在CFG_REQUEST配置有效载荷中包括PDN类型。PDN类型指示应当为PDN连接配置IPv4还是IPv6还是IPv4和IPv6地址。在步骤202,如果UE 100在IKE CREATE_CHILD_SA请求消息中省略了IDr有效载荷,那么ePDG 101使用默认APN,默认APN可在ePDG 101处预先配置或者可在建立第一PDN连接期间从AAA服务器102接收。如果UE 100在IDr有效载荷中提供了APN,那么ePDG 101使用由UE提供的APN。ePDG 101确定UE认证不被要求,因为UE已经附连到网络,并且已经为UE建立了第一PDN连接。ePDG 101利用APN来选择PDN-GW 103,并且在步骤203,它向PDN-GW 103发送GTP创建会话请求以便为IPSec子SA创建GTP隧道,即辅助IPSec隧道。按照UE 100的请求,PDN-GW 103指派IPv4地址和/或IPv6前缀。此后,PDN-GW 103将包括指派的IPv4地址和/或IPv6前缀的GTP创建会话响应发送回给ePDG 101。
在步骤203接收到GTP创建会话响应时,ePDG 101可将用于额外PDN连接的PDN-GW地址存储在AAA服务器102中,如可选步骤204所示。稍后可检索存储的PDN-GW并在到其它无线电接入网络的随后切换中对其进行使用。在步骤205,ePDG 101向UE 100发送在CFG_REPLY配置有效载荷(CP)中包括接收的IP地址和/或前缀以及在IDr有效载荷中包括使用的APN的IKE CREATE_CHILD_SA响应消息。另外,ePDG 100包括设定成新指派的IPv4地址或IPv6前缀或IPv4地址和IPv6前缀的业务选择器发起者TSi有效载荷。UE 100利用接收的业务选择器来通过PDN连接将业务路由给对应建立的IPSec隧道。ePDG 101还可在IKECREATE_CHILD_SA响应消息中包括为额外PDN连接选择的PDN-GW IP地址。在步骤206,现在建立了IPSec子SA或第二IPSec SA/隧道,并且ePDG 101将额外GTP隧道与IPSec子SA捆绑在一起,并将通过额外PDN连接的GTP隧道从PDN-GW 103接收的所有业务发送给关联到IPSec子SA的对应IPSec隧道。另外,通过关联到IPSec子SA的IPSec隧道从UE 100接收的所有业务将会通过对应GTP隧道被发送给PDN-GW 103。如果UE 100确定要求进一步的额外PDN连接,那么它重复如图2中所示并且如上文所描述的相同规程。
图2示出利用GTP作为ePDG 101和PND-GW 103之间的网络移动性协议的示例;但是,也可使用其它网络移动性协议,诸如代理移动IP。
图2还能够用于示出从LTE接入网络到不可信的WiFi接入网络的切换实施例。该切换实施例假设UE 100首先附连到其中它已经建立多个PDN连接的LTE无线电接入网络,并确定要求切换到不可信的WiFi接入。UE通过按照图2的步骤200建立第一PDN连接来开始切换。但是,UE 100将包括第一PDN连接的之前指派的IP地址(在其附连到LTE无线电接入网络时接收的),以便指示第一PDN连接的切换。按照现有技术,初始交换中的IKE_AUTH请求消息包括用于第一或默认PDN连接的IP地址。
一旦建立第一PDN连接,并且根据步骤201,UE 100应向ePDG 101发送针对额外PDN连接(其是从LTE接入网络的切换)的IKE CREATE_CHILD_SA请求消息,以便为额外PDN连接创建IPSEC子SA。图2示出一个额外PDN连接,但是如果在LTE网络上建立多于一个额外PDN连接,那么UE通过对于每个额外PDN连接发送IKE CREATE_CHILD SA请求消息来切换每个PDN连接。
为了指示额外PDN连接的切换,在步骤201处的IKE CREATE_CHILD_SA请求消息包括对应的额外PDN连接在LTE网络中的之前分配的IP地址。当在步骤205,UE 100从ePDG 101接收针对额外PDN连接的IKE CREATE_CHILD_SA响应消息时,该消息可在TSi有效载荷中包括LTE网络中的任一之前指派的IP地址,即由UE 100在IKE CREATE_CHILD_SA请求消息中发送的相同地址。当接收到相同地址时,它确认维持会话连续性。备选的是,能够由PDN-GW103指派新的IPv4地址/IPv6前缀,并由ePDG 101在IKE CREATE_CHILD_SA响应消息中将其返回给UE 100,在此情况下,网络不能向UE 100提供会话连续性。不管是否维持IP地址或者不管是否指派新的IPv4地址/IPv6前缀,在如图2的步骤203中所示的S2b GTP隧道建立期间,由PDN-GW 103提供IPv4地址/IPv6前缀。
图3示出根据一实施例,释放随后的PDN连接的序列图。根据该实施例,UE 100或ePDG 101利用IKE_INFORMATIONAL交换来释放关联到IPSec子SA的额外PDN连接。在步骤301,当UE 100确定它应当释放关联到IPSec子SA的额外PDN连接之一时,它向ePDG 101发送IKE_INFORMATIONAL请求消息,并且包括含有IPSec子SA的安全参数索引SPI的删除有效载荷。在步骤302,ePDG 101通过向UE 100发送包括被释放的IPSec子SA的SPI的IKE_INFORMATIONAL响应消息来做出响应。ePDG 101释放关联到IPSec子SA的IPSec隧道和对应的GTP隧道。注意,如果UE 100发送包括含有IKE SA的SPI的删除有效载荷的IKE_INFORMATIONAL请求消息,那么ePDG 101将继续到分离UE 100,并且从而释放所有PDN连接(第一和随后的PDN连接)。
类似地,在步骤303,当ePDG 101确定它应当释放关联到IPSec子SA的额外PDN连接之一时,它向UE 100发送IKE_INFORMATIONAL请求消息,并且包括含有IPSec子SA的安全参数索引SPI的删除有效载荷。在步骤304,UE 100通过向ePDG 101发送包括正被释放的IPSec子SA的SPI的IKE_INFORMATIONAL响应消息来做出响应。ePDG 101释放关联到IPSec子SA的IPSec隧道以及对应的GTP隧道。注意,如果ePDG发送包括含有IKE SA的SPI的删除有效载荷的IKE_INFORMATIONAL请求消息,那么UE 100将继续到释放为UE建立的所有PDN连接。ePDG101分离UE 100,并且从而释放所有对应的PDN连接(第一和随后的PDN连接)。
图4示出在安全网关SeGW(诸如,在3GPP TS 23.402中规定的ePDG)处执行的方法40的流程图。方法40描述根据实施例建立额外PDN连接。根据该实施例,在步骤41,SeGW已经根据在现有技术中描述的规程在第一PDN-GW处利用对应的IKE SA和第一IPSec SA建立第一PDN连接,即,完成如在图1的步骤104-112中所描述的IKE_SA_INIT和IKT_AUTH交换。在步骤42,ePDG从UE接收IKE CREATE_CHILD_SA请求消息(如上所述,也能够使用新的IKE请求消息),以便请求为额外PDN连接建立IPsec子SA(即,额外IPSec SA或隧道)。IKE CREATE_CHILD_SA请求消息可在iDR有效载荷中包含APN。在步骤43,ePDG确定,当它接收到IKECREATE_CHILD_SA请求消息时,其不被要求与AAA服务器通信,这是因为作为建立第一PDN连接的结果,用户/UE已经被认证并且UE简档已经在ePDG处可用。如果ePDG没有在IKECREATE_CHILD_SA请求消息中接收到APN,那么ePDG利用在建立第一PDN连接期间接收的默认APN来为额外PDN连接选择第二PDN-GW;否则,ePDG利用从UE接收的APN。第二PDN-GW可以是与第一PDN-GW相同或不同的PDN-GW。
另外,IKE CREATE_CHILD_SA请求消息包括可编码在CFG_REQUEST配置有效载荷中的PDN类型。PDN类型指示应当为额外PDN连接配置IPv4还是IPv6还是IPv4和IPv6地址。如果在ePDG和第二PDN-GW之间使用GTP,那么ePDG向所选PDN-GW发送GTP创建会话请求以便请求为额外PDN连接建立额外网络隧道。GTP创建会话请求消息包括由UE接收的PDN类型和APN。可取代GTP使用其它网络移动性协议,诸如代理移动IP。取决于接收的PDN类型,PDN-GW指派IP4地址和/或IPv6前缀,并将GTP创建会话响应消息发送回给ePDG,此时在ePDG和第二PDN-GW之间建立了额外GTP隧道。ePDG可将用于额外PDN连接的第二PDN-GW地址存储在AAA服务器中,其可在随后切换到其它无线电接入网络中被使用。
在步骤44,ePDG向UE发送IKE CREATE_CHILD_SA响应消息(如上所述,也能够使用新的IKE响应消息),该响应消息包括编码在CFG_REPLY配置有效载荷(CP)中的接收的IPv4地址或IPv6前缀或IPv4地址和IPv6前缀以及在iDR有效载荷中针对额外PDN连接被使用的APN。另外,ePDG包括含有新指派的IPv4地址或IPv6前缀或IPv4地址和IPv6前缀的业务选择器发起者TSi。业务选择器被UE利用来通过对应建立的IPSec隧道(即,第一IPsec SA或子/额外IPsec SA)路由用于PDN连接的业务。ePDG还可在IKE CREATE_CHILD_SA响应消息中包括为额外PDN连接选择的第二PDN-GW IP地址。此时,为额外PDN连接建立了子IPSec SA/隧道。在步骤44,ePDG将为额外PDN连接建立的额外GTP网络隧道捆绑到子IPSec SA/隧道,因此ePDG能够将额外PDN连接的业务路由给对应的子IPSec SA/隧道。ePDG将通过关联到额外PDN连接的额外GTP隧道接收的业务路由给它的对应子IPSec SA/隧道以便递送给UE。
图4还能够用于示出从LTE接入网络到不可信的WiFi接入网络的切换实施例。该切换实施例假设UE首先附连到其中它已经建立多个PDN连接的LTE无线电接入网络,并确定要求切换到不可信的WiFi接入。UE通过按照图4的步骤41建立第一PDN连接来开始切换,其中ePDG执行由UE发起的初始交换(IKE_SA_INIT和IKE_AUTH)以切换第一PDN连接。但是,UE将包括第一PDN连接的之前指派的IP地址(在其被附连到LTE无线电接入网络时接收的),用来指示第一PDN连接的切换。按照现有技术,初始交换中的IKE_AUTH请求消息包括用于第一或默认PDN连接的IP地址。
一旦建立第一PDN连接,并且根据步骤42,ePDG接收建立IPSEC子SA的IKE CREATE_CHILD_SA请求消息以切换额外PDN连接。图4示出用于建立一个额外PDN连接的方法,但是如果在LTE网络上建立多于一个额外PDN连接,那么UE通过对于每个额外PDN连接发送IKECREATE_CHILD SA请求消息来切换每个PDN连接,并且从而对于每个额外PDN连接重复图4中的步骤42至45。
为了确定额外PDN连接的切换,IKE CREATE_CHILD_SA请求消息包括额外PDN连接的之前分配的IP地址。为了维持将额外PDN连接锚定到相同PDN-GW,IKE CREATE_CHILD_SA请求消息能够包括用于在之前的无线电接入网络中建立PDN连接的APN。备选的是,该消息可包括用于锚定额外PDN连接的PDN-GW IP地址,前提条件是UE之前已经接收并存储了该信息。在切换时选择相同PDN-GW的还有的另一个备选方案中,ePDG能够在第一PDN连接建立期间从AAA服务器接收对于每个PDN连接的之前分配的PDN-GW地址。
根据步骤44,当ePDG向UE发送用于额外PDN连接的IKE CREATE_CHILD_SA响应消息时,该消息可在TSi有效载荷中包括如之前在IKE CREATE_CHILD_SA请求消息中所接收的在LTE网络中的之前分配的IP地址,在此情况下,确保了会话连续性,或者可由PDN-GW指派新的IPv4地址/IPv6前缀。
总之,不管是多个PDN连接的初始建立还是多个PDN连接的切换,图4中的方法40的方法步骤是相同的。差别在于包括在IKE CREATE_CHILD_SA请求消息中的属性,尤其是存在的之前分配的IP地址属性和/或之前使用的PDN-GW地址属性。
图5示出根据实施例在用户设备UE处执行的建立额外PDN连接的方法50的流程图。根据该实施例,在步骤51,UE已经根据在当前3GPP TS 23.402和3GPP TS 24.302中所描述的规程利用对应的IKE SA和第一IPSec SA/隧道建立了第一PDN连接。在步骤52,UE确定要求额外PDN连接,并向SeGW(例如,ePDG)发送IKE CREATE_CHILD_SA请求消息以请求为额外PDN连接建立子IPSec SA/额外IPSec隧道。再次,能够取代增强的IKE CREATE_CHILD_SA请求消息使用新的IKE请求消息。IKE CREATE_CHILD_SA请求消息可在iDR有效载荷中包括APN,并在CFG_REQUEST配置有效载荷中包括PDN类型。PDN类型指示应当为额外PDN连接配置IPv4还是IPv6还是IPv4和IPv6地址。在从UE接收到IKE CREATE_CHILD_SA请求消息时,SeGW执行如上文在方法40中所描述的步骤。在步骤53,UE从SeGW接收IKE CREATE_CHILD_SA响应消息,IKE CREATE_CHILD_SA响应消息在CFG_REPLY配置有效载荷(CP)中包括接收的IPv4地址或IPv6前缀或IPv4地址和IPv6前缀并在iDR有效载荷中包括由SeGW使用的APN。响应消息还可包括由ePDG选择的用于额外PDN连接的PDN-GW IP地址。另外,IKE CREATE_CHILD_SA响应消息包括业务选择器发起者TSi,以便指示新指派的IPv4地址或IPv6前缀或IPv4地址和IPv6前缀。现在建立了子IPSec SA/额外IPSec隧道。在步骤54,UE将额外PDN连接捆绑到子IPSec SA/额外IPSec隧道。由于每个PDN连接具有独特的IP地址(或双堆叠IPv4-IPv6地址),所以UE使用业务选择器TSi来将具有等于PDN连接的指派IP地址的源IP地址的上行链路业务路由给对应建立的IPSec隧道。
重要的是要注意,如本公开中所规定的业务选择器被用来在相同IKE SA内的多个IPSec隧道之中路由业务,因为在第一PDN连接之后建立的每个额外PDN连接关联到子IPSecSA。这与3GPP标准中描述的当前技术形成对比,在后者中利用业务选择器来在多个IKE SA的IPSec隧道之间进行业务路由,因为在当前技术中的每个额外PDN连接也具有它的相关联IKE SA。
另外,如果UE附连到其中它已经建立多个PDN连接的LTE无线电接入网络或其它无线电网络,那么它执行到不可信的WiFi网络的切换;当UE请求在不可信的WiFi网络上建立PDN连接时,它将包括LTE无线电接入网络中的之前分配的IP地址。这将允许将PDN连接锚定到相同PDN-GW。根据图5的步骤51,UE利用初始交换(IKE_SA_INIT和IKE_AUTH)来开始切换,其中IKE_AUTH请求消息包括用于第一或默认PDN连接的IP地址。一旦建立第一PDN连接,并且根据步骤52,UE发送对于额外PDN连接(其是从之前的无线电接入网络的切换)的IKECREATE_CHILD_SA请求消息,以便协商用于额外PDN连接的IPSEC子SA。IKE CREATE_CHILD_SA请求消息包括对应的额外PDN连接的之前分配的IP地址以指示额外PDN连接的切换。UE还在消息中包括用于建立额外PDN连接的APN,并且可包括用于额外PDN连接的PDN-GW IP地址(如果通过之前接入网络被接收到的话)。如步骤53中所示,当UE接收到IKE CREATE_CHILD_SA响应消息时,建立子IPSec SA和对应的额外PDN连接。
总之,不管是多个PDN连接的初始建立还是多个PDN连接的切换,图5中的方法50的方法步骤是相同的。差别在于包括在IKE CREATE_CHILD_SA请求消息中的属性,尤其是存在的之前分配的IP地址属性和/或之前使用的PDN-GW地址属性。
在如图6中所示的一个实施例中,SeGW(例如,ePDG)包括除了本文中描述的其它实施例以外还执行根据图4中所描述的实施例的方法步骤连同还有图2的步骤201-204以及图3的步骤301-304的电路60。在一个实施例中,电路60可包括处理器61和含有指令的存储装置62(又称为存储器),这些指令在被执行时使得处理器60执行根据本文中所描述的实施例的方法中的步骤。电路60还可包括与外部实体通信(诸如,利用IKE和IPSec隧道与UE装置通信以及利用GTP或代理移动IP与PDN-GW通信)的通信接口63。
图7中的额外实施例示出包括电路70的UE,电路70除了本文中描述的其它实施例以外还执行根据如图5中所描述的实施例的方法步骤连同还有图2的步骤201和204以及图3的步骤301-304。在一个实施例中,电路70可包括处理器71和含有指令的存储装置72(又称为存储器),这些指令在被执行时使得处理器70执行根据本文中描述的实施例的方法中的步骤。电路70还可包括利用IKE和IPSec隧道与诸如SeGW(例如,ePDG)的外部实体通信的通信接口73。
图8示出包括处理模块81的UE 80的示例性实施例,处理模块81采用安全网关SeGW来通过通信模块83在不可信的接入网络上建立第一PDN连接。PDN连接建立包括IKE SA的建立以及第一IPsec SA的建立。处理模块81通过通信模块83获得建立额外IPSec SA的IKE请求消息,IKE请求消息包括对于额外PDN连接的PDN类型,并且其中利用在IKE SA中建立的加密算法和密钥来加密保护IKE请求消息。IKE请求消息可以是新的IKE消息或增强的IKECREATE_CHILD_SA请求消息。处理模块81通过通信模块83接收指示与EPC的额外PDN连接的建立以及额外IPSec SA的建立的IKE响应消息,其中IKE响应消息包括在额外PDN连接上由EPC指派的UE地址信息。随后,处理模块81将接收的UE指派地址和额外IPSec SA存储在存储模块82中,并将额外IPSec SA捆绑到建立的额外PDN连接。处理模块81通过通信模块83在建立的额外IPSec隧道上发送与额外PDN连接关联的IP分组。
本领域技术人员将理解到的是,所述模块能够作为在处理器上运行的计算机程序来实现,并且所述模块可进行操作以便执行之前描述的方法的步骤。
已经参考特定实施例来描述本发明。然而,对本领域技术人员将容易显而易见的是,采用与上文描述的实施例的形式不同的特定形式来实施本发明是可能的。描述的实施例只是说明性的,并且不应以任何方式视为是限制性的。本发明的范畴由随附权利要求而不是前面的描述给出,并且落入权利要求范围内的所有变体和等同物旨在被涵盖在其中。
Claims (45)
1.一种在安全网关中用于在不可信的接入网络上建立到演进型分组核心网络EPC中的分组数据网关PDN-GW的额外分组数据网络PDN连接的方法,所述方法包括:
- 在所述不可信的接入网络上建立第一PDN连接,包括建立与UE的互联网密钥交换安全关联IKE SA和第一因特网协议安全IPsec SA以及建立与第一PDN GW的第一网络隧道;
- 接收用于建立额外IPSec SA的IKE请求消息,所述IKE请求消息包括用于额外PDN连接的PDN类型,并且其中利用在所述IKE SA建立中协商的加密算法和密钥来加密保护所述IKE请求消息;
- 确定用于所述额外PDN连接的接入点名称APN,并在所述EPC中选择第二PDN-GW用于建立与所述额外IPSec SA关联的额外网络隧道;
- 发送指示与所述第二PDN-GW建立所述额外PDN连接以及建立所述额外IPSec SA的IKE响应消息,所述IKE响应消息包括在所述额外PDN连接上的UE指派地址信息;以及
- 将所述额外IPSec SA捆绑到对于所述额外PDN连接的所述额外网络隧道。
2.如权利要求1所述的方法,其中所述IKE请求消息包括APN。
3.如权利要求2所述的方法,其中所述APN被包含在标识有效载荷中。
4. 如权利要求1所述的方法,其中所述PDN类型是因特网协议版本4 IPv4、IPv6以及同时的IPv4和IPv6地址类型之一。
5. 如权利要求4所述的方法,其中用于所述额外PDN连接的所述PDN类型被包含在IKE配置请求配置有效载荷CFG_REQUEST CP中。
6.如权利要求1所述的方法,其中所述IKE请求消息包括指示所述额外PDN连接的切换的之前分配的IP地址。
7.如权利要求6所述的方法,其中所述IKE请求消息包括之前使用的APN和之前使用的PDN-GW地址中的至少一个。
8.如权利要求6所述的方法,其中所述之前分配的IP地址被编码在业务选择器有效载荷中。
9.如权利要求1所述的方法,其中确定所述APN的所述步骤还包括:
- 如果所述APN被包含在所述IKE请求消息中,那么存储所述APN并将所述APN关联到所述额外PDN连接;
- 否则,利用来自关联到所述UE的订阅简档的默认APN,并对所述额外PDN连接利用所述默认APN。
10.如权利要求1所述的方法,其中所述IKE响应消息中的所述UE指派地址信息是IPv4地址。
11.如权利要求1所述的方法,其中所述IKE响应消息中的所述UE指派地址信息是IPv6前缀。
12.如权利要求1所述的方法,其中所述IKE响应消息中的所述UE指派地址信息是IPv4地址和IPv6前缀。
13. 如权利要求10-12中任一权利要求所述的方法,其中所述IKE响应消息中的所述UE指派地址信息被编码在IKE配置答复配置有效载荷CFG_REPLY CP中。
14.如权利要求1所述的方法,其中所述IKE响应消息还在标识有效载荷中包括所述APN,所述APN用于选择所述第二PDN-GW。
15.如权利要求1所述的方法,其中所述方法还包括:
- 利用IKE信息消息释放所述额外PDN连接,所述IKE信息消息包括指示与关联于所述额外PDN连接的所述额外IPSec SA对应的安全参数索引的删除有效载荷。
16. 如权利要求1所述的方法,其中所述IKE请求消息是IKE CREATE_CHILD_SA请求消息。
17. 如权利要求1所述的方法,其中所述IKE响应消息是IKE CREATE_CHILD_SA响应消息。
18.一种在用户设备UE中用于在不可信的接入网络上建立到演进型分组核心网络EPC的额外分组数据网络PDN连接的方法,所述方法包括:
- 采用安全网关SeGW在所述不可信的接入网络上建立第一PDN连接,包括建立因特网密钥交换安全关联IKE SA和第一因特网协议安全IPsec SA;
- 发送用于建立额外IPSec SA的IKE请求消息,所述IKE请求消息包括用于额外PDN连接的PDN类型,并且其中利用在所述IKE SA建立中协商的加密算法和密钥来加密保护所述IKE请求消息;
- 接收指示与所述EPC建立所述额外PDN连接以及建立所述额外IPSec SA的IKE响应消息,所述SA响应消息包括在所述额外PDN连接上的UE指派地址信息;以及
- 将所述额外IPSec SA捆绑到所述额外PDN连接。
19.如权利要求18所述的方法,其中所述IKE请求消息包括APN。
20. 如权利要求18所述的方法,其中用于所述额外PDN连接的所述PDN类型被包含在IKE配置请求配置有效载荷CFG_REQUEST CP中。
21. 如权利要求18所述的方法,其中所述PDN类型是因特网协议版本4 IPv4、IPv6与同时的IPv4和IPv6地址类型之一。
22.如权利要求18所述的方法,其中所述IKE请求消息包括指示所述额外PDN连接的切换的之前分配的IP地址。
23.如权利要求22所述的方法,其中所述IKE请求消息包括之前使用的APN和之前使用的PDN-GW地址中的至少一个。
24.如权利要求22所述的方法,其中所述之前分配的IP地址被编码在业务选择器有效载荷中。
25. 如权利要求18所述的方法,其中所述IKE响应消息还包括用于通过所述额外IPSecSA路由对于所述额外PDN连接的业务的所述业务选择器。
26. 如权利要求18所述的方法,其中在所述方法中还包括:利用IKE信息消息以便释放所述额外PDN连接,所述IKE信息消息包括指示与关联于所述额外PDN连接的所述额外IPSecSA对应的安全参数索引的删除有效载荷。
27. 如权利要求18所述的方法,其中所述IKE请求消息是IKE CREATE_CHILD_SA请求消息。
28. 如权利要求18所述的方法,其中所述IKE响应消息是IKE CREATE_CHILD_SA响应消息。
29.一种包括指令的计算机程序,所述指令在至少一个处理器上被执行时使得所述至少一个处理器实行根据权利要求1至28中任一权利要求所述的方法。
30.一种包含权利要求29的所述计算机程序的载体,其中所述载体是电子信号、光信号、无线电信号或计算机可读存储介质之一。
31.一种用户设备UE,配置成在不可信的接入网络上建立到演进型分组核心网络EPC的额外分组数据网络PDN连接,所述UE包括配置成进行如下操作的电路:
- 采用安全网关SeGW在所述不可信的接入网络上建立第一PDN连接,包括建立因特网密钥交换安全关联IKE SA和建立第一因特网协议安全IPsec SA;
- 发送建立额外IPSec SA的IKE请求消息,所述IKE请求消息包括用于额外PDN连接的PDN类型,并且其中利用在所述IKE SA建立中协商的加密算法和密钥来加密保护所述IKE请求消息;
- 接收指示与所述EPC建立所述额外PDN连接以及建立所述额外IPSec SA的IKE响应消息,所述IKE响应消息包括在所述额外PDN连接上的UE指派地址信息;以及
- 将所述额外IPSec SA捆绑到所述额外PDN连接。
32.如权利要求31所述的UE,其中所述电路包括处理器、通信接口和存储器,所述存储器包含由所述处理器可执行的指令。
33.如权利要求31所述的UE,其中所述IKE请求消息包括指示所述额外PDN连接的切换的之前分配的IP地址。
34.如权利要求33所述的UE,其中所述IKE请求消息包括之前使用的APN和之前使用的PDN-GW地址中的至少一个。
35.如权利要求33所述的UE,其中所述之前分配的IP地址被编码在业务选择器有效载荷中。
36. 如权利要求31所述的UE,其中所述IKE响应消息还包括用于通过所述额外IPSecSA路由PDN连接业务的所述业务选择器。
37.一种用于为不可信的接入网络中的用户设备UE建立到演进型分组核心网络EPC中的分组数据网关PDN-GW的额外分组数据网络PDN连接的安全网关,所述安全网关包括配置成进行如下操作的电路:
- 在所述不可信的接入网络上建立第一PDN连接,包括建立与UE的因特网密钥交换安全关联IKE SA和第一因特网协议安全IPSec SA以及建立与第一PDN GW的第一网络隧道;
- 接收用于建立额外IPSec SA的IKE请求消息,所述IKE请求消息包括用于额外PDN连接的PDN类型,并且其中利用在所述IKE SA建立中协商的加密算法和密钥来加密保护所述IKE请求消息;
- 确定用于所述额外PDN连接的接入点名称APN,并在所述EPC中选择第二PDN-GW用于建立与所述额外IPSec SA关联的额外网络隧道;
- 发送指示与所述第二PDN-GW建立所述额外PDN连接以及建立所述额外IPSec SA的IKE响应消息,所述IKE响应消息包括在所述额外PDN连接上的UE指派地址信息;以及
- 将所述额外IPSec SA捆绑到对于所述额外PDN连接的所述额外网络隧道。
38.如权利要求37所述的安全网关,其中所述IKE请求消息包括APN。
39.如权利要求37所述的安全网关,其中所述IKE请求消息包括指示所述额外PDN连接的切换的之前分配的IP地址。
40.如权利要求39所述的安全网关,其中所述IKE请求消息包括之前使用的APN和之前使用的PDN-GW地址中的至少一个。
41.如权利要求39所述的安全网关,其中所述之前分配的IP地址被编码在业务选择器有效载荷中。
42.如权利要求37所述的安全网关,其中所述IKE响应消息还在标识有效载荷中包括用于选择所述第二PDN-GW的所述APN。
43.一种配置成在不可信的接入网络上建立到演进型分组核心网络EPC的额外分组数据网络PDN连接的用户设备UE,所述UE包括:
- 处理模块,配置成:
- 采用安全网关SeGW来通过通信模块在所述不可信的接入网络上建立第一PDN连接,包括建立因特网密钥交换安全关联IKE SA和建立第一互联网协议安全IPsec SA;
- 通过所述通信模块发送建立额外IPSec SA的IKE请求消息,所述IKE请求消息包括用于额外PDN连接的PDN类型,并且其中利用在所述IKE SA建立中协商的加密算法和密钥来加密保护所述IKE请求消息;
- 通过所述通信模块接收指示与所述EPC建立所述额外PDN连接以及建立所述额外IPSec SA的IKE响应消息,所述IKE响应消息包括在所述额外PDN连接上的UE指派地址信息;以及
- 将所述UE指派地址和所述额外IPSec SA存储在存储模块中,并将所述额外IPSec SA捆绑到所述额外PDN连接;
- 所述通信模块,配置成:
- 发送和接收用于管理所述额外PDN连接的IKE消息;以及
- 利用所述额外IPSec SA发送和接收所述额外PDN连接的业务;
- 所述存储模块,配置成:
- 维持包括所述UE指派地址信息和所述额外IPSec SA的所述额外PDN连接信息。
44. 如权利要求43所述的UE,其中所述IKE请求消息是IKE CREATE_CHILD_SA请求消息。
45. 如权利要求43所述的方法,其中所述IKE响应消息是IKE CREATE_CHILD_SA响应消息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/080052 WO2016187871A1 (en) | 2015-05-28 | 2015-05-28 | Multiple pdn connections over untrusted wlan access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107615825A true CN107615825A (zh) | 2018-01-19 |
| CN107615825B CN107615825B (zh) | 2021-01-05 |
Family
ID=57392414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580080464.0A Active CN107615825B (zh) | 2015-05-28 | 2015-05-28 | 在不可信wlan接入上的多个pdn连接 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10965655B2 (zh) |
| EP (1) | EP3304980B1 (zh) |
| CN (1) | CN107615825B (zh) |
| WO (1) | WO2016187871A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019148500A1 (zh) * | 2018-02-05 | 2019-08-08 | 华为技术有限公司 | 一种切换方法及装置 |
| CN113438094A (zh) * | 2020-03-23 | 2021-09-24 | 华为技术有限公司 | 一种自动更新手工配置IPSec SA的方法和设备 |
| US11212676B2 (en) * | 2016-11-23 | 2021-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | User identity privacy protection in public wireless local access network, WLAN, access |
| WO2022178888A1 (zh) * | 2021-02-27 | 2022-09-01 | 华为技术有限公司 | 一种通信方法及装置 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3324681B1 (en) * | 2015-08-07 | 2019-07-31 | Huawei Technologies Co., Ltd. | Processing method and device for accessing to 3gpp network by terminal |
| US11006467B2 (en) * | 2015-09-24 | 2021-05-11 | Kt Corporation | Method and apparatus for transmitting and receiving data using WLAN radio resources |
| US10855658B2 (en) * | 2015-09-24 | 2020-12-01 | Kt Corporation | Method for transmitting and receiving data using WLAN carriers and apparatus thereof |
| JP2019068113A (ja) * | 2016-02-16 | 2019-04-25 | シャープ株式会社 | 端末装置、MME(MobilityManagementEntity)、および通信制御方法 |
| CN106685701B (zh) * | 2016-12-06 | 2019-12-06 | 杭州迪普科技股份有限公司 | 断开IPSec VPN连接方法及装置 |
| CN109428852B (zh) * | 2017-07-18 | 2023-09-15 | 中兴通讯股份有限公司 | 通信隧道端点地址分离方法、终端、ePDG及存储介质 |
| JP2019033416A (ja) * | 2017-08-09 | 2019-02-28 | シャープ株式会社 | 端末装置、コアネットワーク内の装置、及び通信制御方法 |
| WO2020124230A1 (en) * | 2018-12-19 | 2020-06-25 | Conversant Intellectual Property Management Inc. | System and method for a network access service |
| CN109905310B (zh) * | 2019-03-26 | 2020-12-29 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
| EP4025007A4 (en) * | 2019-09-29 | 2022-09-14 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD AND COMMUNICATION DEVICE |
| US11431730B2 (en) * | 2019-11-25 | 2022-08-30 | Cisco Technology, Inc. | Systems and methods for extending authentication in IP packets |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009058714A2 (en) * | 2007-10-31 | 2009-05-07 | Marvell World Trade Ltd. | A system and method for reselection of a packet data network gateway when establishing connectivity |
| WO2009083429A1 (en) * | 2007-12-27 | 2009-07-09 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-pdn (packet data network) connectivity to one apn (access point name) |
| EP2166724A1 (en) * | 2008-09-23 | 2010-03-24 | Panasonic Corporation | Optimization of handovers to untrusted non-3GPP networks |
| US20100199332A1 (en) * | 2007-06-19 | 2010-08-05 | Panasonic Corporation | Access-Network to Core-Network Trust Relationship Detection for a Mobile Node |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI110558B (fi) | 2000-05-24 | 2003-02-14 | Nokia Corp | Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi |
| CN101448252B (zh) * | 2008-06-20 | 2011-03-16 | 中兴通讯股份有限公司 | 网络切换实现方法及系统以及移动节点 |
| CA2748736C (en) * | 2009-01-05 | 2014-08-12 | Nokia Siemens Networks Oy | Trustworthiness decision making for access authentication |
| US9565167B2 (en) * | 2015-01-21 | 2017-02-07 | Huawei Technologies Co., Ltd. | Load balancing internet protocol security tunnels |
| WO2016153402A1 (en) * | 2015-03-25 | 2016-09-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Configuration of liveness check timeout using ike messages |
| US9699635B2 (en) * | 2015-03-31 | 2017-07-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for facilitating emergency calls over wireless communication systems |
-
2015
- 2015-05-28 WO PCT/CN2015/080052 patent/WO2016187871A1/en active Application Filing
- 2015-05-28 CN CN201580080464.0A patent/CN107615825B/zh active Active
- 2015-05-28 EP EP15892952.1A patent/EP3304980B1/en active Active
- 2015-05-28 US US15/575,466 patent/US10965655B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100199332A1 (en) * | 2007-06-19 | 2010-08-05 | Panasonic Corporation | Access-Network to Core-Network Trust Relationship Detection for a Mobile Node |
| WO2009058714A2 (en) * | 2007-10-31 | 2009-05-07 | Marvell World Trade Ltd. | A system and method for reselection of a packet data network gateway when establishing connectivity |
| WO2009083429A1 (en) * | 2007-12-27 | 2009-07-09 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-pdn (packet data network) connectivity to one apn (access point name) |
| EP2166724A1 (en) * | 2008-09-23 | 2010-03-24 | Panasonic Corporation | Optimization of handovers to untrusted non-3GPP networks |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11212676B2 (en) * | 2016-11-23 | 2021-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | User identity privacy protection in public wireless local access network, WLAN, access |
| WO2019148500A1 (zh) * | 2018-02-05 | 2019-08-08 | 华为技术有限公司 | 一种切换方法及装置 |
| CN111602428A (zh) * | 2018-02-05 | 2020-08-28 | 华为技术有限公司 | 一种切换方法及装置 |
| US11252649B2 (en) | 2018-02-05 | 2022-02-15 | Huawei Technologies Co., Ltd. | Switching method and apparatus |
| CN111602428B (zh) * | 2018-02-05 | 2022-03-29 | 华为技术有限公司 | 一种切换方法及装置 |
| CN113438094A (zh) * | 2020-03-23 | 2021-09-24 | 华为技术有限公司 | 一种自动更新手工配置IPSec SA的方法和设备 |
| WO2022178888A1 (zh) * | 2021-02-27 | 2022-09-01 | 华为技术有限公司 | 一种通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016187871A1 (en) | 2016-12-01 |
| EP3304980A1 (en) | 2018-04-11 |
| US20180191493A1 (en) | 2018-07-05 |
| US10965655B2 (en) | 2021-03-30 |
| EP3304980B1 (en) | 2020-04-29 |
| CN107615825B (zh) | 2021-01-05 |
| EP3304980A4 (en) | 2019-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107615825A (zh) | 在不可信wlan接入上的多个pdn连接 | |
| JP6823047B2 (ja) | セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子 | |
| KR100741996B1 (ko) | 액세스 네트워크를 경유하여 접속을 설정하는 방법 및시스템 | |
| JP4160049B2 (ja) | 第1のネットワークを通じた第2のネットワークのサービスへのアクセスを提供する方法及びシステム | |
| JP5069320B2 (ja) | Uiccなしコールのサポート | |
| WO2019104124A1 (en) | Secure authentication of devices for internet of things | |
| CN107736047A (zh) | 用于蜂窝物联网的网络安全架构 | |
| CN107852600A (zh) | 具有简化的移动性过程的网络架构和安全 | |
| WO2018170617A1 (zh) | 一种基于非3gpp网络的入网认证方法、相关设备及系统 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| KR20130040210A (ko) | 모바일 스테이션을 통신 네트워크에 연결시키는 방법 | |
| CN107466465A (zh) | 使用互联网密钥交换消息来配置活动性检查 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN104683343B (zh) | 一种终端快速登录WiFi热点的方法 | |
| US20230275883A1 (en) | Parameter exchange during emergency access using extensible authentication protocol messaging | |
| CN101860862B (zh) | 终端移动到增强utran时建立增强密钥的方法及系统 | |
| US11109219B2 (en) | Mobile terminal, network node server, method and computer program | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| US11432348B2 (en) | Selecting local gateways for VoWiFi and ViWiFi | |
| CN108924832A (zh) | 用于安全Wi-Fi通话的方法、设备和系统 | |
| WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 | |
| KR100725974B1 (ko) | 제 1 네트워크를 통해 제 2 네트워크의 서비스에 대한액세스를 제공하는 방법 및 시스템 | |
| JP2008182695A (ja) | 第1のネットワークを通じて第2のネットワークのサービスへのアクセスを提供する方法及びシステム | |
| Vintilă et al. | A J-PAKE based solution for secure authentication in a 4G network | |
| WO2024069616A1 (en) | User equipment (ue) access support for a standalone non-public network (snpn) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |