WO2011127774A1

WO2011127774A1 - 一种用户终端接入互联网方式的控制方法及装置

Info

Publication number: WO2011127774A1
Application number: PCT/CN2011/071584
Authority: WO
Inventors: 周星月; 朱春晖
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-04-15
Filing date: 2011-03-07
Publication date: 2011-10-20
Also published as: CN102223634A

Description

一种用户终端接入互联网方式的控制方法及装置技术领域

本发明涉及通信技术领域，尤其涉及一种 UE通过无线局域网接入互联网方式的控制方法及装置。背景技术

通常，用户设备需要通过无线局域网接入网络（ Wireless Local Area Network Access Network, WLAN AN )接入到以下无线核心网：演进的分组核心网、交互的无线局域网络、微波存取全球互通网络、码分多址接入网络等。

图 1 是根据相关技术的非 3GPP 网络接入交互的无线局域网络 ( Interworking Wireless Local Area Network, I-WLAN )的网络架构示意图，其中， I-WLAN是指一个与第三代合作伙伴计划（ 3rd Generation Partnership Project, 3GPP ) 网络交互的 WLAN网络。交互目的是使 WLAN接入技术能够与通用分组无线业务（ General Packet Radio Service, GPRS )核心网基础设施合作，以便 WLAN的用户设备能够通过 WLAN接入网络接入 GPRS 分组服务。如图 1所示，包括： I-WLAN核心网、用户设备（User Equipment, UE )、 WLAN AN、以及运营商提供的 IP业务。其中， I -WLAN核心网进一步包括分组数据网关（ Packet Data Gateway, PDG )、 3GPP认证授权计费服务器（3GPP AAA Server ), 归属用户服务器（Home Subscriber Server, HSS ), 其中， HSS用于存储用户数据以及在用户接入认证过程中生成认证用的向量。

图 2 是根据相关技术的非 3GPP 网络接入演进分组核心网（Evolved Packet Core network, EPC ) 的网络架构示意图，如图 2所示， EPC包括：演进分组数据网关（ Evolved Packet Data Gateway, ePDG )、分组数据网络网关（ Packet Data Network GateWay, P-GW )、 3GPP AAA Server, HSS, 其中， HSS用于存储用户数据以及在用户接入认证过程中生成认证用的向量。

图 2中， EPC可以与非 3GPP网络互通， P-GW是 EPC与分组数据网 ( Packet Data Network , PDN ) 的边界网关，负责 PDN的接入，并负责在 EPC与 PDN间转发数据等功能。当运营商认为 WLAN网络为可信任时， WLAN AN可以直接与 P-GW相连；当运营商认为 WLAN AN不可信任时， WLAN AN需要与 ePDG相连。因此，上述方法可以确保 UE与 ePDG之间数据传输的安全性及保密性。此外 UE还可以通过其他接入网络接入 EPC, 包括 3GPP自身定义的无线接入网络。

图 3是根据相关技术的用户设备接入无线局域接入网时执行接入认证的交互流程图，如图 3所示，包括如下的步骤 S302至步骤 S303:

步骤 S301 , 用户设备建立 WLAN无线连接。

步骤 S302 , WLAN AN 向 UE 发送扩展认证协议 ( Extensible Authentication Protocol , ΕΑΡ )请求 /身份消息，请求 UE提供身份给网络， UE在接收到 ΕΑΡ请求 /身份消息之后，将相应的网络访问标识（Network Access Identification, NAI )通过 EAP回复消息发送给 WLAN AN。

步骤 S303 ,用户设备和认证授权计费（ Authentication、 Authorization and Accounting, AAA )服务器之间进行算法密钥协商等接入认证流程。

如图 1 或图 2 所示的系统， UE 可通过两条路径访问互联网 ( Intranet/Internet ) , 一条路径是直接通过 WLAN AN访问互联网，另一条路径是通过 3GPP核心网访问互联网，现有技术中，用户设备默认通过核心网访问互联网。由于运营商无法指示用户设备通过无线局域网访问互联网时是否通过运营商 3GPP核心网，所以当第三方应用和互联网访问需求增加，导致运营商核心网络压力增大甚至核心网流量拥塞时，无法疏导用户设备访问 Internet的流量，不能满足用户使用足够的带宽访问互联网络的需求。发明内容

有鉴于此，本发明的主要目的在于提供一种用户终端接入互联网方式的控制方法及装置，用于解决运营商无法控制用户设备通过无线局域网访问互联网时是否通过运营商 3GPP核心网的技术问题。

为了实现上述目的，根据本发明的一个方面，提供了一种用户终端接入互联网方式的控制方法，该方法包括：

认证授权计费服务器向用户设备 ( UE ) 下发用户设备接入互联网方式的指示信息，所述用户设备根据所述指示信息决定访问互联网业务的接入方式。

优选地，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息，具体为：

在用户设备通过无线局域网接入网络（ WLAN AN )初始连接到演进分组核心网（EPC )的认证流程中，所述认证授权计费服务器将包含用户设备接入互联网方式的指示信息经由 WLAN AN下发给 UE。

进一步地，所述认证授权计费服务器将 UE接入互联网方式的指示信息封装到包含 EAP-Success 消息的 Diameter报文中发送给 WLAN AN, 由 WLAN AN将所述 EAP-Success消息转发给 UE;所述指示信息位于 Diameter 报文 Vendor-Specific-Application-Id AVP字段中。

用户设备通过 WLAN AN初始连接到 EPC时，在用户设备和分组数据网关（ PDG )创建因特网密钥交换协议（ IKEv2 )隧道的流程中，所述认证授权计费服务器将 UE接入互联网方式的指示信息经由 PDG下发给 UE。进一步地，所述认证授权计费服务器将 UE接入互联网方式的指示信息包含在授权响应消息中下发给 PDG; PDG通过 IKEv2隧道发送携带 UE接入互联网方式的指示信息的因特网密钥交换认证响应消息给所述 UE。

在用户设备已经通过 WLAN AN连接到 EPC网络后 ,在重认证流程中 , 所述认证授权计费服务器将 UE接入互联网方式的指示信息包含在重认证请求消息中下发给 UE。

进一步地，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息，具体为：

用户设备和演进分组数据网关（ ePDG )完成 IPSec隧道建立后，在 UE 和分组数据网络网关（P-GW )建立安全联盟及所述认证授权计费服务器和 P-GW进行认证授权的过程中，所述认证授权计费服务器将 UE接入互联网方式的指示信息经由 P-GW下发给 UE。

基于本发明所述方法，本发明还提出一种用户终端接入互联网方式的控制装置，该装置包括：

发送模块，位于认证授权计费服务器，用于向用户设备下发用户设备接入互联网方式的指示信息；

接收模块，位于 UE, 用于接收所述发送模块下发的用户设备接入互联网方式的指示信息；

接入模块，位于 UE, 用于根据所述指示信息决定访问互联网业务的接入方式。

优选地，在用户设备已经通过 WLAN AN连接到 EPC网络后的重认证流程中，所述发送模块将 UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。优选地，所述装置还包括转发模块，位于 WLAN AN, 用于在用户设备初始连接到 EPC的认证流程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

优选地，所述装置还包括转发模块：

所述转发模块位于 PDG, 用于在用户设备初始连接到 EPC的用户设备和 PDG创建 IKEv2隧道的流程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。或，

所述转发模块位于 P-GW,用于在 UE和 P-GW建立安全联盟及认证授权计费服务器和 P-GW进行认证授权的过程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

本发明釆用认证授权计费服务器向用户设备发送一种指示信息，用来指示用户设备接入互联网方式，用户设备可以依据所述指示信息在通过无线局域网接入时选择直接访问互联网或者通过连接到核心网访问互联网。通过本发明，核心网能够通过指示信息控制 UE接入互联网的接入方式，从而使用户终端在通过无线局域网接入时能够直接接入互联网而不经过核心网，使得用户设备在一些情形下（比如核心网流量负载过大时）获得足够的访问带宽，从而提高用户体验。附图说明

图 1为相关技术的非 3GPP网络接入 I-WLAN的网络架构示意图；图 2为相关技术的非 3GPP网络接入 EPC的网络架构示意图；图 3 为相关技术的用户设备接入无线局域接入网时执行接入认证的交互流程图；

图 4为本发明实施例 1的 UE通过无线局域网接入互联网方式的控制方法的流程图；

图 5为本发明实施例 2的 UE通过无线局域网接入互联网方式的控制方法的流程图；

图 6为本发明实施例 3的 UE通过无线局域网接入互联网方式的控制方法的流程图；

图 7为本发明实施例 4的 UE通过无线局域网接入互联网方式的控制方法的流程图；

图 8为本发明用户终端接入互联网方式的控制装置的结构示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下举实施例并参照附图，对本发明进一步详细说明。

实施例 1

图 4为本发明实施例 1的 UE通过无线局域网接入互联网方式的控制方法的流程图，该流程中，用户设备通过 WLAN AN初始连接到 EPC网络，在认证流程中，认证授权计费服务器根据策略将直接连入互联网的指示信息经由 WLAN AN发送给 UE , 以达到控制 UE通过无线局域网接入互联网的方式的发明目的。本实施例中，认证授权计费服务器发送给 UE的指示信息，要求 UE在访问互联网业务时，不经过核心网络直接通过 WLAN AN 访问互联网， UE收到该指示信息后，釆用对应的选路策略访问 Internet业务。该流程具体步骤为：

步骤 401：用户设备建立 WLAN无线连接；

步骤 402: WLAN AN建立与 UE的无线连接， WLAN AN向 UE发送 EAP请求（ EAP Request/Identity )消息，请求 UE提供身份信息给网络，用于接入认证；

步骤 403: UE收到 EAP请求消息后，通过 EAP回复消息将 UE身份信息发送给 WLAN AN;

步骤 404: WLAN AN向 AAA服务器发送携带 UE身份信息的 AAA请求消息（Diameter消息 ), 所述 AAA请求消息中还携带有接入类型和接入网标识；

步骤 405: AAA服务器和 HSS交互 EAP-AKA，算法认证信息，进行用户算法认证；

步骤 406: AAA服务器提取密钥信息；

步骤 407： AAA服务器向 WLAN AN发送 AAA/AKA'挑战消息 , 进行算法协商 , AAA/AKA，挑战消息中携带包含消息认证码的 EAP请求及 ΑΚΑ' 挑战信息；

步骤 408: WLAN AN 向用户设备发送包含消息认证码的 EAP请求 /AKA'挑战消息；

步骤 409: 用户设备收到 EAP请求 /AKA，挑战消息后运行 AKA算法生成密钥相关信息；

步骤 410:用户设备将 AKA计算结果封装到 EAP中向 WLAN发送 EAP 响应 /AKA' 4 战消息；

步骤 411 : WLAN AN将收到的包含算法协商信息的 EAP响应消息封装到 Diameter报文中转发给 AAA服务器；

步骤 412: AAA服务器检查收到的消息认证码信息，对其进行算法信息验证等处理；

步骤 413: AAA服务器根据策略确定 UE的互联网连接方式为不经过 EPC 核心网直接接入互联网的接入方式，并将包含该接入方式的指示信息封装到包含扩展认证协议成功 EAP-Success消息的 Diameter报文中发送给 WLAN AN。

如果需要 WLAN AN知道核心网关于 UE接入互联网接入方式的这个决策（例如出于某种安全策略的考虑），可以利用 Diameter报文预留的扩展字段（ Vendor-Specific-Application-Id AVP,设备指定应用标识属性值对字段，以下简称 AVP字段）携带所述指示信息；

步骤 414: WLAN AN将 EAP Success消息转发给 UE。如果所述指示信息包含在 Vendor-Specific-Application-Id AVP字段中，则 WLAN AN可以对该 Diameter报文进行解析，提取互联网连接方式的指示后再将 EAP消息转发给 UE。

实施例 2

图 5为本发明实施例 2的 UE通过无线局域网接入互联网方式的控制方法的流程图 , 该流程中，用户设备已经通过 WLAN AN连接到 EPC网络 , 在需要发起重认证的情况下，如核心网流量压力过大或运营商策略变化等， AAA服务器在重认证流程中将 UE接入互联网方式的指示信息下发给 UE, 图 5以快速重认证流程为例（Fast Re-Authentication Procedure ), 在 AAA Server发送的重认证请求（ Re-Auth-Request ) 消息中携带所述指示信息：步骤 501 : 认证授权计费服务器向用户设备发送重认证请求 ( Re-Auth-Request ) 消息，其中，在该消息中通过 AVP字段携带核心网为 UE确定的互联网接入方式的指示信息；

步骤 502 : 用户设备向认证授权计费服务器发送重认证响应 ( Re-Auth-Response ) 消息，消息中包含快速重认证身份标识；

步骤 503: 认证授权计费服务器收到快速重认证身份标识后进行识别，认可进行快速重认证流程；

步骤 504: 用户设备和授权计费服务器进行快速重认证流程。

实施例 3

图 6为本发明实施例 3的 UE通过无线局域网接入互联网方式的控制方法的流程图，该流程中，用户设备通过 WLAN AN初始连接到 EPC网络，用户设备和分组数据网关（PDG )在创建因特网密钥交换协议（IKEv2 )隧道过程中， AAA服务器在授权消息中将 UE的互联网接入方式指示信息经由 PDG下发给 UE的实施例流程图。具体步骤为：

步骤 601 : UE和 PDG交换第一对消息 IKE— SA— INIT协商加密算法，进行随机数的交换等。

步骤 602: UE通过 PDG和 AAA服务器进行的身份认证信息的交互。步骤 603 : UE 向 PDG发送包含 EAP 消息的因特网密钥交换认证 ( IKE AUTH )请求消息到 PDG, 响应身份认证交互过程中收到的认证挑战。

步骤 604: PDG将 EAP-Response响应消息（带 AKA挑战信息）发送给 AAA服务器。

步骤 605: AAA服务器在验证成功后向 PDG发送包含 EAP-Success和密钥信息的认证回答。

步骤 606: PDG向 AAA服务器发送包含空 AVP和 WLAN接入点名称 ( W-APN )信息的授权请求。

步骤 607: AAA服务器验证用户信息是否允许建立隧道。 AAA服务器根据网络策略 (这里 AAA服务器可能根据自己的策略控制或者网络网关系统通知改变 UE接入互联网的方式）决策 UE接入互联网的方式，并将包含 UE接入互联网方式的指示信息在下一步授权响应消息中下发。

步骤 608: AAA服务器向 PDG发送授权响应（ AA- Answer )消息 , 其中包含 UE接入互联网方式的指示信息。

步骤 609: PDG根据密钥信息计算生成认证参数 ( AUTH payload )信息。

步骤 610 : PDG 通过 IKEv2 向 UE 发送因特网密钥交换认证 ( IKE AUTH )响应消息， IKE— AUTH响应消息包含携带 UE接入互联网方式的指示信息的 EAP Success/Failure消息。

上述流程成功， UE完成和 PDG之间的 IP安全（ IPSec ) 隧道的建立。实施例 4

图 7为本发明实施例 4的 UE通过无线局域网接入互联网方式的控制方法的流程图，该流程中，用户设备和演进分组数据网关（ePDG )完成 IKEv2 消息协商、 IPSec隧道建立后， UE和 P-GW建立安全联盟， AAA服务器和 P-GW进行认证授权，在此过程中 AAA服务器将 UE接入互联网方式的指示信息经由 P-GW传递给 UE的。这里 UE通过 DSMIPv6 (双栈移动 IPv6 协议）接入网络。具体步骤如下：

步骤 701 : UE发起建立 IKEv2隧道流程进行安全隧道认证授权。这里类似实施例 3的 IPSec Tunnel隧道建立流程，这里不再赘述；

步骤 702: 演进分组数据网关将携带分配给 UE用于 IPSec隧道的 IP 地址的 IKEv2配置消息返回给 UE;

步骤 703: 在 UE和演进分组数据网关成功建立 IPSec隧道后， UE和 P-GW之间通过 IKEv2 协议流程建立安全联盟以保障信令消息的安全， P-GW和 AAA服务器通过 EAP方法进行认证和授权，在此过程中 AAA服务器将 UE接入互联网方式的指示信息经由 P-GW下发给 UE, 例如通过授权响应消息，这里流程与实施例 3流程类似，这里不再赘述。

步骤 704: UE向 P-GW发送绑定更新消息，传递移动管理协议信令消息；

步骤 705: P-GW向 UE发送绑定更新确认消息，完成 DSMIPv6地址绑定。 UE和 P-GW之间的 DSMIPv6隧道建成，至此， UE完成与网络之间的 IP连接。

实施例 5

图 8为本发明用户终端接入互联网方式的控制装置的结构示意图，该装置至少包括：发送模块、接收模块和接入模块。

发送模块，位于认证授权计费服务器，用于向用户设备下发用户设备接入互联网方式的指示信息；接收模块，位于 UE, 用于接收所述发送模块下发的用户设备接入互联网方式的指示信息；接入模块，用于根据所述指示信息决定访问互联网业务的接入方式。

优选地，在用户设备已经通过 WLAN AN连接到 EPC网络后的重认证流程中，所述发送模块将 UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。

优选地，所述装置还包括转发模块，所述转发模块依据不同的实现方式，位于不同的网元中。

与图 4相对应，转发模块可位于 WLAN AN中，用于在用户设备初始连接到 EPC的认证流程中，转发由所述发送模块下发给所述接收模块的 UE 接入互联网方式的指示信息。

与图 6相对应，转发模块可位于 PDG中，用于在用户设备初始连接到 EPC的用户设备和 PDG创建 IKEv2隧道的流程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

与图 7相对应，转发模块可位于 P-GW, 用于在 UE和 P-GW建立安全联盟及认证授权计费服务器和 P-GW进行认证授权的过程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

本发明针对相关技术中运营商无法控制用户设备通过无线局域网访问互联网时是否通过运营商 3GPP核心网的问题，提供了一种接入方法，釆用认证授权计费服务器向用户设备发送核心网为用户设备确定的接入互联网的接入方式的指示信息，以达到由核心网根据一定的控制策略控制 UE接入互联网的接入方式的发明目的，以使得用户可以直接接入互联网，从而获得足够的访问带宽，并提高用户体验。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

权利要求书

1、一种用户终端接入互联网方式的控制方法，其特征在于，该方法包括：

2、根据权利要求 1所述的方法，其特征在于，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息的方法为：

3、根据权利要求 2所述的方法，其特征在于，所述认证授权计费服务器将 UE 接入互联网方式的指示信息封装到包含 EAP-Success 消息的 Diameter报文中发送给 WLAN AN,由 WLAN AN将所述 EAP-Success消息转发给 UE;

所述指示信息位于 Diameter 报文设备指定应用标识属性值对 ( Vendor-Specific-Application-Id AVP ) 字段中。

4、根据权利要求 1所述的方法，其特征在于，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息，具体为：

用户设备通过 WLAN AN初始连接到 EPC时，在用户设备和分组数据网关（ PDG )创建因特网密钥交换协议（ IKEv2 )隧道的流程中，所述认证授权计费服务器将 UE接入互联网方式的指示信息经由 PDG下发给 UE。

5、根据权利要求 4所述的方法，其特征在于，所述认证授权计费服务器将 UE接入互联网方式的指示信息包含在授权响应消息中下发给 PDG; PDG通过 IKEv2隧道发送携带 UE接入互联网方式的指示信息的因特网密钥交换认证响应消息给所述 UE。

6、根据权利要求 1所述的方法，其特征在于，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息，具体为：

7、根据权利要求 1所述的方法，其特征在于，所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息，具体为：

8、一种用户终端接入互联网方式的控制装置，其特征在于，该装置包括：

9、根据权利要求 8 所述的装置，其特征在于，在用户设备已经通过 WLAN AN连接到 EPC网络后的重认证流程中，所述发送模块将 UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。

10、根据权利要求 8所述的装置，其特征在于，所述装置还包括转发模块，位于 WLAN AN, 用于在用户设备初始连接到 EPC的认证流程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

11、根据权利要求 8所述的装置，其特征在于，所述装置还包括：转发模块，位于 PDG, 用于在用户设备初始连接到 EPC的用户设备和 PDG创建 IKEv2隧道的流程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

12、根据权利要求 8所述的装置，其特征在于，所述装置还包括：转发模块，位于 P-GW, 用于在 UE和 P-GW建立安全联盟及认证授权计费服务器和 P-GW进行认证授权的过程中，转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。