WO2012152185A1 - 一种选择网关的方法及装置 - Google Patents

Abstract

一种选择网关的方法及装置，避免出现路由迂回的问题。所述方法包括：在用户设备接入分组核心网（EPC）、进行因特网密钥交换协议（IKEv2）交互的过程中，具有预配置的网关列表的网元在获取到用户设备的位置信息后，根据所述网关列表为所述用户设备重新选择支持IKEv2协议的网关，所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。通过上述技术方案，为用户设备选择合适的网关，避免出现路由迂回的问题，提高系统性能，提高了分组数据网关（ePDG）/分组数据网络网关（PDNGW）的选择精度。

Description

一种选择网关的方法及装置

技术领域

本发明涉及通信技术领域， 尤其涉及一种选择网关的方法及装置。 背景技术

第三代合作伙伴计划（3GPP, 3rd Generation Partnership Project )演进的 分组系统（ EPS , Evolved Packet System ) 由演进的通用移动通信系统陆地无 线接入网（ E-UTRAN, Evolved Universal Terrestrial Radio Access Network )、 移动管理单元 ( MME, Mobility Management Entity ) 、 服务网关 （ S-GW, Serving Gateway ) 、 分组数据网络网关 （ P-GW或者 PDN GW, Packet Data Network Gateway), 归属用户服务器（HSS, Home Subscriber Server ) 、 策略 和计费规则功能 （PCRF, Policy and Charging Rules Function ) 实体及其他支 撑节点组成。

如图 1所示， EPS系统支持与非 3GPP系统的互通， 其中， 与非 3GPP 系统的互通通过 S2a/S2b/S2c接口实现， 3GPP与非 3GPP 系统间的锚点为 P-GW。非 3GPP系统被分为可信任非 3GPP IP接入和不可信任非 3GPP IP接 入。 可信任非 3GPP IP接入可直接通过 S2a接口与 P-GW连接； 不可信任非 3GPP IP 接入需经过演进的分组数据网关 （ePDG, Evolved Packet Data Gateway )与 PDN GW相连， ePDG与 PDN GW间的接口为 S2b, S2c提供 了 UE与 P-GW之间的用户面相关的控制和移动性支持， 其支持的移动性管 理协议为支持双栈的移动 IPv6 (DSMIPv6, Mobile IPv6 Support for Dual Stack Hosts and Routers)。

图 1 中， MME移动管理单元负责移动性管理、 非接入层信令的处理和 用户移动管理上下文的管理等控制面的相关工作； S-GW是与 E-UTRAN相 连的接入网关设备， 在 E-UTRAN和 P-GW之间转发数据， 并且负责对寻呼 等待数据进行緩存； P-GW 则是 EPS 与分组数据网络（PDN, Packet Data Network ) 的边界网关， 负责 PDN的接入及在 EPS与 PDN间转发数据等功 能； PCRF是策略和计费规则功能实体， 它通过接收接口 Rx和运营商网络协 议 （ IP , Internet Protocol ) 业务网络相连， 获取业务信息， 此外， 它通过 Gx/Gxa/Gxc接口与网络中的网关设备相连， 负责发起 IP承载的建立， 保证 业务数据的服务质量（QoS, Quality of Service ) , 并进行计费控制。

UE在通过不信任的接入系统连接到演进的分组核心网 （EPC, Evolved Packet Core )需要先选择一个合适的 ePDG, 当前技术 UE选择 ePDG的方式 包括两种： 一种是 UE通过本地配置信息查找 ePDG, —种是通过 DNS查询 ePDG地址。 UE通过 DNS方式查询 ePDG地址时 , 釆用的是当前 PLMN ID 构成一个 FQDN作为 DNS的查询请求内容， 此时可以获得对应 PLMN范围 内的 ePDG地址。 由此可见 , 当前 ePDG的选择精度只保证在一个 PLMN范 围内， 可能相对 UE的距离会很远， 可能会带来路由迂回等问题。 比如， 位 于江苏省的 UE选择的 ePDG位于北京 , 而 PDN GW处于上海， 这样位于江 苏的 UE的数据就要先发往北京的 ePDG再到上海的 PDN GW转发。 同样选 择 PDN GW时也有可能有相关问题，因为当前 PDN GW是通过 APN构造的 FQDN进行 DNS查询， 不考虑位置因素。

在实际网络部署方案中，UE可以通过固网接入系统连接到无线核心网， 在接入认证过程中网络会决定固网接入系统是信任的接入网络还是不信任的 接入网络。 实际部署可能有两种情形：

1、 UE通过 WiFi接入点（ WiFiAP, Wireless Fidelity Access Point )接入 家庭网关 （RG, Residential Gateway ) , 通过 AN ( Access Note ) [例如： 数 字用户线接入复用设备（ DSLAM , Digital Subscriber Line Access Multiplexer )] , 宽带接入服务器 ( BRAS, Broadband Remote Access Server ) /宽带网络网关 ( BNG, Broadband Network Gateway ) ,此时 UE的 IP地址是由 RG分配的， 而 RG的 IP地址由 BRAS/BNG分配， 为节约地址空间， UE分得的地址可能 是的私有地址， 在此情况下 RG要对 UE的 IP地址进行 NAT转换。

2、 UE通过 WiFi AP接入， 通过 AN接入 BRAS/BNG, 此时 UE的 IP 地址是有 BRAS/BNG分配的。 同样为节约地址空间， BRAS/BNG为 UE或 是 RG分配的 IP地址也可能是私有 IP地址， 此时 BRAS/BNG也对 UE的 IP 地址进行 NAT转换。

在上述两种情形下， 同样存在如前所述的路由迂回问题。 发明内容

本发明要解决的技术问题是提供一种选择网关的方法及装置， 避免出现 路由迂回的问题。

为解决上述技术问题， 本发明釆用如下技术方案：

一种选择网关的方法， 包括：

在用户设备接入演进分组核心网 （EPC ) 、 进行因特网密钥交换协议 ( IKEv2 ) 交互的过程中， 网元根据所述用户设备的位置信息为所述用户设 备重新选择靠近用户设备的支持 IKEv2协议的网关。

可选地， 所述网元包括第一演进的分组数据网关（ePDG ) , 重新选择的 支持 IKEv2协议的网关包括第二 ePDG;

所述方法还包括： 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 ePDG向所述 用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指示信 息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

可选地， 所述网元包括第一分组数据网络网关 （PDN GW ) , 重新选择 的支持 IKEv2协议的网关包括第二 PDN GW;

所述方法还包括， 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 PDN GW向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

可选地， 所述网元包括 3GPP AAA服务器， 所述重新选择的支持 IKEv2 协议的网关包括 ePDG或者 PDN GW;

所述方法还包括， 网元根据所述用户设备位置信息为所述用户设备重新 选择靠近用户设备的支持 IKEv2协议的网关之后，所述 3GPP AAA服务器向 所述用户设备的当前网关发送重新选择的网关的标识信息， 所述用户设备的 当前网关接收到所述重新选择的网关的标识信息后， 在向所述用户设备发送 的消息中携带所述重新选择的网关的标识信息以及指示信息， 所述指示信息 用于指示所述用户设备向所述重新选择的网关发起 IKEv2认证。

可选地， 所述位置信息包括以下信息中的任意一种：

所述用户设备当前的本地 IP 地址， 该本地 IP 地址由本地接入网或者 ePDG分配，所述用户设备当前本地 IP地址所属的 IP网段地址，所述用户设 备所处的接入网络的标识。

可选地， 所述用户设备所处的接入网络的标识包括以下标识中的任意一 种：

接入网络的服务集标识（ SSID ) ,所述用户设备所处的宏站的标识信息， 所述用户设备所处的接入网络的地理位置信息， 管辖所述用户设备的接入网 关的地址信息。

一种选择网关的装置， 所述装置上具有预配置的网关列表， 所述网关列 表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位 置的支持 IKEv2协议的网关， 所述装置包括第一单元和第二单元， 其中： 所述第一单元设置成： 在用户设备接入演进的分组核心网 （EPC ) 、 进 行因特网密钥交换协议（IKEv2 ) 交互的过程中， 获取所述用户设备的位置 信息；

所述第二单元设置成： 在所述第一单元获取到所述用户设备的所述位置 信息后， 根据所述位置信息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关。

可选地， 所述装置为第一演进的分组数据网关（ePDG ) , 重新选择的支 持 IKEv2协议的网关为第二 ePDG;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指 示信息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

可选地， 所述装置为第一分组数据网络网关 （PDN GW ) , 重新选择的 支持 IKEv2协议的网关为第二 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

可选地， 所述装置为 3GPP AAA服务器， 所述重新选择的支持 IKEv2 协议的网关包括 ePDG或者 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备的当前网关发送重新选择的网关的标识信息， 以使所述用户设 备的当前网关在向所述用户设备发送的消息中携带所述重新选择的网关的标 识信息以及指示信息， 所述指示信息用于指示所述用户设备向所述重新选择 的网关发起 IKEv2认证。

可选地， 所述位置信息包括以下信息中的任意一种：

所述用户设备当前的本地 IP 地址， 该本地 IP 地址由本地接入网或者 ePDG分配，所述用户设备当前本地 IP地址所属的 IP网段地址，所述用户设 备所处的接入网络的标识；

其中， 所述用户设备当前的本地 IP地址由本地接入网或者 ePDG分配。

通过上述技术方案， 为用户设备选择合适的网关， 避免出现路由迂回的 问题， 提高系统性能， 提高了 ePDG/PDN GW的选择精度。 附图概述

图 1是 EPS系统支持与非 3GPP系统的互通架构图；

图 2是本发明实施例 1的流程图；

图 3是本发明实施例 2的流程图； 图 4是本发明实施例 3的流程图；

图 5是本发明实施例 4的流程图；

图 6是本发明实施例 5的流程图；

图 7是本发明实施例 6的流程图；

图 8是本发明实施例 7的流程图。

本发明的较佳实施方式

为解决前述技术问题， 本发明提供如下技术方案：

在用户设备接入 EPC、 进行因特网密钥交换协议（IKEv2 ) 交互的过程 中， 具有预配置的网关列表的网元在获取到用户设备的位置信息后， 根据预 配置的网关列表为该用户设备重新选择支持 IKEv2协议的网关， 所述网关列 表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位 置的支持 IKEv2协议的网关。

上述具有预配置的网关列表的网元包括 ePDG, 重新选择的支持 IKEv2 协议的网关包括 ePDG; 或者

具有预配置的网关列表的网元包括 PDN GW,重新选择的支持 IKEv2协 议的网关包括 PDN GW; 或者

具有预配置的网关列表的网元包括 3GPP AAA服务器，重新选择的支持 IKEv2协议的网关包括 ePDG或者 PDN GW。

上述邻近所述位置信息所指示位置的支持 IKEv2协议的网关是指： 该网 关的位置与该位置信息所指示的位置之差小于一预设的门限值。 优选为位置 之差最小的网关， 也就是说， 可选地， 根据该网关列表为用户设备重新选择 距离该用户设备最近的支持 IKEv2协议的网关。

通过上述方法可以根据用户设备当前的位置信息为该用户设备选择一个 靠近该用户设备的 ePDG。

在为所述用户设备重新选择网关之后，该具有预配置的网关列表网元（例 如 ePDG或 PDN GW )向该用户设备发送重新选择网关的标识信息以及指示 信息， 所述指示信息用于指示所述用户设备向重新选择的网关发起 IKEv2认 证。 当具有预配置的网关列表的网元为 3GPP AAA服务器时， 其先向用户设 备当前的网关 （ ePDG或 PDN GW )发送重新选择的网关的标识信息， 用户 设备当前网关收到该重新选择的网关标识信息后， 构造指示信息， 以指示用 户设备向重新选择的网关发起 IKEv2认证。

上述位置信息包括以下信息中的任意一种： 用户设备当前的 IP地址， 用 户设备当前 IP地址所属的 IP网段地址， 用户设备所处的接入网络的标识。 用户设备所处的接入网络的标识包括以下标识中的任意一种： 接入网络的服 务集标识 (SSID, Service Set Identifier), 用户设备所处的宏站的标识信息， 用户设备所处的接入网络的地理位置信息 (例如所处区域的邮政编码）， 管辖 用户设备的接入网关的地址信息 （例如 BRAS/BNG的 IP地址 ) 。

具有预配置的网关列表的网元可通过用户设备或者通过接入系统设备 (例如 WLAN接入网的 AP、 AC )获取到用户设备的位置信息。 如果具有预 配置的网关列表的网元为 3GPP AAA服务器， 那么其除了可以从 BNG或 BRAS处获得 (参见实施例 3和实施例 6 ) , 还可以通过 ePDG或 PDN GW 获取用户设备位置信息， ePDG或 PDN GW可以在自身获取到用户设备的位 置信息后， 通过与 3GPP AAA服务器之间的交互消息， 将用户设备的位置信 息通知给该 3GPP AAA服务器。

实现上述方法的装置上应具有预配置的网关列表， 该网关列表中保存有 位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持 IKEv2协议的网关， 该装置包括第一单元和第二单元， 其中：

所述第一单元设置成：在用户设备接入 EPC、进行 IKEv2交互的过程中， 获取用户设备的位置信息；

所述第二单元设置成： 在所述第一单元获取到用户设备的位置信息后， 根据所述网关列表为所述用户设备重新选择支持 IKEv2协议的网关。

可选地， 该装置为第一 ePDG, 该重新选择的支持 IKEv2协议的网关为 第二 ePDG。 此时， 该装置还可包括一第三单元， 其设置成： 在所述第二单元根据网 关列表为用户设备选择支持 IKEv2协议的网关之后， 向用户设备发送重新选 择的第二 _ePDG的标识信息以及指示信息， 该指示信息用于指示所述用户设 备向重新选择的第二 ePDG发起 IKEv2认证。

可选地， 该装置为第一 PDN GW, 该重新选择的支持 IKEv2协议的网关 为第二 PDN GW。

此时， 该装置还可包括一第三单元， 其设置成： 在第二单元根据网关列 表为用户设备选择支持 IKEv2协议的网关之后， 向用户设备发送重新选择的 第二 PDN GW的标识信息以及指示信息。

可选地， 该装置为 3GPP AAA服务器， 该重新选择的支持 IKEv2协议的 网关包括 ePDG或者 PDN GW。

此时， 该装置还可包括一第三单元， 其设置成： 在第二单元根据网关列 表为用户设备选择支持 IKEv2协议的网关之后， 向用户设备的当前网关发送 重新选择的网关的标识信息， 以使所述用户设备的当前网关在向所述用户设 备发送的消息中携带所述重新选择的网关的标识信息以及指示信息， 该指示 信息用于指示所述用户设备向所述重新选择的网关发起 IKEv2认证。

一种选择网关的方法， 包括：

在用户设备接入演进的分组核心网 （EPC ) 、 进行因特网密钥交换协议 ( IKEv2 ) 交互的过程中， 网元根据所述用户设备的位置信息为所述用户设 备重新选择靠近用户设备的支持 IKEv2协议的网关。

可选地， 所述网元包括第一演进的分组数据网关（ePDG ) , 重新选择的 支持 IKEv2协议的网关包括第二 ePDG;

所述方法还包括： 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 ePDG向所述 用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指示信 息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

可选地， 所述网元包括第一分组数据网络网关 （PDN GW ) , 重新选择 的支持 IKEv2协议的网关包括第二 PDN GW;

所述方法还包括， 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 PDN GW向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

可选地， 所述网元包括 3GPP AAA服务器， 所述重新选择的支持 IKEv2 协议的网关包括 ePDG或者 PDN GW;

所述方法还包括， 网元根据所述用户设备位置信息为所述用户设备重新 选择靠近用户设备的支持 IKEv2协议的网关之后，所述 3GPP AAA服务器向 所述用户设备的当前网关发送重新选择的网关的标识信息， 所述用户设备的 当前网关接收到所述重新选择的网关的标识信息后， 在向所述用户设备发送 的消息中携带所述重新选择的网关的标识信息以及指示信息， 所述指示信息 用于指示所述用户设备向所述重新选择的网关发起 IKEv2认证。

可选地， 所述位置信息包括以下信息中的任意一种：

所述用户设备当前的本地 IP地址， 所述用户设备当前本地 IP地址所属 的 IP网段地址， 所述用户设备所处的接入网络的标识；

其中， 所述用户设备当前的本地 IP地址由本地接入网或者 ePDG分配。 可选地， 所述用户设备所处的接入网络的标识包括以下标识中的任意一 种：

接入网络的服务集标识（ SSID ) ,所述用户设备所处的宏站的标识信息， 所述用户设备所处的接入网络的地理位置信息， 管辖所述用户设备的接入网 关的地址信息。

一种选择网关的装置， 所述装置上具有预配置的网关列表， 所述网关列 表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位 置的支持 IKEv2协议的网关， 所述装置包括第一单元和第二单元， 其中： 所述第一单元设置成： 在用户设备接入演进的分组核心网 （EPC ) 、 进 行因特网密钥交换协议（IKEv2 ) 交互的过程中， 获取所述用户设备的位置 信息；

所述第二单元设置成： 在所述第一单元获取到所述用户设备的所述位置 信息后， 根据所述位置信息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关。

可选地， 所述装置为第一演进的分组数据网关（ePDG ) , 重新选择的支 持 IKEv2协议的网关为第二 ePDG;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指 示信息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

可选地， 所述装置为第一分组数据网络网关 （PDN GW ) , 重新选择的 支持 IKEv2协议的网关为第二 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

可选地， 所述装置为 3GPP AAA服务器， 所述重新选择的支持 IKEv2 协议的网关包括 ePDG或者 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备的当前网关发送重新选择的网关的标识信息， 以使所述用户设 备的当前网关在向所述用户设备发送的消息中携带所述重新选择的网关的标 识信息以及指示信息， 所述指示信息用于指示所述用户设备向所述重新选择 的网关发起 IKEv2认证。

可选地， 所述位置信息包括以下信息中的任意一种：

所述用户设备当前的本地 IP地址， 所述用户设备当前本地 IP地址所属 的 IP网段地址 , 所述用户设备所处的接入网络的标识；

其中， 所述用户设备当前的本地 IP地址由本地接入网或者 ePDG分配。

为使本发明的目的、 技术方案和优点更加清楚明白， 下文中将结合附图 对本发明的实施例进行详细说明。 需要说明的是， 在不冲突的情况下， 本申 请中的实施例及实施例中的特征可以相互任意组合。

为完成网关重定向， 当 UE通过非信任的 3GPP接入 EPC时， UE首先 会和 ePDG建立 IKEv2安全联盟完成 IPSec隧道的建立， 从而确保穿越非信 任的接入系统的时候在 IETF 定义了 IKEv2 的重定向机制 （ Redirect Mechanism for the IKEv2 ) RFC5685 , 通过该机制可以在 IKE SA INIT (因 特网密钥交换协议安全联盟初始化 ) , IKE— AUTH (因特网密钥交换认证 )过 程中或者 IKEv2会话建立完成后实现 IKEv2 Server的重定向。 在 3GPP场景 下， 可以看做 ePDG把 UE重定向到另外一个 ePDG; 在 3GPP S2c场景下， 可以看做 PDN GW(HA)把 UE重定向到另外一个 PDN GW(HA)。

实施例 1

如图 2所示， UE通过非信任的非 3GPP接入系统连接到 EPC ,该流程中， UE和演进分组数据网关 （ePDG )在创建因特网密钥交换协议（IKEv2 ) 隧 道过程中， ePDG根据 UE的 IP地址或 UE的 IP地址所属的 IP网段地址为 UE选择一个靠近的 ePDG,接着 ePDG通过 IKEv2重定向机制将 UE重定向 到对应的 ePDG。

步骤 201： UE连接到非 3GPP接入系统， 可选地进行非 3GPP接入的认 证授权， 在此过程中， 3GPP AAA服务器可以将运营商的相关策略信息和签 约信息发送给接入网络；

步骤 202: UE和 ePDG交换第一对消息 IKE— SA— INIT协商加密算法， 进行随机数的交换等。

步骤 203: UE通过 ePDG和 AAA服务器进行的身份认证信息的交互； 步骤 204： UE发送包含 EAP消息的因特网密钥交换认证 ( IKE— AUTH ) 请求消息到 ePDG, 响应身份认证交互过程中收到的认证挑战； 步骤 205: ePDG根据 UE的 IP地址或 UE的 IP地址所属的 IP网段地址 以及预先配置的网关列表为 UE选择一个靠近的 ePDG;

如果所选择的 ePDG即为当前的 ePDG, 则不用再进行重定向， 按正常 流程继续执行即可。

如果规定根据 UE的 IP地址选择新网关， 则 ePDG上预配置的网关列表 至少包括 IP地址以及各 IP地址对应的靠近该些 IP地址的 ePDG的标识信息； 如果规定根据 UE的 IP地址所属的 IP网段选择新网关， 则 ePDG上预配置 的网关列表至少包括 IP网段信息以及每个 IP网段对应的靠近该网段的 ePDG 的标识信息； 如果没有规定选择新网关的依据， 则 ePDG上可以配置包括 IP 地址、 IP网段信息以及 ePDG标识信息三者对应关系的网关列表， 以保证能 根据所获得的任何信息为用户设备选择 ePDG。

上述靠近 IP地址或靠近 IP网段的 ePDG优选为与该 IP地址或 IP网段距 离最近的 ePDG,如果有多个距离最近的网关，则可以通过轮询的方式选择， 或者釆用随机选择的方式进行选择。

步骤 206： ePDG通过 IKEv2向 UE发送因特网密钥交换认证（ IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 （REDIRECT ) New— GW— ID、 Ni— data和新的 ePDG身份信息，可以是 ePDG的 IPv4或 IPv6 地址， 也可以是完全限定域名 （FQDN, Fully Qualified Domain Name ) 。

步骤 207 : UE根据重定向指示信息向新的 ePDG发起 IKEv2认证建立 IPSec ( IP安全 ) 隧道。

实施例 2

如图 3所示， UE通过非信任的非 3GPP接入系统连接到 EPC ,该流程中， UE和演进分组数据网关 （ePDG )在创建因特网密钥交换协议（IKEv2 ) 隧 道过程中， ePDG根据 UE提供的位置相关信息为 UE选择一个靠近的 ePDG, 接着 ePDG通过 IKEv2重定向机制将 UE重定向到对应的 ePDG。

步骤 301： UE连接到非 3GPP接入系统， 可选地进行非 3GPP接入的认 证授权， 在此过程中， 3GPP AAA服务器可以将运营商的相关策略信息和签 约信息发送给接入网络；

步骤 302: UE和 ePDG交换第一对消息 IKE— SA— INIT协商加密算法， 进行随机数的交换等；

步骤 303: UE通过 ePDG和 AAA服务器进行的身份认证信息的交互； 步骤 304 : UE 发送包含可扩展的身份验证协议 （EAP , Extension

Authentication Protocol ) 消息的因特网密钥交换认证（ IKE— AUTH )请求消 息到 ePDG, 响应身份认证交互过程中收到的认证挑战， 同时 UE将所处接 入网络的标识信息作为位置信息包含在该消息中；

上述接入网标识信息包含但不限于： UE 所处地区对应的宏基站标识， 或者所处 WLAN网络的 SSID,或者所处区域的邮政编码等， UE如何获得位 置相关信息本发明不#文限制。

步骤 305: ePDG根据 UE提供的位置信息以及预配置的网关列表为 UE 选择一个靠近的 ePDG;

在本实施例中， ePDG上预配置的网关列表包括 UE提供的位置信息以 及与该位置信息所指示位置邻近的 ePDG的标识信息。 如实施例 1中所述， 可以根据规定用户设备发送的位置信息的内容来配置网关列表， 也可以配置 一个大容量网关列表， 不论用户设备发送具体哪种位置信息， 均可为该用户 设备选择到靠近的 ePDG。

步骤 306: ePDG通过 IKEv2向 UE发送因特网密钥交换认证（ IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 （REDIRECT ) New— GW— ID、 Ni— data和新的 ePDG身份信息，可以是 ePDG的 IPv4或 IPv6 地址， 也可以是 FQDN;

步骤 307: UE根据重定向指示信息向新的 ePDG发起 IKEv2认证建立 IPSec隧道。

在其他实施例中， ePDG也可从网络侧（如 3GPPAAA服务器 )获取 UE 的位置相关信息。 例如， 步骤 301 中， UE连接到非 3GPP接入系统进行非 3GPP接入的认证授权的过程中，非 3GPP接入网可以将 UE所处的接入网的 位置信息上报给非 3GPP AAA服务器。 实施例 3

图 4为用户设备通过 WLAN接入系统连接到 EPC获取 ePDG信息的流 程图。 这里图中显示了 WLAN 系统的 WiFi AP/接入控制器 （AC, Access Controller) , RG以及接入 BRAS/BNG等主要设备网元。本实施例假设 WLAN 接入系统中的 BRAS/BNG作为非 3GPP接入系统的认证网元。具体流程如下。

步骤 401：用户设备建立到 WLAN接入系统的无线连接，建立三层连接， BRAS/BNG为用户设备分配 IP地址；

步骤 402: UE通过 WLAN接入系统进行非 3GPP接入的认证授权， 这 里， 3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给 BRAS/BNG, 3GPP AAA Server在此流程中也可以从 BNG或 BRAS (简写为 BNG/BRAS )处获取 UE所处的接入系统的位置信息；

步骤 403: UE和 ePDG交换第一对消息 IKE— SA— INIT协商加密算法， 进行随机数的交换等；

步骤 404: UE通过 ePDG和 AAA服务器进行的身份认证信息的交互； 步骤 405： UE发送包含 EAP消息的因特网密钥交换认证 ( IKE AUTH ) 请求消息到 ePDG, 响应身份认证交互过程中收到的认证挑战；

步骤 406: ePDG将 EAP-Response响应消息 （带 AKA挑战信息 )发送 给 3GPP AAA服务器；

步骤 407: 3GPP AAA服务器根据当前 UE所处的接入系统的位置信息 以及预配置的网关列表为 UE选择一个靠近的 ePDG;

在本实施例中， 3GPP AAA上预配置的网关列表包括 UE提供的位置信 息以及与该位置信息所指示位置邻近的 ePDG的标识信息， 优选为距离最近 ePDG„

步骤 408, 3GPP AAA服务器向 ePDG返回认证回答， 在该认证回答中 携带所选择的 ePDG的标识信息， 例如可以是 ePDG的 IPv4或 IPv6地址， 也可以是 FQDN;

步骤 409: ePDG通过 IKEv2向 UE发送因特网密钥交换认证（ IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 （REDIRECT ) New— GW— ID、 Ni— data和从 3GPP AAA服务器收到的新的 ePDG身份信息； ePDG判断认证回答中携带有 ePDG的标识信息， 则构造重定向指示信 息携带在 IKE— AUTH响应消息中， 同时还将该新的 ePDG的标识信息通过 IKE— AUTH响应消息发送给用户设备。

步骤 410: UE根据重定向指示信息向新的 ePDG发起 IKEv2认证建立 IPSec隧道。

实施例 4

如图 5所示， UE使用 DSMIPv6双栈 IPv6移动管理协议通过信任的非

3GPP接入系统初始连接到 EPC, UE须执行 DSMIPv6的启动流程， 在该流 程中， UE须和分组数据网络网关 （PDN GW )在创建因特网密钥交换协议 ( IKEv2 )隧道， PDN GW根据 UE的 IP地址或 IP网段地址为 UE重新选择 一个距离 UE更近的 PDN GW, 接着 PDN GW通过 IKEv2重定向机制将 UE 重定向到对应的 PDN GW。 需要说明的是， PDN GW的选择重定向只适用于 初始附着连接的场景， 切换场景下， PDN GW作为连接锚点不会进行重定向 优化。 具体流程如下。

步骤 501： UE连接到非 3GPP接入系统， 可选地进行非 3GPP接入的认 证授权， 在此过程中， 3GPP AAA服务器可以将运营商的相关策略信息和签 约信息发送给接入网络；

步骤 502: UE获取本地接入网的 IP地址， 建立三层连接， 根据 DNS查 询结果选择要连接的 PDN GW (具有 Home Agent功能的 PDN GW ) ；

步骤 503： UE和 PDN GW交换第一对消息 IKE— S A— INIT协商加密算法， 进行随机数的交换等；

步骤 504: UE通过 PDN GW和 3GPP AAA服务器进行的身份认证信息 的交互；

步骤 505: UE向 PDN GW发送包含 EAP消息的因特网密钥交换认证 ( IKE— AUTH )请求消息， 响应身份认证交互过程中收到的认证挑战； 步骤 506: PDN GW根据 UE的 IP地址或 UE的 IP地址所属的 IP网段 地址以及预先配置的网关列表为 UE选择一个靠近的新的 PDN GW;

如果规定根据 UE的 IP地址选择， 则 PDN GW上预配置的网关列表至 少包括 IP地址以及各 IP地址对应的靠近该些 IP地址的 PDN GW的标识信 息； 如果规定根据 UE的 IP地址所属的 IP网段地址选择， 则 PDN GW上预 配置的网关列表至少包括网段信息以及每个 IP 网段对应的靠近该网段的 PDN GW的标识信息； 如果没有选择所依据的内容， 则 PDN GW上可以配 置包括 IP地址、网段信息以及 PDN GW标识信息三者对应关系的网关列表， 以保证能够为所有用户设备选择新的 PDN GW。

步骤 507 : PDN GW 通过 IKEv2 向 UE 发送因特网密钥交换认证

( IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 ( REDIRECT ) New_GW_ID、 Ni_data和新的 PDN GW身份信息， 可以是 PDN GW的 IPv4或 IPv6地址， 也可以是 PDN GW的 FQDN;

步骤 508: UE根据重定向指示信息向新的 PDN GW发起 IKEv2认证进 行认证授权， 以建立 MIPv6安全联盟。

实施例 5

图 6为用户设备使用 DSMIP作为移动管理协议通过 WLAN接入系统连 接到 EPC的流程图。 这里图中显示了 WLAN系统的 WiFi AP/AC , RG以及 接入 BRAS/BNG 等主要设备网元。 本实施例假设 WLAN接入系统中的 BRAS/BNG作为非 3GPP接入系统的认证网元。 需要说明的是， PDN GW的 选择重定向只适用于初始附着连接的场景， 切换场景下， PDN GW作为连接 锚点不会进行重定向优化。 具体流程如下。

步骤 601： UE连接到非 3GPP接入系统， 可选地进行非 3GPP接入的认 证授权， 在此过程中， 3GPP AAA服务器可以将运营商的相关策略信息和签 约信息发送给接入网络， BRAS/BNG向 UE分配本地 IP地址；

步骤 602: UE通过 WLAN接入系统进行非 3GPP接入的认证授权， 这 里， 3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给 BRAS/BNG;

步骤 603: UE向 ePDG发起建立安全联盟， 建立 IPSec隧道， 确保 UE 到 ePDG之间的报文的安全；

步骤 604: UE向 PDN GW发送包含 EAP消息的因特网密钥交换认证 ( IKE AUTH )请求消息， 响应身份认证交互过程中收到的认证挑战， UE 将 BRAS/BNG的 IP地址或所处 WLAN网络的位置信息 （例如 SSID ) 包含 在该报文中；

步骤 605: PDN GW根据收到的位置信息查询距离 UE最近的 PDN GW, 如果发现本身不是距离 UE最近的 PDN GW, 则准备通过 IKEv2重定向功能 将 UE重新导向对应的 PDN GW;

步骤 606 : PDN GW 通过 IKEv2 向 UE 发送因特网密钥交换认证 ( IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 ( REDIRECT ) New_GW_ID、 Ni_data和新的 PDN GW身份信息， 可以是 PDN GW的 IPv4或 IPv6地址， 也可以是 PDN GW的 FQDN;

步骤 607: UE根据重定向指示信息向新的 PDN GW发起 IKEv2认证进 行认证授权 , 以建立 MIPv6安全联盟。

实施例 6

图 7为用户设备使用 DSMIP作为移动管理协议通过 WLAN接入系统连 接到 EPC的流程图。 这里图中显示了 WLAN系统的 WiFi AP/AC , RG以及 接入 BRAS/BNG 等主要设备网元。 本实施例假设 WLAN接入系统中的 BRAS/BNG作为非 3GPP接入系统的认证网元。 需要说明的是， PDN GW的 选择重定向只适用于初始附着连接的场景， 切换场景下， PDN GW作为连接 锚点不会进行重定向优化。 具体流程如下。

步骤 701： UE连接到非 3GPP接入系统， 可选地进行非 3GPP接入的认 证授权， 在此过程中， 3GPP AAA服务器可以将运营商的相关策略信息和签 约信息发送给接入网络， BRAS/BNG向 UE分配本地 IP地址；

步骤 702: UE通过 WLAN接入系统进行非 3GPP接入的认证授权， 这 里， 3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给 BRAS/BNG, BRAS/BNG将 WLAN接入网的位置信息发送给 AAA服务器； 步骤 703: UE向 ePDG发起建立安全联盟， 建立 IPSec隧道， 确保 UE 到 ePDG之间的报文的安全；

步骤 704: UE向 PDN GW发送包含 EAP消息的因特网密钥交换认证

( IKE AUTH )请求消息， 响应身份认证交互过程中收到的认证挑战；

步骤 705: PDN GW将 EAP-Response响应消息（带 AKA挑战信息 )发 送给 3GPP AAA服务器；

步骤 706: 3GPP AAA服务器根据当前 UE所处的接入系统的位置信息 以及预配置的网关列表为 UE选择一个靠近的新的 PDN GW;

在本实施例中， 3GPP AAA服务器上预配置的网关列表包括 UE所处的 WLAN的位置相关信息和邻近该位置的 PDN GW的标识信息。

步骤 707, 3GPP AAA服务器向 PDN GW返回认证回答， 在该认证回答 中携带所选择的新的 PDN GW的标识信息，例如可以是 PDN GW的 IPv4或 IPv6地址， 也可以是 FQDN;

步骤 708 : PDN GW 通过 IKEv2 向 UE 发送因特网密钥交换认证 ( IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 ( REDIRECT ) New_GW_ID、 Ni_data和新的 PDN GW身份信息， 可以是 PDN GW的 IPv4或 IPv6地址， 也可以是 PDN GW的 FQDN完全域名； 步骤 709: UE根据重定向指示信息向新的 PDN GW发起 IKEv2认证进 行认证授权 , 以建立 MIPv6安全联盟。

实施例 7

图 8为用户设备通过 WLAN接入系统连接到 EPC获取 ePDG信息的流 程图。这里图中显示了 WLAN系统的 WiFi AP/AC , RG以及接入 BRAS/BNG 等主要设备网元。 本实施例假设 WLAN接入系统中的 BRAS/BNG作为非 3GPP接入系统的认证网元。 具体流程如下。

步骤 801 :用户设备建立到 WLAN接入系统的无线连接，建立三层连接， BRAS/BNG为用户设备分配 IP地址；

步骤 802: UE通过 WLAN接入系统进行非 3GPP接入的认证授权， 这 里， 3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给 BRAS/BNG;

步骤 803: UE和 ePDG交换第一对消息 IKE— SA— INIT协商加密算法， 进行随机数的交换等；

步骤 804: UE通过 ePDG和 AAA服务器进行的身份认证信息的交互； 步骤 805： UE发送包含 EAP消息的因特网密钥交换认证 ( IKE AUTH ) 请求消息到 ePDG , 响应身份认证交互过程中收到的认证挑战， UE 将 BRAS/BNG的 IP地址包含在该报文中发送给 ePDG;

步骤 806: ePDG将 EAP-Response响应消息 （带 AKA挑战信息 )发送 给 3GPP AAA服务器， 消息中包含了步骤 805中的 BNG/BRAS的 IP地址作 为 UE当前位置信息发送给 3GPP AAA服务器；

步骤 807: 3GPP AAA服务器根据当前 UE所处的接入系统的位置信息 以及预配置的网关列表为 UE选择一个靠近的 ePDG;

在本实施例中， 3GPP AAA上预配置的网关列表包括 UE提供的位置信 息以及与该位置信息所指示位置邻近的 ePDG的标识信息， 优选为距离最近 ePDG„

步骤 808, 3GPP AAA服务器向 ePDG返回认证回答， 在该认证回答中 携带所选择的 ePDG的标识信息， 例如可以是 ePDG的 IPv4或 IPv6地址， 也可以是 FQDN;

步骤 809: ePDG通过 IKEv2向 UE发送因特网密钥交换认证（ IKE AUTH ) 响应消息， IKE— AUTH 响应消息包含携带重定向指示信息 （REDIRECT ) New— GW— ID、 Ni— data和从 3GPP AAA服务器收到的新的 ePDG身份信息； ePDG判断认证回答中携带有 ePDG的标识信息， 则构造重定向指示信 息携带在 IKE— AUTH响应消息中， 同时还将该新的 ePDG的标识信息通过 IKE AUTH响应消息发送给用户设备。

步骤 810: UE根据重定向指示信息向新的 ePDG发起 IKEv2认证建立 IPSec隧道。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成， 所述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地， 上述实施例中的各模块 /单元可以釆用 硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。

当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

工业实用性

通过上述技术方案， 为用户设备选择合适的网关， 避免出现路由迂回的 问题， 提高系统性能， 提高了 ePDG/PDN GW的选择精度。 因此本发明具有 4艮强的工业实用性。

Claims

权 利 要 求 书

1、 一种选择网关的方法， 包括：

在用户设备接入演进分组核心网 （EPC ) 、 进行因特网密钥交换协议 ( IKEv2 ) 交互的过程中， 网元根据所述用户设备的位置信息为所述用户设 备重新选择靠近所述用户设备的支持 IKEv2协议的网关。

2、 如权利要求 1所述的方法， 其中：

所述网元包括第一演进的分组数据网关（ ePDG ),重新选择的支持 IKEv2 协议的网关包括第二 ePDG;

所述方法还包括： 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 ePDG向所述 用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指示信 息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

3、 如权利要求 1所述的方法， 其中：

所述网元包括第一分组数据网络网关 （PDN GW ) , 重新选择的支持 IKEv2协议的网关包括第二 PDN GW;

所述方法还包括， 网元根据所述用户设备的位置信息为所述用户设备重 新选择靠近用户设备的支持 IKEv2协议的网关之后， 所述第一 PDN GW向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

4、 如权利要求 1所述的方法， 其中：

所述网元包括 3GPP AAA服务器，所述重新选择的支持 IKEv2协议的网 关包括 ePDG或者 PDN GW;

所述方法还包括， 网元根据所述用户设备位置信息为所述用户设备重新 选择靠近用户设备的支持 IKEv2协议的网关之后，所述 3GPP AAA服务器向 所述用户设备的当前网关发送重新选择的网关的标识信息， 所述用户设备的 当前网关接收到所述重新选择的网关的标识信息后， 在向所述用户设备发送 的消息中携带所述重新选择的网关的标识信息以及指示信息， 所述指示信息 用于指示所述用户设备向所述重新选择的网关发起 IKEv2认证。

5、 如权利要求 1-4中任一项所述的方法， 其中， 所述位置信息包括以下 信息中的任意一种：

所述用户设备当前的本地 IP地址， 所述用户设备当前本地 IP地址所属 的 IP网段地址， 所述用户设备所处的接入网络的标识；

其中， 所述用户设备当前的本地 IP地址由本地接入网或者 ePDG分配。

6、如权利要求 5所述的方法， 其中， 所述用户设备所处的接入网络的标 识包括以下标识中的任意一种：

接入网络的服务集标识（ SSID ) ,所述用户设备所处的宏站的标识信息， 所述用户设备所处的接入网络的地理位置信息， 管辖所述用户设备的接入网 关的地址信息。

7、 一种选择网关的装置， 所述装置上具有预配置的网关列表， 所述网关 列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示 位置的支持 IKEv2协议的网关， 所述装置包括第一单元和第二单元， 其中： 所述第一单元设置成： 在用户设备接入演进分组核心网 （EPC ) 、 进行 因特网密钥交换协议（ IKEv2 ) 交互的过程中， 获取所述用户设备的位置信 息；

所述第二单元设置成： 在所述第一单元获取到所述用户设备的所述位置 信息后， 根据所述位置信息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关。

8、 如权利要求 7所述的装置， 其中：

所述装置为第一演进的分组数据网关（ePDG ) , 重新选择的支持 IKEv2 协议的网关为第二 ePDG;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 ePDG的标识信息以及指示信息， 所述指 示信息用于指示所述用户设备向重新选择的第二 ePDG发起 IKEv2认证。

9、 如权利要求 7所述的装置， 其中： 所述装置为第一分组数据网络网关（ PDN GW ) ,重新选择的支持 IKEv2 协议的网关为第二 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备发送重新选择的第二 PDN GW的标识信息以及指示信息，所述 指示信息用于指示所述用户设备向重新选择的第二 PDN GW发起 IKEv2认 证。

10、 如权利要求 7所述的装置， 其中：

所述装置为 3GPP AAA服务器，所述重新选择的支持 IKEv2协议的网关 包括 ePDG或者 PDN GW;

所述装置还包括第三单元， 其设置成： 在所述第二单元根据所述位置信 息为所述用户设备重新选择靠近用户设备的支持 IKEv2协议的网关之后， 向 所述用户设备的当前网关发送重新选择的网关的标识信息， 以使所述用户设 备的当前网关在向所述用户设备发送的消息中携带所述重新选择的网关的标 识信息以及指示信息， 所述指示信息用于指示所述用户设备向所述重新选择 的网关发起 IKEv2认证。

11、 如权利要求 7-10中任一项所述的装置， 其中， 所述位置信息包括以 下信息中的任意一种：

所述用户设备当前的本地 IP地址， 所述用户设备当前本地 IP地址所属 的 IP网段地址， 所述用户设备所处的接入网络的标识；

其中， 所述用户设备当前的本地 IP地址由本地接入网或者 ePDG分配。