WO2012167500A1

WO2012167500A1 - 一种隧道数据安全通道的建立方法

Info

Publication number: WO2012167500A1
Application number: PCT/CN2011/078083
Authority: WO
Inventors: 李欢; 埃雷罗⋅克里斯蒂安; 舒林
Original assignee: 华为技术有限公司
Priority date: 2011-08-05
Filing date: 2011-08-05
Publication date: 2012-12-13
Also published as: US9438594B2; BR112014002742A8; BR112014002742B8; CN103039097B; BR112014002742B1; US20140157395A1; BR112014002742A2; CN103039097A

Abstract

本发明实施例提供一种S2c隧道安全数据通道建立的方法和鉴权认证装置和网关装置，该方法包括：发送鉴权认证请求消息到鉴权认证设备，接收所述鉴权认证设备发送的鉴权认证响应消息，其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关系，根据所述当前接入的可信关系，建立S2c隧道安全联盟。本发明实施例在UE通过S2c接口从非3GPP接入侧接入EPS网络时，接收鉴权认证设备发送的鉴权认证响应消息，并根据上述响应消息中指示的当前接入网络的可信关系，建立S2c隧道安全数据通道，从而能够获得非3GPP接入侧接入EPS网络时的可信关系，保障建立正确的S2c隧道安全数据通道。

Description

一种隧道数据安全通道的建立方法技术领域

本发明实施例涉及通信技术领域，并且更具体地，涉及演进的分组系统

( EPS, Evolved Packet System ) 中 S2c隧道安全联盟的建立方法和装置。背景技术

随着移动宽带时代的到来，用户需要随时随地的使用宽带接入服务，这对移动通信网络提出了更高的要求，如更高的传输速率、更小的时延和更高的系统容量等。为了保持 3GPP网络的优势， 3GPP标准组织于 2004年底启动了 SAE ( System Architecture Evolution, 系统架构演进）计划的研究和标准化工作，定义了一个新的移动通信网络框架，称为演进的分组系统 EPS。随着核心网融合统一的趋势， 3GPP在 EPS 系统中的核心网 EPC ( Evolved Packet Core, 演进的分组系统的核心部分）中也提供了非 3GPP接入网络接入的可能，如 WLAN、 Wimax等接入 EPC。

S2c接口采用 DSMIPv6 ( Mobile IPv6 Support for Dual Stack Hosts，双栈主机的移动 IPv6支持 )协议，可用于可信或者非可信的非 3GPP接入网络接入 EPS网络。 UE ( User Equipment,用户设备）从非 3GPP接入网络通过 S2c 接口接入 EPC时， UE与 PDN-GW ( Packet Data Network Gateway, 分组数据网关，也可简称为 PGW )之间将建立安全联盟 S A ( Security Association, 安全联盟）保护 DSMIPv6信令。当 UE从 S2c接口由可信非 3GPP接入网络接入 EPC时， 3GPP定义了在 UE与 PDN-GW之间建立 DSMIPv6隧道之后， PDN-GW 可以与 UE之间发起建立子安全联盟 Child SA ( Child Security Association, 子安全联盟）对数据面进行保护；但当 UE从非可信非 3GPP 接入网络接入 EPC的时候， UE与非 3GPP接入网关 ePDG ( evolved PDG，演进分组数据网关）之间会建立 IPSec安全通道，通过 IPSec安全通道对 UE 与 PDN-GW之间的数据包进行安全保护。即，当 UE以可信方式接入 EPS 的时候， S2c隧道上可以建立 Child SA对数据面的完整性和机密性进行保护；以非可信方式接入的时候，将由 UE与 ePDG之间的 IPSec安全通道提供数据的完整性保护和机密性保护。如上所述， UE通过 S2c接口接入 EPC的时候， PDN-GW需要区分可信接入和非可信接入场景，以完成不同的数据安全通道的建立过程。但 PDN-GW并不能够判断当前 UE是从可信非 3GPP接入网络接入还是非可信非 3GPP接入网络接入的，也就无法选择正确的 S2c隧道数据安全通道建立方法。发明内容

本发明实施例提供了一种 S2c隧道数据安全通道的建立方法和装置，能够保障建立正确的 S2c隧道数据安全通道。

一方面，提供了一种建立数据安全通道的方法，包括，发送鉴权认证请求消息到鉴权认证设备，接收所述鉴权认证设备发送的鉴权认证响应消息，其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关系，根据所述当前接入的可信关系，建立 S2c隧道安全联盟。其中，所述接收鉴权认证设备发送的鉴权认证响应消息之前，还包括鉴权认证设备根据配置的策略或非 3GPP接入侧发起鉴权认证请求时所存储的可信关系确定当前接入网络的可信关系。

另一方面，提供了一种建立数据安全通道的方法，包括，接收网关设备的鉴权认证请求消息，根据配置的策略或者非 3GPP接入侧发起鉴权认证请求时存储的可信关系确定当前接入的可信关系，向网关设备发送鉴权认证响应消息，所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入的可信关系，以便网关设备根据该指示建立 S2c隧道数据安全通道。

另一方面，提供了一种鉴权认证设备，包括：接收单元，用于接收非 3GPP 接入的鉴权认证请求；鉴权单元，用于对接收单元接收的鉴权认证请求进行鉴权，根据配置的策略或对非 3GPP接入侧发起鉴权认证请求时所存储的可信关系确定当前接入的可信关系；发送单元，用于向 PDN-GW发送鉴权认证相应响应消息，消息中包含可信接入信元用来指示当前接入的可信关系。

另一方面，提供了一种网关设备，包括：发送单元，用于发送鉴权认证请求消息，接收单元，用于接收鉴权认证装置对鉴权认证请求的响应消息，消息中包括可信关系信元用来指示当前接入的可信关系； SA建立单元，用于根据接收单元接收的响应消息中指示的当前非 3GPP接入的可信关系，建立 S2c隧道的数据安全通道。本发明实施例在 UE从 S2c接口由非 3GPP接入网矣入 EPC时，接收鉴权认证响应消息，根据消息中指示的当前接入网络的可信关系，建立数据安全通道，保证进行正确的数据安全通道。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是 3GPP规定的非漫游场景下非 3GPP接入网络采用 S2c接口接入

EPS网络的系统架构图。

图 2是根据本发明一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。

图 3是根据本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。

图 4是本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

图 5是本发明另一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

图 6是本发明另一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

图 7是本发明另一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

图 8是本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS 网络的安全通道建立过程的示意流程图。

图 9是根据本发明一个实施例的鉴权认证装置的框图。

图 10是根据本发明一个实施例的网关的框图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1是 3GPP规定的非 3GPP接入网络采用 S2c接口接入 EPS网络的系统架构图。本发明实施例可应用于图 1所示的 EPS网络架构。

如图 1所示， S2c接口可以用于非 3GPP接入网络接入 EPS网络。对于可信非 3GPP接入网络， UE将直接通过非 3GPP接入网络连接到 PDN-GW; 而对于不可信非 3GPP接入网络， UE则需要通过归属网络可信任的演进分组数据网关 ePDG，再连接到 PDN-GW网元上。

当 UE从 S2c接口通过 PDN-GW进行鉴权认证时，如果是由可信非 3GPP 接入网络接入 EPC的， PDN-GW需要发起建立子安全联盟 child SA对数据面进行保护；如果 UE是从非可信非 3GPP接入网络接入 EPC的， PDN-GW 通过 UE与 ePDG之间的 IPSec通道建立 DSMHV6安全通道对数据进行完整性保护和机密性保护。

由上述描述可以看到， PDN-GW需要知道当前 UE是从可信非 3GPP接入网络接入还是非可信非 3GPP接入网络接入是选择正确的 S2c隧道数据安全通道建立方式的前提。

本发明实施例在图 1所述的网络架构上，由鉴权认证设备确定当前接入的可信关系，并发送给 PDN-GW， PDN-GW根据此指示选择建立数据安全通道的方式，保证 PDN-GW进行正确的安全通道建立过程。本发明实施例中的鉴权认证设备均以 AAA ( Authentication Authorization Accounting , 认证授权和计费）服务器来举例说明，具体实施时也可能是 HSS( Home Subscriber Server, 归属网络服务器）等其他设备作为实施例中的鉴权认证设备。图 2 是本发明一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。

201 , 接收非 3GPP接入侧的鉴权认证请求，进行认证鉴权过程。此处的非 3GPP接入侧，可以是非 3GPP接入网络，也可以是 ePDG。

当 AAA服务器接收非 3GPP接入网络的鉴权认证请求时，根据其中参数判断当前的接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID，拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等，将上述判断结果在鉴权认证响应消息中发送给非 3GPP接入网络，并将是否为可信接入的结果与 UE标识的对应关系存储下来，也可以与网络标识的对应关系一并存储。

也可以采用下面的存储方法： AAA服务器判断当前接入为可信接入或本次鉴权认证请求为非 3GPP接入网络接入鉴权认证过程，在将结果在鉴权认证响应消息中发送给非 3GPP接入网络时，不存储是否为可信接入的结果与 UE标识、和 /或网络标识的对应关系。

当 AAA服务器接收 ePDG的鉴权认证申请时，如果 AAA服务器中还没有当前接入的非可信接入结果与 UE标识和 /或网络标识的存储信息，则此时存储上述接入的非可信接入结果与 UE标识和 /或网络标识的对应关系信息，否则不保存上述信息。当然，也可以采用下面的方法： AAA服务器不管是否已有当前接入的非可信接入结果与 UE 标识和 /或网络标识的对应关系的存储信息，均存储当前接入的非可信接入结果与 UE标识和 /或网络标识。

上述过程中的网络标识包括拜访地网络标识（该标识仅在漫游场景下需要），或接入类型，或接入网标识，或接入网络内使用的安全机制等信息。

202, 接收 PDN-GW发送的鉴权认证请求，判断当前接入的可信关系，即当前接入为可信接入还是非可信接入。 PGW发送鉴权认证请求消息到 AAA服务器，注册 APN ( Access Point Name,接入点名称）和 PGW的信息，上述请求消息中包括 UE标识，可能还包括拜访地网络标识（该标识仅在漫游场景下需要）、接入类型、接入网标识、接入网络内使用的安全机制等。 AAA服务器根据 UE标识和 /或网络标识，与存储的是否可信接入信息进行比较，如存储的信息表明为可信接入则判定当前接入为可信接入，相反的，如存储的信息为非可信接入则判定当前接入为非可信接入。

进一步的，如果 AAA服务器中没有存储当前接入是否可信接入的信息，则认为当前接入为可信接入。

当然，具体实施时也可以采用下面的方法： AAA月良务器也可以在接收到鉴权认证请求后，直接根据 UE标识和 /或网络标识与所存储的可信接入信息进行比较，如没有存储当前接入的可信接入信息，则认为当前接入为可信接入，否则为非可信接入。

203 , 根据接收到的当前接入的可信关系，确定 S2c隧道安全联盟建立方式。 AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，此时指示为可信接入。 PGW接收到可信关系信元指示为可信接入后，在任意时间可发起与 UE间的 Child SA建立过程，若接收到 UE发起的 Child SA 建立请求，则接受请求。相反的， PGW接收到可信关系信元指示为非可信接入后，不再发起 Child SA建立过程，若接收到 UE发送的 Child SA建立请求，则拒绝。

本发明实施例在对非 3GPP接入侧的鉴权认证请求进行处理时，存储是否为可信接入的结果，并在后续收到 PDN-GW发送的鉴权认证请求时，根据存储的可信接入结果，判断当前接入是否为可信接入，并在响应消息将可信关系信息通知 PGW，使 PGW可以正确建立 S2c隧道安全联盟。

301，接收 PDN-GW发送的鉴权认证请求，判断当前接入的可信关系，即当前接入为可信接入还是非可信接入。 PGW发送鉴权认证请求消息到 AAA服务器，注册 APN和 PGW的信息，上述请求消息中包括 UE标识、拜访地网络标识（该标识仅在漫游场景下需要）、接入类型、可能还包括接入网标识等。 AAA服务器根据根据如下参数的一种或几种判断当前接入为可信接入还是非可信接入： UE标识、拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要）、接入网标识 ANID、接入类型、接入网络内使用的安全机制等，与配置的策略判定当前接入是否为可信接入。上述策略中包括拜访地网络标识和 /或接入网标识等信息与可信关系的对应关系。

如策略表明为可信接入则判定当前接入为可信接入，相反的，如策略中的信息表明为非可信接入则判定当前接入为非可信接入。

302, 根据接收到的当前接入的可信关系，确定 S2c隧道安全联盟建立方式。 AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，此时指示为可信接入。 PGW接收到可信关系信元指示为可信接入后，在任意时间可发起与 UE间的 Child SA建立过程，若接收到 UE发起的 Child SA 建立请求，则接受请求。相反的， PGW接收到可信关系信元指示为非可信接入后，不再发起 Child SA建立过程，若接收到 UE发送的 Child SA建立请求，则拒绝。

本发明实施例在收到 PDN-GW发送的鉴权认证请求时，根据配置的策略判断当前接入是否为可信接入，并在响应消息将是否可信接入信息通知 PGW, 使 PGW可以正确建立 S2c隧道安全联盟。

下面结合具体例子，更加详细地描述本发明的实施例。图 4是根据本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道建立的方法的示意流程图。

401 , UE发送 EAP-RSP鉴权请求消息到可信非 3GPP接入网络。

402, 可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器，其中包括接入网标识 ANID，接入类型，还可能包括接入网络内使用的安全机制参数等。在漫游场景下，此鉴权认证请求要通过 AAA proxy从接入网络转发给 AAA服务器，而且鉴权认证请求中还包括拜访地网络标识 Visited Network Identity

AAA服务器根据接收到的参数判断当前的接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID，拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。并将可信接入的结果与 UE标识、网络标识或两者一并存储下来。

也可以采用下面的方法： AAA服务器判断当前接入为非 3GPP接入网络接入或为可信接入，不存储可信接入的结果与 UE标识和 /或网络标识的对应关系。

上述过程中保存的网络标识包括拜访地网络标识（该标识仅在漫游场景下需要），或接入类型，或接入网标识，或接入网络内使用的安全机制等信息。

403， AAA服务器发送鉴权认证响应消息给可信非 3GPP接入网络，其中包括上述可信接入结果。

404，可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE，其中包括可信接入结果。

405 , UE触发 L3 ( Level 3，层 3 )接入过程。 UE与可信非 3GPP接入网络之间建立 L3连接，从接入网络获得一个本地 IP地址 CoA。

406, UE发送安全联盟建立请求给 PDN-GW为 UE和 PDN-GW之间建立 DSMIPv6的的 SA，此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，消息中包括 APN信息。

407, PGW发送鉴权认证请求消息到 AAA服务器，注册 APN ( Access Point Name, 接入点名称）和 PGW信息，上述请求消息中包括 UE标识、接入类型、可能还包括接入网标识，接入网络内使用的安全机制等。如果是漫游场景，上述请求消息中还需要包括拜访地网络标识。 AAA服务器根据 UE标识和 /或网络标识和存储的是否可信接入信息进行比较，如存储的信息为可信接入则判定当前接入为可信接入。

当然，具体实施时也可以采用下面的方法： AAA月良务器也可以在接收到鉴权认证请求后，直接根据 UE标识和 /或网络标识与所存储的是否可信接入信息进行比较，如没有存储当前接入是否可信接入的信息，则认为当前接入为可信接入，否则为非可信接入。

408， AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "可信"，表示当前为可信接入。

409， PGW发送安全联盟建立响应消息到 UE，其中包括 PGW给 UE分配的 IP地址。

410, PGW接收到可信关系信元，指示为可信接入后，在任意时间可发起与 UE间的 Child SA建立过程。若接收到 UE发起的 Child SA建立请求，则接受请求，建立 Child SA。

图 5是根据本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道建立的方法的示意流程图。

501 , UE触发 L3接入过程。 UE与可信非 3GPP接入网络之间建立 L3 连接，从接入网络获得一个本地 IP地址 CoA。

502, UE发送安全联盟建立请求给 PDN-GW为 UE和 PDN-GW之间建立 DSMIPv6的的 SA，此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，消息中包括 APN信息。 503， PGW发送鉴权认证请求消息到 AAA服务器，注册 APN和 PGW 信息，上述请求消息中包括 UE标识、接入类型、可能还包括接入网标识等。如果是漫游场景，上述请求消息中还需要包括拜访地网络标识。 AAA服务器根据 UE 标识和 /或网络标识没有找到存储的当前接入是否为可信接入的信息，认为当前接入为可信接入。

504, AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "可信"，表示当前为可信接入。

505， PGW发送安全联盟建立响应消息到 UE，其中包括 PGW给 UE分配的 IP地址。

506, PGW接收到可信关系信元，指示为可信接入后，在任意时间可发起与 UE间的 Child SA建立过程。若接收到 UE发起的 Child SA建立请求，则接受请求，建立 Child SA。

图 6是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

601. 终端发送 EAP-RSP鉴权请求消息到非可信非 3GPP接入网络。

602, 非可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器，鉴权请求中包括接入网标识 ANID，接入类型，还可能包括接入网络内使用的安全机制参数等。在漫游场景下，接入网络提交的鉴权认证请求需要通过 AAA proxy 转发给 AAA 服务器，且上述请求中包括拜访地网络标识 Visited Network Identity。

AAA服务器根据鉴权请求中的参数判断当前的接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID，拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。并将非可信接入的结果与 UE标识和 /或网络标识及对应关系一并存储下来。

也可以采用下面的方法： AAA服务器判断当前接入为非 3GPP接入网络接入，不存储非可信接入的结果与 UE标识和 /或网络标识及对应关系。

上述过程中保存的网络标识包括拜访地网络标识（该标识仅在漫游场景下需要），或接入类型，或接入网标识等信息。

603 , AAA服务器发送鉴权认证响应消息给非可信非 3GPP接入网络，其中包括上述非可信接入结果。

604, 非可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE，其中包括上述非可信接入结果。

605， UE发送 IKE鉴权请求到 ePDG，请求建立 UE与 ePDG之间的 IPSec 隧道。

606， ePDG发送鉴权认证请求到 AAA服务器，漫游场景下此鉴权认证请求通过 AAA proxy转发。如果 AAA服务器中还没有存储当前接入的非可信接入与 UE标识和 /或网络标识的对应关系，则此时存储上述接入的非可信接入结果与 UE标识和 /或网络标的对应关系，否则不保存上述信息。

当然，也可以采用下面的方法： AAA服务器不管是否已有当前接入的非可信接入结果与 UE标识和 /或网络标识的对应关系的存储信息，均存储当前接入的非可信接入结果与 UE标识和 /或网络标识的对应关系。

上述过程中保存的网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。

607， AAA服务器发送鉴权认证响应消息给 ePDG。

608， ePDG发送 IKE鉴权响应消息给 UE。

609， UE发送安全联盟建立请求给 PDN-GW在 UE和 PDN-GW之间建立 DSMIPv6的的 SA，此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，其中包括 APN信息。

610, PGW发送鉴权认证请求消息到 AAA服务器，注册 APN和 PGW 信息，上述请求消息中包括 UE标识。还可以包括网络标识，网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。 AAA服务器根据 UE标识和 /或网络标识和存储的可信接入对应关系，判定当前为非可信接入。

611 , AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "非可信"，表示当前为非可信接入。 PGW接收到指示为非可信接入的消息后，不再发起 Child SA建立过程，若接收到 UE发送的 Child SA建立请求，则拒绝。拒绝的方式可以为：在 Child SA建立请求的响应消息中的 Notify Payload中的原因值指示 "NO_ADDITIONAL S AS " ，或 "NO_Child_SAS" ，或其它原因值，表示不再接收 Child SA的建立。

612, PGW发送安全联盟建立响应消息到 UE，其中包括 PGW给 UE分配的 IP地址。

图 7是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。

701 , UE发送 IKE鉴权请求到 ePDG，请求建立 UE与 ePDG之间的 IPSec 隧道。

702, ePDG发送鉴权认证请求到 AAA服务器，漫游场景下此鉴权认证请求通过 AAA proxy转发。 AAA服务器中发现还没有存储当前接入的非可信接入与 UE标识和 /或网络标识的对应关系，存储上述接入的非可信接入结果与 UE标识和 /或网络标的对应关系。

703， AAA服务器发送鉴权认证响应消息给 ePDG。

704， ePDG发送 IKE鉴权响应消息给 UE。

705， UE发送安全联盟建立请求给 PDN-GW在 UE和 PDN-GW之间建立 DSMIPv6的的 SA，此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，其中包括 APN信息。

706， PDN-GW发送鉴权认证请求消息到 AAA服务器，注册 APN和

PDN-GW信息，请求消息中包括 UE标识。还可以包括网络标识，网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。 AAA服务器根据 UE标识和 /或网络标识和存储的可信接入对应关系，判定当前为非可信接入。

707, AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "非可信"，表示当前为非可信接入。 PGW接收到指示为非可信接入的消息后，不再发起 Child SA建立过程，若接收到 UE发送的 Child SA建立请求，则拒绝。拒绝的方式可以为：在 Child SA建立请求的响应消息中的 Notify Payload中的原因值指示 "NO_ADDITIONAL S AS " ，或 "NO_Child_SAS" ，或其它原因值，表示不再接收 Child SA的建立。

708, PGW发送安全联盟建立响应消息到 UE，其中包括 PGW给 UE分配的 IP地址。

图 8是根据本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入

EPS网络的安全通道建立过程的示意流程图。

801 , UE发送安全联盟建立请求给 PGW在 UE和 PDN-GW之间建立 DSMIPv6的的 SA，此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，其中包括 APN信息。

802, PGW发送鉴权认证请求消息到 AAA服务器，注册 APN和 PGW信息，上述请求消息中包括 UE标识。还可以包括网络标识，网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。

AAA服务器根据配置的策略判定当前接入是否为可信接入，策略中包括网络标识与可信关系的对应关系。判定方法可以为： AAA服务器根据鉴权认证请求消息中的网络标识，查询配置的策略确定当前接入网络的可信关系。若鉴权认证请求消息中不包括接入网标识， AAA服务器业也可以需要根据接入类型标识构造接入网络标识。具体方法为：接入类型一般是整数类型的表示方法，如 0表示 WLAN， 2001 表示 HRPD等。接入网前缀即为 "WLAN" , "HRPD" 这样的字符串，因此， AAA服务器根据接入类型，查表得知接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网标识的前缀。接入网标识除前缀之外的附加字符串可以没有，或者生成规则由 AAA服务器自己决定。

判定方法可以采用如下方式实现：策略中包含可信关系与非可信关系的记录，查询配置的策略数据表，如与网络标识对应的可信关系为可信接入则判定当前接入为可信接入，可信关系为非可信接入则判定当前接入为非可信接入。也可以在策略中仅设置可信接入或非可信接入中的一种，如：仅设置可信接入的记录，查询不到相关信息的则为非可信接入。

803 , AAA服务器发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，指示当前接入为可信接入或非可信接入。 PGW接收到当前接入的可信关系消息，确定 S2c隧道安全联盟建立方式。如为可信接入，则在任意时间可发起与 UE间的 Child S A建立过程，若接收到 UE发起的 Child SA建立请求，则接受请求，建立 Child SA; 如为非可信接入后，不再发起 Child SA建立过程，若接收到 UE发送的 Child SA 建立请求，则拒绝，拒绝的方式可以为：在 Child SA建立请求的响应消息中的 Notify Payload 中的原因值指示 " NO_ADDITIONAL_SAS " ,或 "NO_Child_SAS" ，或其它原因值，表示不再接收 Child SA的建立。

804， PGW发送安全联盟建立响应消息到 UE，其中包括 PGW给 UE分配的 IP地址。

图 9是根据本发明一个实施例的鉴权认证装置的框图。图 9的鉴权认证装置 90的非限制性例子是图 4-图 8中所示的 HSS/AAA设备，包括接收单元 91、鉴权单元 92和发送单元 93。

接收单元 91 接收非 3GPP接入侧（非 3GPP接入网络或 ePDG )或 PDN-GW在 UE通过 S2c接口接入 EPS网络时发送的鉴权认证请求。鉴权单元 92对上述接入进行鉴权认证：针对非 3GPP接入侧发送的鉴权认证请求，鉴权单元判断当前接入是否为可信接入，并记录可信接入结果与 UE标识或网络标识或两者一并的对应关系；针对 PDN-GW发送的鉴权认证请求，鉴权单元根据配置的策略或接入侧鉴权认证时记录的可信接入结果对应关系，判断当前接入是否为可信接入。发送单元 93，用于根据鉴权单元确定的是否可信接入结果，向 PDN-GW发送可信接入信元，指示是否为可信接入。

本发明实施例在 UE通过 S2c接口由非 3GPP接入网络接入 EPS网络时，接收 PDN-GW发送的鉴权认证请求，根据配置的策略或之前对接入侧（非 3GPP接入网络或 ePDG )发起的鉴权请求进行鉴权认证时记录的是否可信接入的对应关系，判断当前接入是否为可信接入，并将可信接入结果发送给 PDN-GW, 从而使得 PDN-GW能够获得当前接入是否为可信接入的信息，实现 UE从非 3GPP接入网通过 S2c接口接入 EPS网络时，正确建立 S2c隧道数据安全通道。

在一个实施例中，鉴权单元 92根据配置的策略判定当前接入是否为可信接入时，判定的方法可以为：根据鉴权认证请求消息中的接入网络标识（漫游场景下还需要拜访地网络标识），查询配置的策略确定当前接入网络的可信关系。若鉴权认证请求消息中不包括接入网标识，需要根据接入类型标识构造接入网络标识。具体为：接入类型一般是整数类型的表示方法，如 0表示 WLAN， 2001表示 HRPD等。接入网络前缀即为 "WLAN"， "HRPD" 这样的字符串，鉴权单元 92根据接入类型，查表得知接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网络标识的前缀。接入网络标识除前缀之外的附加字符串可以没有，或者生成规则由 AAA服务器自己决定。上述策略中包括接入网标识（漫游场景下还需要拜访地网络标识 )与可信关系的对应关系。

判定方法可以采用如下方式：查询配置的策略数据表，找到与接入网络标识（漫游场景下还需要拜访地网络标识）对应的可信关系，如可信关系为可信接入则判定当前接入为可信接入，可信关系为非可信接入则判定当前接入为非可信接入。具体实现时，也可以采用在策略中仅设置可信接入或非可信接入中的一种，如仅设置可信接入的记录，查询不到相关信息的则为非可信接入。

在另一个实施例中，鉴权单元 92对非 3GPP接入侧的鉴权认证请求进行认证鉴权。此处的非 3GPP接入侧，可以是非 3GPP接入网络，也可以是 ePDG。

当鉴权单元 92对非 3GPP接入网络的鉴权认证请求进行鉴权时，根据请求中的参数判断当前的接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID，拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等，将是否为可信接入的结果及 UE标识的对应关系存储下来，也可以把网络标识及对应关系一并存储。

也可以采用下面的存储方法：判断当前接入为非 3GPP接入网络接入或为可信接入，不存储是否为可信接入的结果与 UE标识、和 /或网络标识的对应关系。

当鉴权单元 92对 ePDG的鉴权认证申请进行鉴权时，如果没有查询到当前接入的非可信接入结果与 UE标识和 /或网络标识的存储信息，则此时存储上述接入的非可信接入结果与 UE标识和 /或网络标识等信息，否则不保存上述信息。当然，也可以采用下面的方法：不管是否已有当前接入的非可信接入结果与 UE标识和 /或网络标识的存储信息，均存储当前接入的非可信接入结果与 UE标识和 /或网络标识。

进一步的，当鉴权单元 92对接收到的 PDN-GW发送的鉴权认证请求进行鉴权认证时，根据请求中的 UE 标识和 /或网络标识，与前面所述的对非 3GPP接入侧的鉴权认证申请进行鉴权时存储的 UE标识和 /或网络标识与是否可信接入的对应关系进行比较，如存储的信息表明为可信接入则判定当前接入为可信接入，相反的，如存储的信息为非可信接入则判定当前接入为非可信接入。

进一步的，如果没有存储当前接入是否可信接入的信息，则认为当前接入为可信接入。

当然，具体实施时也可以采用下面的方法：鉴权单元 92也可以在接收到鉴权认证请求后，直接根据请求中的 UE标识和 /或网络标识与所存储的是否可信接入对应关系信息进行比较，如没有存储当前接入是否可信接入的信息，则认为当前接入为可信接入，否则为非可信接入。

上述过程中的网络标识包括拜访地网络标识（该标识仅在漫游场景下需要），或接入类型，或接入网标识，或接入网络内使用的安全机制等信息。。

发送单元 93发送鉴权认证响应消息到 PGW，其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "可信"，表示当前为可信接入。

因此，本发明实施例的鉴权认证装置在 UE通过 S2c接口由非 3GPP接入接入 EPS网络时，扩展了鉴权认证的方法，判定当前接入是否为可信接入，并将可信接入结果发送给 PDN-GW, 从而使得 PDN-GW 能够在 UE从非 3GPP接入通过 S2c接口接入 EPS网络时，正确建立 S2c隧道数据安全通道。

图 10是才艮据本发明一个实施例的网关的框图。图 10的网关 100的非限制性例子是图 4-图 8所示的 PDN-GW, 包括发送单元 1001、接收单元 1002 和安全联盟 SA建立单元 1003。

发送单元 1001发送鉴权认证请求消息，接收单元 1002接收鉴权认证装置对鉴权认证请求的响应消息。安全联盟 SA建立单元 1003根据接收单元 1002接收的响应消息中指示的本次非 3GPP接入的可信关系，建立 S2c隧道的数据安全通道。

本发明实施例在非 3GPP接入通过 S2c接口接入到 EPS网络时，接收到鉴权认证装置的鉴权认证请求响应消息中包含有指示本次非 3GPP接入的可信关系的信息，安全联盟 SA建立单元 1003根据可信关系消息，确定 S2c 隧道安全联盟建立方式。如为可信接入，则在任意时间可发起与 UE间的子安全联盟 Child SA的建立过程，若接收到 UE发起的子安全联盟 Child SA 建立请求，则接受请求，建立子安全联盟 Child SA; 如为非可信接入，不再发起子安全联盟 Child SA建立过程，若接收到 UE发送的在安全联盟 Child SA建立请求，则拒绝，拒绝的方式可以为：在子安全联盟 Child SA建立请求的响应消息中的 Notify Payload 中指示 "NO_ADDITIONAL_SAS" ，或 "NO_Child_SAS"，或其它原因值，表示不再接收子安全联盟 Child SA的建立。从而正确建立 S2c隧道数据安全通道。

因此，本发明实施例的网关装置在 UE通过 S2c接口由非 3GPP接入接入 EPS网络时，通过接收的鉴权认证消息中包含当前接入可信关系的指示信息，从而根据获取的指示信息内容正确建立 S2c隧道数据安全联盟，使得在 UE从非 3GPP接入通过 S2c接口接入 EPS网络时，能够保障正确建立 S2c 隧道数据安全通道。根据本发明实施例的通信系统可包括上述鉴权认证装置 90 和 /或网关

100。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ROM， Read-Only Memory ), 随机存取存储器 ( RAM, Random Access Memory )、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1、一种建立数据安全通道的方法，其特征在于，包括，

发送鉴权认证请求消息到鉴权认证设备，

接收所述鉴权认证设备发送的鉴权认证响应消息，其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关系，

根据所述当前接入的可信关系，建立 S2c隧道安全联盟。

2、如权利要求 1所述的方法，其特征在于，所述可信关系为是否为可信接入或是否为非可信接入。

3、如权利要求 1所述的方法，其特征在于，所述可信关系信元取值为可信，指示当前接入为可信接入，贝' J

发起与 UE间的子安全联盟 Child SA建立过程；

或者，接收到 UE发起的子安全联盟 Child SA建立请求，则接受请求。

4、如权利要求 1所述的方法，其特征在于，所述可信关系信元取值为非可信，指示当前接入为非可信接入，则

不发起与 UE间的子安全联盟 Child SA建立过程；或者

接收到 UE发送的子安全联盟 Child SA建立请求，则拒绝请求。

5、如权利要求 4所述的方法，其特征在于，所述接收到 UE发送的子安全联盟 Child SA建立请求，拒绝的方式为在子安全联盟 Child SA建立请求的响应消息中指示不接受所述 UE发送的子安全联盟 Child SA建立请求。

6、如权利要求 1所述的方法，其特征在于，所述接收所述鉴权认证设备发送的鉴权认证响应消息之前，还包括：所述鉴权认证设备根据配置的策略确定所述当前接入的可信关系。

7、如权利要求 6所述的方法，其特征在于，所述配置的策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一种或者多种。

8、如权利要求 7所述的方法，其特征在于，所述网络标识与可信关系的对应关系包含所述网络标识与可信接入和非可信接入的对应关系；或者所述对应关系包含所述网络标识与可信接入的对应关系；或者所述对应关系包含所述网络标识与非可信接入的对应关系。

9、如权利要求 1所述的方法，其特征在于，所述接收所述鉴权认证设备发送的鉴权认证响应消息之前，还包括所述鉴权认证设备根据非 3GPP接入侧发起鉴权认证请求时所存储的可信关系信息确定所述当前接入的可信关系。

10、如权利要求 9所述的方法，其特征在于，所述存储的可信关系信息包括 UE标识与可信关系的对应关系，或者 UE标识和网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一种或者多种。

11、如权利要求 7或 10所述的方法，其特征在于，鉴权认证设备从所述鉴权认证请求消息中获得所述接入网标识；或者从所述鉴权认证请求消息中获得的接入类型构造所述接入网标识。

12、如权利要求 9所述的方法，其特征在于，所述鉴权认证设备接收到演进分组数据网关 ePDG发送的所述鉴权认证请求时，存储 UE标识与非可信关系的对应关系；或者存储 UE标识和网络标识与非可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一个或多个。

13、如权利要求 12所述的方法，其特征在于，所述鉴权认证设备存储所述与非可信接入对应关系前，判断没有已存储的当前接入的非可信接入对应关系，则保存所述与非可信接入的对应关系，否则不保存。

14、如权利要求 9所述的方法，其特征在于，所述鉴权认证设备接收到所述非 3GPP接入网络发送的所述鉴权认证请求时，存储 UE标识与当前接入可信关系的对应关系，或者存储 UE标识和网络标识与与当前接入可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型和拜访地网络标识中的一个或多个。

15、如权利要求 10所述的方法，其特征在于，所述鉴权认证设备判断当前接入为可信接入，不存储所述当前接入可信关系的对应关系。

16、如权利要求 15所述的方法，其特征在于，所述鉴权认证设备判断没有存储当前接入可信关系的对应关系，则判断当前接入为可信接入。

17、根据权利要求 1-16任一项所述的方法，其特征在于，所述鉴权认证设备为 AAA服务器或 AAA代理。

18、一种建立数据安全通道的方法，其特征在于，包括，

接收网关设备的鉴权认证请求消息，根据配置的策略或者非 3GPP接入侧发起鉴权认证请求时存储的可信关系确定当前接入的可信关系，

向网关设备发送鉴权认证响应消息，所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入的可信关系，以便网关设备根据该指示建立 S2c隧道数据安全通道。

19、如权利要求 18所述的方法，其特征在于，所述可信关系为是否为可信接入或是否为非可信接入。

20、如权利要求 18所述的方法，其特征在于，所述可信关系信元取值为可信或非可信，指示当前接入为可信接入或非可信接入。

21、如权利要求 18所述的方法，其特征在于，所述配置的策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一种或者多种。

22、如权利要求 21所述的方法，其特征在于，所述网络标识与可信关系的对应关系包含所述网络标识与可信接入和非可信接入的对应关系；或者所述对应关系包含所述网络标识与可信接入的对应关系；或者所述对应关系包含所述网络标识与非可信接入的对应关系。

23、如权利要求 18所述的方法，其特征在于，所述接收所述鉴权认证设备发送的鉴权认证响应消息之前，还包括所述鉴权认证设备根据非 3GPP 接入侧发起鉴权认证请求时存储的可信关系信息确定所述当前接入的可信关系。

24、如权利要求 23所述的方法，其特征在于，所述存储的可信关系信息包括 UE标识与可信关系的对应关系，或者 UE标识和网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一种或者多种。

25、如权利要求 21或 24所述的方法，其特征在于，鉴权认证设备从所述鉴权认证请求消息中获得所述接入网标识；或者从所述鉴权认证请求消息中获得的接入类型构造所述接入网标识。

26、如权利要求 23所述的方法，其特征在于，所述鉴权认证设备接收到演进分组数据网关 ePDG发送的所述鉴权认证请求时，存储 UE标识与非可信关系的对应关系；或者存储 UE标识和网络标识与非可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一个或多个。

27、如权利要求 26所述的方法，其特征在于，所述鉴权认证设备存储所述与非可信接入对应关系前，判断没有已存储的当前接入的非可信接入对应关系，则保存所述与非可信接入的对应关系，否则不保存。

28、如权利要求 23所述的方法，其特征在于，所述鉴权认证设备接收到所述非 3GPP接入网络发送的所述鉴权认证请求时，存储 UE标识与当前接入可信关系的对应关系，或者存储 UE标识和网络标识与当前接入可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型和拜访地网络标识中的一个或多个。

29、如权利要求 24所述的方法，其特征在于，所述鉴权认证设备判断当前接入为可信接入，不存储所述当前接入可信关系的对应关系。

30、如权利要求 29所述的方法，其特征在于，所述鉴权认证设备判断没有存储当前接入可信关系的对应关系，则判断当前接入为可信接入。

31、根据权利要求 18-30任一项所述的方法，其特征在于，所述鉴权认证设备为 AAA服务器或 AAA代理。

32、一种鉴权认证设备，其特征在于，包括：

接收单元，用于接收非 3GPP接入的鉴权认证请求；

鉴权单元，用于对所述接收单元接收的所述鉴权认证请求进行鉴权，根据配置的策略或者非 3GPP接入侧发起鉴权认证请求时存储的可信关系确定当前接入的可信关系，

发送单元，用于向 PDN-GW发送鉴权认证响应消息，所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入的可信关系。

33、如权利要求 32所述的鉴权认证设备，其特征在于，鉴权单元根据所述鉴权认证请求中的信息查询所述的策略确定所述当前接入的可信关系，所述策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的至少一种或者多种。

34、如权利要求 33所述的鉴权认证设备，其特征在于，所述网络标识与可信关系的对应关系包含所述网络标识与可信接入和非可信接入的对应关系；或者所述对应关系包含所述网络标识与可信接入的对应关系；或者所述对应关系包含所述网络标识与非可信接入的对应关系。

35、如权利要求 32所述的鉴权认证设备，其特征在于，所述鉴权单元根据所述鉴权认证请求的信息查询所述存储的可信关系信息确定所述当前接入的可信关系，所述存储的可信关系信息包括 UE标识与可信关系的对应关系，或者 UE标识和网络标识与可信关系的对应关系，其中，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型和拜访地网络标识中的一种或多种。

36、如权利要求 33或 35所述的鉴权认证设备，其特征在于，所述鉴权单元从所述鉴权认证请求消息中获得所述接入网标识；或者

从所述鉴权认证请求消息中获得的接入类型构造所述接入网标识。

37、如权利要求 32所述的鉴权认证设备，其特征在于，所述鉴权单元接收到演进分组数据网关 ePDG发送的所述鉴权认证请求时，存储 UE标识与非可信关系的对应关系；或者存储 UE标识和网络标识与非可信关系的对应关系，其中所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的至少一种。

38、如权利要求 37所述的鉴权认证设备，其特征在于，所述鉴权单元存储所述与非可信接入对应关系前，判断没有已存储的当前接入的非可信接入对应关系，则保存所述与非可信接入的对应关系，否则不保存。

39、如权利要求 32所述的鉴权认证设备，其特征在于，所述鉴权单元接收到所述非 3GPP接入网络发送的所述鉴权认证请求时，存储 UE标识与是否为可信接入的对应关系；或者存储 UE标识和网络标识中至少一个与是否为可信接入的对应关系，其中所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的至少一种。

40、如权利要求 39所述的鉴权认证设备，其特征在于，所述鉴权单元判断当前接入为可信接入，不存储所述当前接入可信关系的对应关系。

41、如权利要求 40所述的鉴权认证设备，其特征在于，所述鉴权单元判断没有存储的当前接入可信关系的对应关系，则判断当前接入为可信接入。

42、如权利要求 32所述的方法，其特征在于，所述可信关系为是否为可信接入或是否为非可信接入。

43、如权利要求 32所述的鉴权认证设备，其特征在于，所述可信接入信元取值为可信或非可信，指示当前接入为可信接入或非可信接入。

44、一种网关设备，其特征在于，包括：

发送单元，用于发送鉴权认证请求消息，

接收单元，用于接收鉴权认证设备的鉴权认证请求响应消息，所述鉴权认证请求响应消息中包括可信关系信元用来指示当前接入的可信关系；

安全联盟 SA建立单元，用于根据所述接收单元接收的所述认证请求响应消息中指示的当前接入的可信关系，建立 S2c隧道的数据安全通道。

45、如权利要求 44所述的网关设备，其特征在于，当所述接收单元接收的所述认证请求响应消息中指示当前接入为可信接入时，则所述安全联盟 SA建立单元发起与 UE间的子安全联盟 Child SA建立过程；或者，

接收到 UE发起的子安全联盟 Child SA建立请求时，则接受请求。

46、如权利要求 44所述的网关设备，其特征在于，当所述接收单元接收的认证请求响应消息中指示当前接入为非可信接入时，则安全联盟 SA建立单元不发起与 UE间的子安全联盟 Child SA建立过程；

或者，接收到 UE发送的子安全联盟 Child SA建立请求时，则拒绝请求。

47、如权利要求 46所述的网关设备，其特征在于，所述安全联盟 SA建立单元接收到所述 UE发送的子安全联盟 Child SA建立请求，拒绝的方式为在所述子安全联盟 Child SA建立请求的响应消息中指示不再接收子安全联盟 Child SA建立请求。