CN108353284A - 通信系统中的网关节点的选择 - Google Patents
通信系统中的网关节点的选择 Download PDFInfo
- Publication number
- CN108353284A CN108353284A CN201680063987.9A CN201680063987A CN108353284A CN 108353284 A CN108353284 A CN 108353284A CN 201680063987 A CN201680063987 A CN 201680063987A CN 108353284 A CN108353284 A CN 108353284A
- Authority
- CN
- China
- Prior art keywords
- gateway node
- mobile terminal
- communication network
- network
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Abstract
方法和系统被提供用于当移动终端附着到不可信的无线接入网络同时该移动终端漫游出它的归属通信网络并进入受访通信网络时通过该移动终端进行的网关节点选择。方法和系统也被提供用于处理当移动终端附着到不可信的无线接入网络同时该移动终端漫游出它的归属通信网络并进入受访通信网络时由该移动终端对网关节点的连接请求。当移动终端漫游出它的归属通信网络并进入受访通信网络时,一些实施例可以阻止或以其他方式防止移动终端连接到它的归属通信网络中的网关节点,此时该移动终端没有被授权或被允许这样做。
Description
相关申请的交叉引用
本申请要求2015年11月3日在美国专利商标局提交的编号为62/250,144、题目为“通信系统中的网关节点的选择”的美国临时专利申请的优先权益,其内容通过引用的方式并入于此。
技术领域
本公开一般涉及通信系统中的网络节点的选择,更具体地涉及通信系统中的网关节点的选择。
背景技术
在基于3GPP标准的通信系统中,对一般被称为演进型分组核心(EPC)的核心网络的无线接入典型地由演进型通用陆地无线接入网(EUTRAN)提供。EUTRAN更通常被称为LTE无线接入网络。然而,EPC已经被开发为也支持诸如GSM EDGE无线接入网络(GERAN)和UMTS陆地无线接入网络(UTRAN)之类的其它3GPP无线接入技术,以及诸如在IEEE 802.11标准下运行的无线局域网(即,WiFi)之类的非3GPP无线接入技术。
3GPP TS 23.402描述了要求通过非3GPP无线接入技术提供对EPC的接入的基本网络体系结构。如图1所示,非3GPP无线接入网络可以是可信的或不可信的。将给定的非3GPP无线接入网络认定为可信还是不可信的决定是由寻求接入的3GPP通信系统的运营商来做出。当给定的非3GPP无线接入网络被认定为可信时,该非3GPP无线接入网络能够直接接入位于EPC中的分组数据网络网关(PGW),PGW提供对分组数据网络(例如,互联网)以及其它的基于分组的服务(例如,IP多媒体子系统(IMS))的接入。这在图1中通过可信的非3GPP无线接入网络与PGW之间的直接逻辑链路来示出。然而,当该非3GPP无线接入网络被认定为不可信时,对PGW的接入通过也位于EPC中的演进型分组数据网关(ePDG)来提供。如图1所示,该ePDG在不可信的非3GPP无线接入网络与PGW之间起中间网关节点的作用。在这种意义上,该ePDG通常负责在附着到不可信的非3GPP无线接入网络的移动终端或用户设备(UE)与该ePDG之间提供安全隧道。
当通过不可信的非3GPP无线接入网络寻求对EPC的接入的移动终端另外位于或附着到其归属3GPP通信系统(也被称为归属公共移动网络(HPMN))时,由于移动终端通常将连接到位于其归属3GPP通信系统中(即,在其HPMN中)的ePDG,ePDG选择不是问题。
然而,当移动终端漫游到受访3GPP通信系统(也被称为受访公共移动网络(VPMN))中时,通过不可信的非3GPP无线接入网络对EPC的接入通常是由移动终端的HPMN的运营商所决定的政策或制造商所决定的政策来确定。3GPP TS 23.402规定移动终端能够被配置为通过静态配置或以动态方式选择ePDG。例如,HPMN运营商可能更喜欢归属路由解决方案,其中移动终端被静态配置为连接到位于HPMN内的ePDG,ePDG然后连接到也位于HPMN内的PGW。然而,如果移动终端被配置为动态选择ePDG,该移动终端例如通过DNS请求检索位于VPMN内的ePDG的地址,然后与其连接。
尽管如此,某些区域或国家的规定可能要求漫游的移动终端在受访通信网络中选择ePDG。这是由于例如这样的事实:在VPMN中提供呼叫和其它语音服务的运营商可能受到基于服务的合法监听和数据保留。如果所选择的ePDG位于归属通信网络(例如,HPMN)中,那么运营商可能不能履行其与对漫游的移动终端的基于服务的合法监听和数据保留有关的法律义务。
发明内容
一些实施例提供用于当移动终端附着到不可信的无线接入网络同时该移动终端漫游出其归属通信网络并且进入受访通信网络时,通过该移动终端进行网关节点选择的方法和系统。一些实施例提供用于处理当移动终端附着到不可信的无线接入网络同时该移动终端漫游出其归属通信网络并且进入受访通信网络时由该移动终端对网关节点的连接请求的方法和系统。当一个移动终端正漫游出它的归属通信网络并进入一个受访通信网络,一些实施例可以阻止或以其他方式防止移动终端连接到其归属通信网络中的网关节点,此时该移动终端没有被授权或允许这样做。
根据一个方面,一些实施例包括一种当移动终端在受访通信网络中时与归属通信网络相关联的该移动终端中的方法。该方法包括接收该受访网络的标识,并且接收在附着到不可信的接入网络之后连接到所述受访网络中的网关节点的指示。该方法还包括附着到不可信的接入网络,根据在附着到不可信的接入网络之后连接到所述受访网络中的网关节点的指示,通过所述不可信的接入网络发送连接请求给所述受访网络中的网关节点,所述连接请求至少包括所述受访网络的标识和所述移动终端的标识,并且从该受访网络的网关节点接收连接响应,该连接响应至少包括到所述受访网络中的网关节点的连接被授权的指示。
根据另一个方面,一些实施例包括一种当移动终端在受访通信网络中时与归属通信网络相关联的该移动终端中的方法。该方法包括接收该受访网络的标识,并且接收在附着到不可信的接入网络之后连接到所述受访网络中的网关节点的指示。该方法还包括附着到不可信的接入网络,通过该不可信的接入网络发送连接请求给该归属网络中的网关节点,该连接请求至少包括该受访网络的标识和该移动终端的标识,并且从该归属网络中的网关节点接收连接响应,该连接响应至少包括到所述归属网络中的网关节点的连接未被授权的指示。
在一些实施例中,该连接响应可以包括,或进一步包括,连接到该受访网络中的网关节点的指示。在一些实施例中,该连接响应可以包括,或进一步包括,该受访网络中的网关节点的标识。
在一些实施例中,该方法可以进一步包括响应于接收到至少包括到所述归属网络中的网关节点的连接未被授权的指示的连接响应,通过该不可信的接入网络发送后续的连接请求给该受访网络中的网关节点。在这样的实施例中,该后续的连接请求可以至少包括该受访网络的标识和该移动终端的标识。
根据另一个方面,一些实施例包括被配置为执行一个或更多个在此所述的移动终端功能的移动终端。该移动终端包括被配置为与一个或更多个通信网络和/或与一个或更多个网关节点进行通信的接口电路,以及可操作地连接到该接口电路的处理电路,该处理电路被配置为执行在此所述的移动终端功能。
根据另一个方面,一些实施例包括被配置为执行一个或更多个在此所述的功能的移动终端。该移动终端包括被配置为接收受访网络的标识的接收模块,以及被配置为接收在附着到不可信的无线接入网络之后连接到所述受访网络中的网关节点的指示的接收模块。该移动终端还包括被配置为附着到不可信的无线接入网络的附着模块。该移动终端还包括发送模块,在一些实施例中,其被配置为发送连接请求给受访网络中的网关节点,而在其它的实施例中,其被配置为发送连接请求给归属网络中的网关节点。该移动终端还包括接收模块,在一些实施例中,其被配置为从受访网络中的网关节点接收连接响应,而在其它的实施例中,其被配置为从归属网络中的网关节点接收连接响应。
根据另一个方面,一些实施例包括存储包括指令的计算机程序产品的非暂时性计算机可读介质,当指令通过该移动终端的处理电路(例如,处理器)来执行时,其将该处理电路配置为执行一个或更多个在此所述的移动终端功能。
根据另一个方面,一些实施例包括处理通信网络的网关节点中的连接请求的方法。该方法包括从与归属通信网络相关联但位于受访通信网络中的移动终端接收连接请求,该连接终端附着到不可信的接入网络,该连接请求至少包括该受访网络的标识和该移动终端的标识。该方法还包括发送认证和授权请求给认证服务器,该认证和授权请求至少包括该受访网络的标识和该移动终端的标识。该方法也包括从认证服务器接收认证和授权响应,该认证和授权响应至少包括关于从该移动终端到该网关节点的连接是否被授权的指示。该方法还包括发送连接响应给该移动终端,该连接响应至少包括关于该移动终端是否被授权连接到网关节点的指示。
在一些实施例中,其中网关节点位于归属网络中,关于该移动终端是否被授权连接到网关节点的指示指示该移动终端没有被授权连接到该网关节点。在一些实施例中,该连接响应可以包括,或进一步包括,连接到受访网络中的网关节点的指示。在一些实施例中,该连接响应可以包括,或进一步包括,受访网络中的网关节点的标识。
根据另一个方面,一些实施例包括被配置为执行一个或更多个在此所述的网关节点功能的网关节点。该网关节点包括被配置为与一个或更多个通信网络通信和/或与一个或更多个网关节点进行通信的接口电路,以及可操作地连接该接口电路的处理电路,该处理电路被配置为执行在此所述的网关节点功能。
根据另一个方面,一些实施例包括被配置为执行在此所述的一个或更多个网关节点功能的网关节点。该网关节点包括被配置为从与归属通信网络相关联但位于受访通信网络中的移动终端接收连接请求的接收模块,该移动终端附着到不可信的接入网络,该连接请求至少包括该受访网络的标识和该移动终端的标识。该网关节点还包括被配置为给认证服务器发送认证和授权请求的发送模块,该认证和授权请求至少包括该受访网络的标识和该移动终端的标识,并且该网关节点还包括被配置为从认证服务器接收认证和授权响应的接收模块,该认证和授权响应至少包括关于该移动终端是否被授权连接到该网关节点的指示。该网关节点还包括被配置为发送连接响应给该移动终端的发送模块,该连接响应至少包括关于该移动终端是否被授权连接到该网关节点的指示。
根据另一个方面,一些实施例包括存储包括指令的计算机程序产品的非暂时性计算机可读介质,指令当通过该网关节点的处理电路(例如,处理器)来执行时,将该处理电路配置为执行一个或更多个在此所述的网关节点功能。
根据另一个方面,一些实施例包括一种处理通信网络的认证服务器中的连接请求的方法。该方法包括从网关节点接收认证和授权请求,该认证和授权请求至少包括与归属通信网络相关联但位于受访通信网络中的移动终端的标识,该移动终端附着到不可信的接入网络,并且该认证和授权请求还包括受访通信网络的标识。该方法还包括至少部分基于该受访网络的标识,以及至少一个连接规则,确定该移动终端是否被授权连接到该网关节点。该方法还包括发送认证和授权响应给该网关节点,该认证和授权响应至少包括关于该移动终端是否被授权连接到该网关节点的指示。
在一些实施例中,该方法可以进一步包括从位于受访网络中的认证服务器检索至少一个连接规则。
在一些实施例中,其中网关节点位于归属网络中,关于移动终端是否被授权连接到网关节点的指示指示该移动终端没被授权连接到该网关节点。在一些实施例中,认证和授权响应可以包括,或进一步包括,连接到受访网络中的网关节点的指示。在一些实施例中,该认证和授权响应可以包括,或进一步包括,受访网络中的网关节点的标识。
在一些实施例中,其中,网关节点位于受访网络中,关于移动终端是否被授权连接到网关节点的指示指示该移动终端被授权连接到该网关节点。
根据另一个方面,一些实施例包括被配置为执行一个或更多个在此所述的认证服务器功能的认证服务器。该认证服务器包括被配置为与一个或更多个通信网络和/或一个或更多个网关节点进行通信的接口电路,以及可操作地连接到该接口电路的处理电路,该处理电路被配置为执行在此所述的认证服务器功能。
根据另一个方面,一些实施例包括被配置为执行一个或更多个在此所述的认证服务器功能的认证服务器。该认证服务器包括被配置为从网关节点接收认证和授权请求的接收模块,该认证和授权请求至少包括与归属通信网络相关联但位于受访通信网络中的移动过终端的标识,该移动终端附着到不可信的接入网络,该认证和授权请求还包括受访通信网络的标识。该认证服务器还包括被配置为至少部分基于受访网络的标识,和至少一个连接规则,确定移动终端是否被授权连接到网关节点的确定模块。该认证服务器还包括被配置为发送认证和授权响应给网关节点的发送模块,认证和授权响应包括关于该移动终端是否被授权连接到该网关节点的指示。
根据另一个方面,一些实施例包括存储包括指令的计算机程序产品的非暂时性计算机可读介质,当指令通过认证服务器的处理电路(例如,处理器)被执行时,其将该处理电路配置为执行一个或更多个在此所述的认证服务器功能。
通过结合附图阅读以下对示例性实施例的描述,其他方面和特征对于本领域普通技术人员而言将变得显而易见。
附图说明
当结合附图考虑时,通过参考下面的详细描述,将更容易理解在此描述的实施例及其伴随的优点和特征的更完整的理解,其中:
图1示出了根据3GPP标准的简化的网络体系结构的框图。
图2示出了根据一些实施例的简化的网络体系结构的框图。
图3示出了根据一些实施例的信令图。
图4示出了根据一些实施例的另一信令图。
图5示出了根据一些实施例的连接到网关节点的过程的流程图。
图6示出了根据一些实施例的另一连接到网关节点的过程的流程图。
图7示出了根据一些实施例的处理网关节点中的连接请求的过程的流程图。
图8示出了根据一些实施例的处理认证服务器中的连接请求的过程的流程图。
图9示出了根据一些实施例的移动终端的框图。
图10示出了根据一些实施例的移动终端的另一框图。
图11示出了根据一些实施例的网关节点的框图。
图12示出了根据一些实施例的网关节点的另一框图。
图13示出了根据一些实施例的认证服务器的框图。
图14示出了根据一些实施例的认证服务器的另一框图
具体实施方式
以下阐述的实施例表示使本领域技术人员能够实践这些实施例的信息。在根据附图阅读以下描述后,本领域的技术人员将理解说明书的概念并且将认识到这里未特别提到的这些概念的应用。应该理解,这些概念和应用落入本说明书的范围内。
在以下描述中,阐述了许多具体细节。然而,应该理解,可以在没有这些具体细节的情况下实践本公开的实施例。在其他情况下,为了不模糊对本说明书的理解,未详细示出公知的电路,结构和技术。具有所包含的描述的本领域普通技术人员将能够实现适当的功能而无需过度的实验。
在说明书中提到的“一个实施例”、“实施例”、“示例实施例”等指示所描述的实施例可以包括特定的特征、结构或特性,但是每个实施例可能不一定包括该特定的特征、结构或特性。而且,这样的短语不一定指相同的实施例。此外,当结合实施例来描述特定的特征、结构或特性时,认为结合其他实施例实现这样的特征、结构或特性是在本领域技术人员的知识范围内的,无论是否明确描述。
在说明书中,可以使用术语“耦合”和“连接”及其派生词。应该理解,这些术语不是作为彼此的同义词。“耦合”用于指示两个或更多个可能或可能不彼此直接物理或电接触的元件彼此协作或相互作用。“连接”用于指示两个或更多个彼此耦合的元件之间的通信的建立。
一些实施例提供用于在移动终端附着到不可信无线接入网络同时该移动终端漫游出它的归属通信网络并进入受访通信网络时通过移动终端进行网关节点选择的方法和系统。一些实施例提供用于处理在移动终端附着到不可信无线接入网络同时该移动终端漫游出它的归属通信网络并进入受访通信网络时由移动终端对网关节点的连接请求的方法和系统。一些实施例可以有利地阻止或以其他方式防止移动终端连接到它的归属通信网络中的一个网关节点,当该移动终端没有被授权或被没有被允许这样做时。
将在3GPP和IETF标准的上下文中描述若干实施例,并且因此,为了清楚起见将使用这些标准的术语。然而,对3GPP和/或IETF标准及其术语的引用不应被解释为将本公开的范围限制为这样的标准。
现在参考图2,其中可以部署实施例的简化的通信系统10被描绘。通信系统10包括两个通信网络20,一个通常被称为归属公共移动网络(HPMN),另一个通常被称为受访公共移动网络(VPMN),通信系统10还包括不可信的无线接入网络40。
通信网络20各自包括无线接入网络22(例如,诸如LTE之类的3GPP无线接入网络)、以及核心网络24(例如,诸如EPC之类的3GPP核心网络)。无线接入网络22通过多个基站(例如eNB),提供与位于它们的覆盖区域内的各种移动终端(在3GPP标准中通常被称为UE)的空中接口。就其本身而言,核心网络24包括为通信网络20执行各种功能的一系列的网络节点。
可理解地,归属网络和受访网络的概念通常是从给定的移动终端50的角度来确定的。移动终端50的归属网络20为该移动终端是其用户的网络,它是其中移动终端的用户配置文件被保存的网络。就其本身而言,移动终端50的受访网络20为该移动终端不是其用户的网络,但是该移动终端仍然能够从该网络接收服务,例如由于归属网络20与受访网络20之间的漫游协议。在这方面,一个移动终端50的归属网络20可以是另一个移动终端50的受访网络20。
当归属网络20的移动终端50漫游到例如受访网络20的受访网络时,移动终端50通过受访网络20的无线接入网络22附着到受访网络20。在附着到受访网络20之后,移动终端50与受访网络20的移动管理实体(MME)30交换凭证和其它的信息。在该网络附着交换期间,移动终端50发送它的标识,例如,它的国际移动用户标识(IMSI),它的移动台国际用户目录号(MSISDN),等等,并且接收受访网络的标识,例如小区全球标识符(CGI),VPMN ID,等等。
尽管被附着到受访网络20,移动终端50可附着到不可信的无线接入网络40。在3GPP标准的上下文中,这样的不可信的无线接入网络通常被称为不可信的非3GPP无线接入网络,以区别于诸如LTE无线接入网络之类的3GPP无线接入网络22。
根据现在的3GPP标准,当移动终端希望通过不可信的非3GPP无线接入网络接入3GPP网络时,该移动终端必须通过该不可信的非3GPP无线接入网络连接到网关节点36,网关节点36在3GPP标准用语中通常被称为演进型分组数据网关(ePDG)。
ePDG通常负责在被附着到不可信的非3GPP无线接入网络的移动终端与位于3GPP核心网络中的分组数据网络网关(PGW)之间提供安全和加密的通信隧道。
移动终端50的归属网络20和受访网络20都有ePDG 36,分别为归属ePDG 36和受访ePDG 36。根据3GPP TS 23.402的第4.5.4节,移动终端可以通过静态配置或以动态方式来选择ePDG。
该选择配置,静态还是动态,通常由移动终端的归属网络的运营商来决定。然而,在某些情况下,某些地区和国家的规定可能要求漫游到受访网络的移动终端总是选择受访区域中的ePDG。这可能由于,例如,网络运营商的能够对其各自的网络区域内的移动终端执行合法监听和数据保留的法律义务。如果移动终端已经被配置为与它的归属网络的ePDG连接,那么受访网络的运营商可能无法履行其关于合法监听和数据保留的法律义务。
因此,根据一些实施例,漫游到受访网络的移动终端可被指示独立于该移动终端上存在的ePDG连接配置而连接到受访网络的ePDG。根据一些实施例,当漫游到受访网络时,替代地或附加地,移动终端可以被阻止连接到它的归属网络的ePDG。
现在参考图3,实施例的信令图被示出。移动终端50首先附着到受访的3GPP网络(VPMN),它在该网络中漫游(步骤302)。在附着过程中,移动终端50与受访的3GPP网络20的MME 30交换凭证和信息。该附着过程的实例被描述在3GPP TS 23.401的5.3.2.1节中。不管怎样,在该交换期间,移动终端50发送它的标识,通常以IMSI或MSISDN的形式,并且接收受访的3GPP网络20的标识,通常以VPMN ID或任何其它的包括VPMN ID或能够被用于得到它的识别信息的形式。例如,MME 30能够发送如在3GPP TS 23.003的第4.3.1节中所定义的小区全球标识(CGI),其包括移动国家代码(MCC),移动网络代码(MNC),位置区域标识(LAC),以及小区标识(CI)。在一些实施例中,MCC和MNC的组合是PMN ID。在附着到不可信的非3GPP无线接入网络40之后,移动终端50还从MME 30接收指示以连接到受访的3GPP网络中的ePDG36。
移动终端50然后附着或以其它方式连接到可以根据IEEE 802.11标准操作的诸如无线局域网(WLAN)之类的不可信的非3GPP无线接入网络40(步骤304)。这样的不可信的非3GPP无线接入网络可以被称为WiFi网络,它包括一个或更多个接入点(AP)42。在移动终端50与该不可信的非3GPP无线接入网络40之间的附着过程期间,该不可信的非3GPP无线接入网络40可以可选地通过与归属用户服务器(HSS)34交换信息和凭证来认证并授权移动终端50(步骤306)。
在成功附着到该不可信的非3GPP无线接入网络40之后,移动终端50在安全通信隧道(例如IPSec遂道)建立之前与位于受访网络20中的ePDG 36握手(步骤308)。在一些实施例中,移动终端50可能已经选择了受访的3GPP网络中的ePDG 36是响应于在初始附着到受访网络20期间接收的在附着到不可信的非3GPP无线接入网络40之后连接到该受访网络中的ePDG 36的指示。在一些实施例中,移动终端50按照归属网络运营商的政策或如来自MME的指示所指示的,可能已经选择了受访的3GPP网络的ePDG 36。
在移动终端50和ePDG 36之间的这种初始握手交换例如被用于协商在安全通信遂道的建立期间可能需要的加密算法。尽管各种握手交换可被使用,在一些实施例中,如在IETF RFC 5996中所述的IKE_SA_INIT交换被使用。
移动终端50然后发送连接请求给ePDG 36(步骤310)。在一些实施例中,该连接请求可以是如在IETF RFC 5996中和在3GPP TS 33.402中所述的IKE_AUTH请求。不管怎样,该连接请求至少包括受访网络的标识(VPMN ID),以及移动终端的标识(例如,IMSI,MSISDN,MAC地址,本地IP地址,等等),还可能包括移动终端50希望连接的接入点名称(APN)。例如,如果移动终端50附着到不可信的非3GPP无线接入网络40以执行通过WiFi的语音呼叫,移动终端50可以包括将服务该通过WiFi的语音呼叫的IMS网络的APN。
在接收到来自移动终端50的连接请求之后,ePDG 36发送认证和授权(在图中被称为“A和A”)请求给受访网络20中的认证服务器32(步骤312),受访网络20中的认证服务器32进一步转发该认证和授权请求给归属网络中的认证服务器32(步骤314)。该认证和授权请求至少包括受访网络的标识,以及移动终端的标识。该认证和授权请求试图认证移动终端的身份,并且确定移动终端50是否被授权连接到ePDG 36。在本实施例中,认证服务器32是认证、授权和记账(AAA)服务器32。
为了认证移动终端50,归属AAA服务器32与其交换认证质询和响应(步骤318)。在一些实施例中,该认证交换可以是在3GPP TS 33.402的第8.2.2节中所描述的认证交换。在一些实施例中,归属AAA服务器32额外地可以与HSS 34通信,以认证移动终端50(步骤316)。在认证交换之前、期间或之后,归属AAA服务器32基于关于从漫游的移动终端到ePDG的连接的一个或更多个规则来确定到ePDG 36的连接是否被授权或以其他方式被允许(步骤320)。
关于从漫游的移动终端到ePDG的连接的规则的示例可以包括:
如果移动终端的VPMN ID==ePDG的PMN ID
那么连接被授权;
否则连接被拒绝
如果归属AAA服务器32确定移动终端50被授权连接到ePDG,例如因为移动终端50的VPMN ID与受访的ePDG 36的PMN ID相同,则归属AAA服务器32向受访的AAA服务器32返回包括认证成功和授权成功的指示的认证和授权响应,受访的AAA服务器32进一步转发它给ePDG 36(步骤324)。
ePDG 36然后通过连接响应将认证成功和授权成功的指示中继给移动终端50。在一些实施例中,该连接响应可以是如在IETF RFC 5996中和在3GPP TS 33.402中所描述的IKE_AUTH响应。不管怎样,在这一点上,移动终端50与受访网络中的ePDG 36之间的安全遂道被建立。
在一些实施例中,归属AAA服务器32可能不知道或以其它方式知道要应用于给定的受访网络20中的漫游的移动终端的特定规则。在这种情况下,在确定到归属ePDG 36的连接是否被授权或以其它方式被允许用于漫游的移动终端50(步骤320)之前,归属AAA服务器32从识别的受访网络20中的AAA服务器32检索合适的规则。为了这样做,在一些实施例中,归属AAA服务器32发送验证请求给受访的AAA服务器32(步骤328),该验证请求包括受访网络的标识(例如VPMN ID)和移动终端的标识。受访的AAA服务器32然后检索合适的规则(步骤330),如果有的话,并且发回验证响应给归属网络20中的AAA服务器32,该验证响应包括一个或更多个规则,如果有的话,或至少其标识(步骤332)。在接收到一个或更多个规则或其标识之后,归属AAA服务器32执行如上所述的确定(步骤320)。
然而,尽管漫游到受访的3GPP网络,并且尽管被指示在附着到不可信的非3GPP无线接入网络之后连接到该受访的3GPP网络的ePDG,移动终端50尝试与它的归属网络的ePDG建立安全遂道是可能的。这可能是因为移动终端50没有被配置为处理从受访的3GPP网络接收到的ePDG连接指令,或者因为移动终端50已经例如由它的归属网络的运营商预先配置为即使在漫游时也总是连接到归属ePDG,尽管从受访的3GPP网络接收到相反的指令。图4是示出这样的实施例的信令图。
如图3中那样,在图4的实施例中,移动终端50首先附着到受访网络20(步骤402),然后附着到或以其它方式连接到不可信的非3GPP无线接入网络40(步骤404)。不可信的非3GPP无线接入网络40然后可选地可以用HSS 34认证移动终端(步骤406)。
一旦移动终端50附着到不可信的非3GPP无线接入网络40,移动终端50例如根据该移动终端50的内部配置与它的归属网络20中的ePDG 36握手(步骤408)。正如已经提及的,在移动终端50和ePDG 36之间的这种初始握手交换例如被用于协商将在安全通信遂道的建立期间所需的加密算法。尽管各种握手交换可被使用,在一些实施例中,如在IETF RFC5996中所描述的IKE_SA_INIT交换被使用。
在该初始握手交换完成之后,移动终端50发送连接请求给归属ePDG36(步骤410)。该连接请求至少包括受访网络的标识,以及移动终端的标识,还可能包括移动终端50希望连接的接入点名称(APN)。在一些实施例中,该连接请求可以是如在IETF RFC 5996中和在3GPP TS 33.402中所描述的IKE_AUTH请求。
在从移动终端50接收到连接请求之后,归属ePDG 36发送认证和授权请求给归属网络中的AAA服务器32(步骤412)。该认证和授权请求至少包括受访网络的标识,以及移动终端的标识。
为了认证移动终端50,AAA服务器32与移动终端50交换认证质询和响应(步骤414)。在一些实施例中,这种认证交换可以是在3GPP TS33.402的第8.2.2节中描述的认证交换。在一些实施例中,归属AAA 32可以额外地与HSS 34通信以认证移动终端50(步骤416)。不管怎样,在认证交换之前、期间或之后,AAA服务器32至少部分基于由移动终端所提供的受访网络的标识以及关于从漫游的移动终端到归属ePDG的连接的至少一个规则来确定到归属ePDG 36的连接是否被授权或以其它方式被允许(步骤418)。在一些实施例中,归属AAA服务器32可以知道用于给定的VPMN ID的这样的规则。例如,AAA服务器32可以已经被预先提供这样的规则,或可以已经从其它网络20的AAA服务器32检索了这样的规则。不管怎样,在一些实施例中,归属AAA服务器32可以自行确定移动终端50是否被授权连接到归属ePDG 36,尽管是在受访网络中。如果AAA服务器32确定移动终端50被授权连接到归属ePDG36,AAA服务器32将包括认证成功和授权成功的指示的认证和授权响应返回给归属ePDG36。归属ePDG 36然后将认证成功和授权成功的指示中继给移动终端50。在这一点上,在移动终端50和归属网络中的ePDG之间的安全遂道被建立。
然而,如果归属AAA服务器32至少部分基于受访网络的标识(VPMN ID)以及关于从漫游的移动终端到归属ePDG的连接的至少一个规则,确定移动终端50没被授权连接到归属ePDG 36,归属AAA服务器32然后将包括认证成功但授权被拒绝的指示的认证和授权响应返回给归属ePDG(步骤420)。归属ePDG 36然后将连接响应中继给移动终端50,该连接响应包括认证成功但授权被拒绝的指示(步骤422)。在一些实施例中,该连接响应可以是如在IETFRFC 5996中和在3GPP TS 33.402中所描述的IKE_AUTH响应。不管怎样,在这一点上,在移动终端50和归属ePDG36之间建立安全遂道的过程被停止。
尽管没有示出,在一些实施例中,认证和授权响应(步骤420)和连接响应(步骤422)可以进一步包括连接到受访网络20中的ePDG 36的指示,还可能包括受访网络20中的ePDG 36的标识。在这样的实施例中,移动终端50可以响应于从归属网络20中的ePDG 36接收指示连接到受访网络20中的ePDG 36的连接响应,通过不可信的接入网络40发送后续的连接请求给受访网络20中的ePDG 36,该后续的连接请求至少包括受访网络的标识和移动终端的标识。
在一些实施例中,认证成功但授权被拒绝的指示可以通过在IETF RFC 4187中所描述的AT_NOTIFICATION有效载荷来携带。从这个意义上来说,AT_NOTIFICATION有效载荷可以携带与在IETF RFC 4187中所规定的与“用户已经被暂时拒绝访问所请求的服务”对应的通用错误消息或代码“1026”。或者,AT_NOTIFICATION有效载荷可以携带与“用户已经被拒绝访问所请求的服务”对应的特定错误消息或代码。
在一些实施例中,归属AAA服务器32可能不知道或以其他方式知道要应用于给定的受访网络20中的漫游的移动终端的特定规则。在这种情况下,在确定到归属ePDG 36的连接是否被授权或以其他方式被允许用于漫游的移动终端50(步骤418)之前,归属AAA服务器32从识别的受访网络20中的AAA服务器32检索合适的规则。为了这样做,在一些实施例中,归属AAA服务器32发送验证请求给受访的AAA服务器32(步骤424),该验证请求包括受访网络的标识(例如VPMN ID)和移动终端的标识。受访的AAA服务器32然后检索合适的规则(步骤426),如果有的话,并且发回验证响应给归属网络20中的AAA服务器32,该验证响应包括一个或更多条规则,如果有的话,或至少其标识(步骤428)。在接收到一个或更多条规则或其标识之后,归属AAA服务器32执行如上所述的确定(步骤418)。
图5和图6是当移动终端在受访的网络中漫游时连接到ePDG(例如网关节点)的示例性过程的流程图。从图5开始,该过程开始于移动终端接收受访网络的标识(方框502),以及接收在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示(方框504)。尽管表示为两个不同的步骤,接收受访网络的标识和接收在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示可以在同一消息内或在同一消息交换期间(例如在初始附着到受访网络期间)发生。然后,移动终端附着到不可信的无线接入网络(方框506)。移动终端然后发送连接请求给受访网络的ePDG(方框508),该连接请求通常至少包括移动终端附着到的受访网络的标识,以及移动终端的标识。在一些实施例中,移动终端可以发送连接请求给受访网络的ePDG,因为它已经被受访网络的MME或其它控制节点指示这样做,即响应于或者根据在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示。在一些实施例中,移动终端可以发送连接请求给受访网络的ePDG,因为它已经由它的归属网络的运营商配置为当漫游时连接到受访网络的ePDG。不管怎样,移动终端随后从受访的3GPP网络的ePDG接收连接响应(方框510),该连接响应包括关于该移动终端是否被授权与ePDG连接的指示。
现在转到图6,该过程通常如图5那样开始于移动终端50接收受访网络20的标识(方框602),以及接收在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示(方框604)。再一次,尽管显示为两个不同的步骤,接收受访网络的标识和接收在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示可以在同一消息内或在同一消息交换期间(例如在初始附着到受访网络期间)发生。然后,移动终端附着到不可信的无线接入网络(方框606)。然而,在这种情况下,移动终端发送连接请求给它的归属网络的ePDG(方框608),该连接请求通常至少包括移动终端附着到的受访网络的标识,以及移动终端的标识。在一些实施例中,移动终端可以发送连接请求给它的归属网络的ePDG,因为它没有被配置为或以其它方式能够处理从受访网络所接收的在附着到不可信的无线接入网络之后连接到受访网络的ePDG的指示,或者它已经由它的归属网络的运营商配置为这样做。不管怎样,该移动终端随后从归属网络的ePDG接收连接响应(方框610),该连接响应包括关于该移动终端是否被授权与该ePDG连接的指示。
图7示出了用于处理由ePDG从附着到不可信的无线接入网络的漫游的移动终端接收的连接请求的示例性过程的流程图。该过程开始于ePDG从附着到不可信的无线接入网络的移动终端接收连接请求(方框702)。该连接请求通常至少包括移动终端附着到的受访网络的标识,以及移动终端的标识。ePDG然后发送认证和授权请求给AAA服务器(即认证服务器)(方框704)。该认证和授权请求也通常至少包括移动终端附着到的受访网络的标识,以及移动终端的标识。ePDG然后从AAA服务器接收认证和授权响应(方框706)。该认证和授权响应通常包括关于移动终端是否被授权与ePDG连接的指示,该指示至少部分基于受访网络的标识和至少一个连接规则。ePDG然后发送连接响应给移动终端,该连接响应包括关于该移动终端是否被授权与ePDG连接的指示(方框708)。
在ePDG位于受访网络中的实施例中,ePDG发送认证和授权请求给受访网络的AAA服务器,受访网络的AAA服务器进一步与归属网络的AAA交互。在ePDG位于归属网络中的实施例中,ePDG发送认证和授权请求给归属网络的AAA服务器。从这个意义上说,如上所述,归属网络和受访网络的概念是相对于移动终端的。例如,一个移动终端的归属网络可以是另一移动终端的受访网络。
图8示出了用于处理由ePDG从附着到不可信的无线接入网络的漫游的移动终端接收的连接请求的示例性过程的流程图。该过程开始于AAA服务器接收源自ePDG的认证和授权请求,该认证和授权请求至少包括移动终端附着到的受访网络的标识,以及附着到不可信的无线接入网络的移动终端的标识(方框802)。AAA服务器然后至少部分基于移动终端附着到的受访网络的标识以及至少一个ePDG连接规则,确定该移动终端是否被授权连接到ePDG(方框804)。AAA服务器然后向ePDG发送认证和授权响应,该认证和授权响应包括关于该移动终端是否被授权连接到该ePDG的指示(方框806)。关于移动终端是否被授权连接到ePDG的指示至少部分基于移动终端附着到的受访网络的标识,以及至少一个ePDG连接规则。
现在参考图9到图10,能够被用在所描述的一个或更多个非限制性的示例实施例中的移动终端50的实施例的框图被示出。在图9中,移动终端50包括处理电路52,其可以包括一个或更多个处理器54,硬件电路(例如专用集成电路(ASIC),现场可编程门阵列(FPGA),等等),固件,或它们的组合。在一些实施例中,处理电路52与存储器56一起操作,存储器56存储由处理电路52的一个或更多个处理器54执行的指令。存储器56可以包括一个或更多个易失性和/或非易失性存储装置。在一些实施例中,用于控制移动终端的整个操作的程序代码被存储在诸如只读存储器或闪存之类的非易失性存储器中。在运行期间产生的临时数据可以被存储在随机存取存储器中。存储在存储器中的程序代码在由处理电路52执行时使处理电路52执行与移动终端50相关的上述方法。移动终端50还包括用于与一个或更多个网络和/或一个或更多个网络节点(例如ePDG、AAA、MME,等等)通信的接口电路58。接口电路58可以包括收发器电路,该收发器电路例如包括根据已知的通信标准(例如3GPP标准,IEEE标准)操作的发射机电路和接收机电路。
在图10中,移动终端50被显示为包括多个功能模块,在一些实施例中,这些功能模块可以被实现为硬件、软件或它们的组合。不管怎样,在图10中,移动终端50包括被配置为接收受访网络的标识的接收模块60,以及被配置为接收在附着到不可信的无线接入网络之后连接到受访网络的网关节点的指示的接收模块62。移动终端50还包括被配置为附着到不可信的无线接入网络的附着模块64。移动终端50还包括被配置为给网关节点发送连接请求的发送模块66,该连接请求至少包括受访网络的标识和移动终端的标识。在一些实施例中,发送模块66被配置为发送连接请求给受访网络的网关节点,而在其它的实施例中,发送模块66被配置为发送连接请求给归属网络的网关节点。移动终端50还包括接收模块68,在一些实施例中,接收模块68被配置为从受访网络的网关节点接收连接响应,而在其它的实施例中,接收模块68被配置为从归属网络的网关节点接收连接响应。该连接响应通常包括关于移动终端是否被授权连接到网关节点的指示。在一些实施例中,一个或更多个的各种附着、发送和接收模块可以被组合或被实现为单个接口模块。
现在参考图11和图12,所描述的能够被用在一个或更多个非限制性示例实施例中的诸如ePDG之类的网关节点的实施例的框图被示出。在图11中,网关节点36包括处理电路70,其可以包括一个或更多个处理器72,硬件电路(例如专用集成电路(ASIC),现场可编程门阵列(FPGA),等等),固件,或它们的组合。在一些实施例中,处理电路70与存储器74一起操作,该存储器74存储由处理电路70的一个或更多个处理器72执行的指令。存储器74可以包括一个或更多个易失性和/或非易失性存储装置。在一些实施例中,用于控制网关节点的整体操作的程序代码被存储在诸如只读存储器或闪存之类的非易失性存储器中。在运行期间产生的临时数据可以被存储在随机存取存储器中。存储在存储器中的程序代码在由处理电路70执行时使处理电路70执行与网关节点36相关的上述方法。网关节点36还包括用于与一个或更多个网络和/或一个或更多个网络节点(例如UE、AAA、MME,等等)通信的接口电路76。该接口电路76可以包括收发器电路,该收发器电路例如包括根据已知的通信标准(例如3GPP标准、IEEE标准)操作的发射机电路和接收机电路。
在图12中,网关节点被显示为包括多个功能模块,在一些实施例中,这些功能模块可以被实现为硬件或软件,或它们的组合。例如,在一些实施例中,网关节点包括被配置为从与归属通信网络相关联但位于受访通信网络中的移动终端接收连接请求的接收模块78,该移动终端附着到不可信的接入网络,该连接请求至少包括受访网络的标识。网关节点还包括被配置为发送认证和授权请求给认证服务器的发送模块80,该认证和授权请求至少包括受访网络的标识和移动终端的标识,网关节点还包括被配置为从认证服务器接收认证和授权响应的接收模块82,该认证和授权响应至少包括关于移动终端是否被授权连接到网关节点的指示。网关节点还包括被配置为发送连接响应给移动终端的发送模块84,该连接响应至少包括关于移动终端是否被授权连接到网关节点的指示。在一些实施例中,一个或更多个的各种发送和接收模块可以被组合或被实现为一个或更多个接口模块。
现在参考图13和图14,所描述的能够被用在一个或更多个非限制性示例实施例中的诸如AAA服务器之类的认证服务器的实施例的框图被示出。在图13中,认证服务器32包括处理电路86,其可以包括一个或更多个处理器88,硬件电路(例如专用集成电路(ASIC),现场可编程门阵列(FPGA),等等),固件或它们的组合。在一些实施例中,处理电路86与存储器90一起操作,该存储器90存储由处理电路86的一个或更多个处理器88执行的指令。存储器90包括一个或更多个易失性和/或非易失性存储装置。在一些实施例中,用于控制认证服务器32的整体操作的程序代码被存储在诸如只读存储器或闪存之类的非易失性存储器中。在运行期间中产生的临时数据可以被存储在随机存取存储器中。存储在存储器中的程序代码在由处理电路86执行时使处理电路86执行与认证服务器32相关的上述方法。认证服务器32还包括用于与一个或更多个网络和/或一个或更多个网络节点(例如UE、ePDG、AAA、MME,等等)通信的接口电路92。该接口电路92可以包括收发器电路,该收发器电路例如包括根据已知的通信标准(例如3GPP标准、IEEE标准)操作的发射机电路和接收机电路。
在图14中,认证服务器被显示为包括多个功能模块,在一些实施例中,这些功能模块可以被被实现为硬件或软件,或它们的组合。例如,在一些实施例中,认证服务器包括被配置为从网关节点接收认证和授权请求的接收模块94,该认证和授权请求至少包括附着到不可信的无线接入网络的移动终端的标识和该移动终端附着到的受访网络的标识。认证服务器还包括被配置为至少部分基于移动终端附着到的受访网络的标识以及至少一个连接规则来确定该移动终端是否被授权连接到网关节点的确定模块96。认证服务器还包括被配置为发送认证和授权响应给网关节点的发送模块98,该认证和授权响应包括关于移动终端是否被授权连接到该网关节点的指示。在一些实施例中,发送和接收模块可以被组合或被实现为一个接口模块。
本领域技术人员将认识到,移动终端是包括配备有允许从无线电网络节点接收无线信号的无线接口的任何设备的非限制性表达。一般来说,移动终端的一些非限制性示例是用户设备(UE),膝上型计算机,无线设备,机器对机器(M2M)设备,能够进行设备到设备(D2D)通信的设备,等等。
一些实施例可以被表示为存储在机器可读介质中的非暂时性软件产品(也称为计算机可读介质、处理器可读介质或其中体现了计算机可读程序代码的计算机可用介质)。机器可读介质可以是任何合适的有形介质,包括磁、光或电存储介质,包括软盘、高密度盘只读存储器(CD-ROM)、数字多功能盘只读存储器(DVD-ROM)存储设备(易失性或非易失性),或类似的存储机制。机器可读介质可以包含各种指令集、代码序列、配置信息或其它的数据,当被执行时,它们使处理器执行根据一个或更多个所描述的实施例的方法中的步骤。本领域的普通技术人员将理解实现所描述的实施例所需的其它指令和操作也可以被存储在机器可读介质上。从机器可读介质运行的软件可以与电路接口以执行所描述的任务。
上述实施例仅作为示例。在不脱离本公开的范围的情况下,本领域的技术人员可以对特定的实施例进行改变、修改和变化。
Claims (36)
1.一种当移动终端处于受访通信网络中时与归属通信网络相关联的所述移动终端中的方法,所述方法包括:
接收所述受访通信网络的标识;
接收在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示;
附着到不可信的接入网络;
通过所述不可信的接入网络发送连接请求给所述归属通信网络中的网关节点,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
从所述归属通信网络中的网关节点接收连接响应,所述连接响应至少包括到所述归属通信网络中的网关节点的连接没有被授权的指示。
2.根据权利要求1所述的方法,其中所述连接响应进一步包括连接到所述受访通信网络中的网关节点的指示。
3.根据权利要求1或2所述的方法,其中所述连接响应进一步包括所述受访通信网络中的网关节点的标识。
4.根据权利要求1到3中任一项所述的方法,进一步包括,响应于接收来自所述归属通信网络中的网关节点的连接响应,通过所述不可信的接入网络发送后续的连接请求给所述受访通信网络中的网关节点,所述后续的连接响应至少包括所述受访通信网络的标识和所述移动终端的标识。
5.一种当移动终端处于受访通信网络中时与归属通信网络相关联的所述移动终端中的方法,所述方法包括:
接收所述受访通信网络的标识;
接收在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示;
附着到不可信的接入网络;
根据在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示,通过所述不可信的接入网络发送连接请求给所述受访通信网络中的网关节点,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
接收来自所述受访通信网络中的网关节点的连接响应,所述连接响应至少包括到所述受访通信网络中的网关节点的连接被授权的指示。
6.一种移动终端,包括:
接口电路;和
处理电路,当所述移动终端位于受访通信网络中同时与归属通信网络相关联时,所述处理电路被配置成:
接收所述受访通信网络的标识;
接收在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示;
附着到不可信的接入网络;
通过所述不可信的接入网络发送连接请求给所述归属通信网络中的网关节点,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
接收来自所述归属通信网络中的网关节点的连接响应,所述连接响应至少包括到所述归属通信网络中的网关节点的连接没有被授权的指示。
7.根据权利要求6所述的移动终端,其中所述连接响应进一步包括连接到所述受访通信网络中的网关节点的指示。
8.根据权利要求6或7所述的移动终端,其中所述连接响应进一步包括所述受访通信网络中的网关节点的标识。
9.根据权利要求6到8中任何一项所述的移动终端,其中所述处理电路进一步被配置为,响应于接收来自所述归属通信网络中的网关节点的连接响应,通过所述不可信的接入网络发送后续的连接请求给所述受访通信网络中的网关节点,所述后续的连接请求至少包括所述受访通信网络的标识和所述移动终端的标识。
10.一种移动终端,包括:
接口电路;
处理电路,当所述移动终端位于受访通信网络中同时与归属通信网络相关联时,所述处理电路被配置为:
接收所述受访通信网络的标识;
接收在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示;
附着到不可信的接入网络;
根据在附着到不可信的接入网络之后与所述受访通信网络中的网关节点连接的指示,通过所述不可信的接入网络发送连接请求给所述受访通信网络中的网关节点,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
接收来自所述受访通信网络中的网关节点的连接响应,所述连接响应至少包括到所述归属通信网络中的网关节点的连接被授权的指示。
11.一种处理通信网络的网关节点中的连接请求的方法,所述方法包括:
接收来自与归属通信网络相关联但位于受访通信网络中的移动终端的连接请求,所述移动终端附着到不可信的接入网络,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
发送认证和授权请求给认证服务器,所述认证和授权请求至少包括所述受访通信网络的标识和所述移动终端的标识;
接收来自所述认证服务器的认证和授权响应,所述认证和授权响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示;
发送连接响应给所述移动终端,所述连接响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示。
12.根据权利要求11所述的方法,其中所述网关节点位于所述归属通信网络中,并且其中关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端没有被授权连接到所述网关节点。
13.根据权利要求12所述的方法,其中所述认证和授权响应进一步包括连接到所述受访通信网络中的网关节点的指示。
14.根据权利要求13所述的方法,其中所述连接响应进一步包括连接到所述受访通信网络中的网关节点的指示。
15.根据权利要求13或14所述的方法,其中所述认证和授权响应进一步包括所述受访通信网络中的网关节点的标识。
16.根据权利要求15所述的方法,其中所述连接响应进一步包括所述受访通信网络中的网关节点的标识。
17.根据权利要求11所述的方法,其中所述网关节点位于所述受访通信网络中,并且其中关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端被授权连接到所述网关节点。
18.一种网关节点,包括:
接口电路;
处理电路,其被配置为:
接收来自与归属通信网络相关联但位于受访通信网络中的移动终端的连接请求,所述移动终端附着到不可信的接入网络,所述连接请求至少包括所述受访通信网络的标识和所述移动终端的标识;
发送认证和授权请求给认证服务器,所述认证和授权请求至少包括所述受访通信网络的标识和所述移动终端的标识;
接收来自所述认证服务器的认证和授权响应,所述认证和授权响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示;
发送连接响应给所述移动终端,所述连接响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示。
19.根据权利要求18所述的网关节点,其中当所述网关节点位于所述归属通信网络中时,关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端没有被授权连接到所述网关节点。
20.根据权利要求19所述的网关节点,其中所述认证和授权响应进一步包括连接到所述受访通信网络中的网关节点的指示。
21.根据权利要求20所述的网关节点,其中所述连接响应进一步包括连接到所述受访通信网络中的网关节点的指示。
22.根据权利要求20或21所述的网关节点,其中所述认证和授权响应进一步包括所述受访通信网络中的网关节点的标识。
23.根据权利要求22所述的网关节点,其中所述连接响应进一步包括所述受访通信网络中的网关节点的标识。
24.根据权利要求18所述的网关节点,其中当所述网关节点位于所述受访网络中时,关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端被授权连接到所述网关节点。
25.一种处理通信网络的认证服务器中的连接请求的方法,所述方法包括:
接收源自网关节点的认证和授权请求,所述认证和授权请求至少包括与归属通信网络相关联但位于受访通信网络中的移动终端的标识以及所述受访通信网络的标识,所述移动终端附着到不可信的接入网络;
至少部分基于所述受访通信网络的标识,以及至少一个连接规则,
确定所述移动终端是否被授权连接到所述网关节点;
向所述网关节点发送认证和授权响应,所述认证和授权响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示。
26.根据权利要求25所述的方法,其中所述网关节点位于所述归属网络中,并且其中关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端没有被授权连接到所述网关节点。
27.根据权利要求26所述的方法,其中所述认证和授权响应进一步包括连接到所述受访通信网络中的网关节点的指示。
28.根据权利要求27所述的方法,其中所述认证和授权响应进一步包括所述受访通信网络中的网关节点的标识。
29.根据权利要求26所述的方法,进一步包括从位于所述受访网络中的认证服务器检索所述至少一个连接规则。
30.根据权利要求25所述的方法,其中所述网关节点位于所述受访网络中,并且其中关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端被授权连接到所述网关节点。
31.一种认证服务器,包括:
接口电路;
处理电路,其被配置为:
接收源自网关节点的认证和授权请求,所述认证和授权请求至少包括与归属通信网络相关联但位于受访通信网络中的移动终端的标识以及所述受访通信网络的标识,所述移动终端附着到不可信的接入网络;
至少部分基于所述受访通信网络的标识,以及至少一个连接规则,确定所述移动终端是否被授权连接到所述网关节点;
向所述网关节点发送认证和授权响应,所述认证和授权响应至少包括关于所述移动终端是否被授权连接到所述网关节点的指示。
32.根据权利要求31所述的认证服务器,其中当所述网关节点位于所述归属网络中时,关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端没有被授权连接到所述网关节点。
33.根据权利要求32所述的认证服务器,其中所述认证和授权响应进一步包括连接到所述受访通信网络中的网关节点的指示。
34.根据权利要求33所述的认证服务器,其中所述认证和授权响应进一步包括所述受访通信网络中的网关节点的标识。
35.根据权利要求32所述的认证服务器,其中所述处理电路被进一步配置为从位于所述受访通信网络中的认证服务器检索至少一个连接规则。
36.根据权利要求31所述的认证服务器,其中当所述网关节点位于所述受访网络中时,关于所述移动终端是否被授权连接到所述网关节点的指示指示所述移动终端被授权连接到所述网关节点。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562250144P | 2015-11-03 | 2015-11-03 | |
| US62/250,144 | 2015-11-03 | ||
| PCT/IB2016/056533 WO2017077441A1 (en) | 2015-11-03 | 2016-10-28 | Selection of gateway node in a communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108353284A true CN108353284A (zh) | 2018-07-31 |
Family
ID=57326449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680063987.9A Pending CN108353284A (zh) | 2015-11-03 | 2016-10-28 | 通信系统中的网关节点的选择 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20180227760A1 (zh) |
| EP (1) | EP3371995A1 (zh) |
| CN (1) | CN108353284A (zh) |
| TW (1) | TWI627870B (zh) |
| WO (1) | WO2017077441A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114071621A (zh) * | 2020-08-03 | 2022-02-18 | 联发科技股份有限公司 | 用于在漫游3gpp网络和非3gpp网络之间进行稳健移动的方法和用户设备 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2985663C (en) * | 2015-05-12 | 2020-04-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for handling access to epc services via a non-3gpp network |
| US10517021B2 (en) | 2016-06-30 | 2019-12-24 | Evolve Cellular Inc. | Long term evolution-primary WiFi (LTE-PW) |
| CN108282775B (zh) * | 2017-12-22 | 2021-01-01 | 中国科学院信息工程研究所 | 面向移动专用网络的动态附加认证方法及系统 |
| US11076450B2 (en) * | 2019-02-01 | 2021-07-27 | Mediatek Inc. | Method and associated user equipment for improving versatility of cellular network |
| US11290951B2 (en) * | 2019-02-12 | 2022-03-29 | Cisco Technology, Inc. | Providing optimal packet data network gateway selection for 5G network environments upon initial user equipment attachment via a WiFi evolved packet data gateway |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141822A (zh) * | 2007-09-30 | 2008-03-12 | 中兴通讯股份有限公司 | 一种无线网络的网关选择方法 |
| CN101335993A (zh) * | 2007-06-25 | 2008-12-31 | 华为技术有限公司 | 接入处理方法、装置及用户设备 |
| US20120322412A1 (en) * | 2011-06-20 | 2012-12-20 | Zu Qiang | Roaming selection of a v-epdg |
| CN103702311A (zh) * | 2012-09-27 | 2014-04-02 | 中兴通讯股份有限公司 | 一种选择vplmn的方法、系统及分组数据网络网关 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335984B (zh) * | 2007-06-25 | 2011-11-16 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
-
2016
- 2016-10-28 EP EP16797649.7A patent/EP3371995A1/en not_active Withdrawn
- 2016-10-28 CN CN201680063987.9A patent/CN108353284A/zh active Pending
- 2016-10-28 WO PCT/IB2016/056533 patent/WO2017077441A1/en active Application Filing
- 2016-10-28 US US15/771,971 patent/US20180227760A1/en not_active Abandoned
- 2016-11-02 TW TW105135617A patent/TWI627870B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335993A (zh) * | 2007-06-25 | 2008-12-31 | 华为技术有限公司 | 接入处理方法、装置及用户设备 |
| CN101141822A (zh) * | 2007-09-30 | 2008-03-12 | 中兴通讯股份有限公司 | 一种无线网络的网关选择方法 |
| US20120322412A1 (en) * | 2011-06-20 | 2012-12-20 | Zu Qiang | Roaming selection of a v-epdg |
| CN103702311A (zh) * | 2012-09-27 | 2014-04-02 | 中兴通讯股份有限公司 | 一种选择vplmn的方法、系统及分组数据网络网关 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114071621A (zh) * | 2020-08-03 | 2022-02-18 | 联发科技股份有限公司 | 用于在漫游3gpp网络和非3gpp网络之间进行稳健移动的方法和用户设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3371995A1 (en) | 2018-09-12 |
| TWI627870B (zh) | 2018-06-21 |
| WO2017077441A1 (en) | 2017-05-11 |
| TW201725931A (zh) | 2017-07-16 |
| US20180227760A1 (en) | 2018-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3576471B1 (en) | Connection processing method and apparatus in multi-access scenario | |
| US8769626B2 (en) | Web authentication support for proxy mobile IP | |
| CN108353284A (zh) | 通信系统中的网关节点的选择 | |
| US10182053B2 (en) | Methods and nodes for handling access to a service via an untrusted non-3GPP network | |
| CN107534994B (zh) | 处理经由非3gpp网络到epc服务的接入的方法和节点 | |
| US9197980B2 (en) | Multi-operator wireless networking | |
| CN108464027B (zh) | 对于未认证用户通过wlan接入3gpp演进分组核心支持紧急服务 | |
| US20150327073A1 (en) | Controlling Access of a User Equipment to Services | |
| US9226153B2 (en) | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP | |
| CN102781004B (zh) | 一种选择网关的方法及装置 | |
| CN102224721A (zh) | 向访问网络链接或移交时的安全隧道建立 | |
| US20220418038A1 (en) | Selection of ip version | |
| JP6063564B2 (ja) | モバイル・ネットワークにアクセスするための方法、装置、及びシステム | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| RU2727160C1 (ru) | Аутентификация для систем следующего поколения | |
| JP4613926B2 (ja) | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム | |
| JP2020205620A (ja) | ローカル・ネットワーク・コネクション方法、装置、及びシステム | |
| US11044605B2 (en) | Network based non-IP data delivery service authorization for wireless networks | |
| US9596597B2 (en) | Mobile security protocol negotiation | |
| WO2015131949A1 (en) | Using services of a mobile packet core network | |
| US8695082B2 (en) | Method and communication system for accessing a wireless communication network | |
| WO2017141175A1 (en) | Roaming management in communication systems | |
| WO2016183745A1 (zh) | 用于建立连接的方法和设备 | |
| KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
| CN105379379A (zh) | 用于专用移动无线电服务的节点和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180731 |
|
| WD01 | Invention patent application deemed withdrawn after publication |