WO2013063783A1

WO2013063783A1 - 一种数据安全通道的处理方法及设备

Info

Publication number: WO2013063783A1
Application number: PCT/CN2011/081738
Authority: WO
Inventors: 李欢; 时书锋
Original assignee: 华为技术有限公司
Priority date: 2011-11-03
Filing date: 2011-11-03
Publication date: 2013-05-10
Also published as: US9800563B2; US20140245403A1; JP2015501605A; CN103201986B; EP2763357B1; EP2763357A4; EP2763357A1; CN103201986A; JP5922785B2

Abstract

本发明实施例提供一种隧道数据安全通道的处理方法和设备，其中方法包括：接收接入侧的鉴权认证请求，确定用户设备接入的可信关系；当已有该用户设备的S6b接口会话存在时，向分组数据网关发送包含所述用户设备接入可信关系信息的消息，以便所述分组数据网关根据所述可信关系信息建立或更新S2c隧道数据安全通道。本发明实施例在用户设备通过S2c接口接入EPS网络时，当接收到接入侧的鉴权认证请求时，如果已有接入的用户设备的S6b接口会话存在，则发送包含用户设备接入可信关系信息的消息给分组数据网关，从而使分组数据网关能够获得用户设备通过S2c接口接入EPS网络时的可信关系，保障正确的建立或更新S2c隧道数据安全通道。

Description

一种数据安全通道的处理方法及设备技术领域

本发明实施例涉及通信技术领域，并且更具体地，涉及数据安全通道的处理方法及设备。背景技术

随着移动宽带时代的到来，用户需要随时随地的使用宽带接入服务，这对移动通信网络提出了更高的要求，如更高的传输速率、更小的时延和更高的系统容量等。为了保持 3GPP网络的优势， 3GPP标准组织于 2004年底启动了 SAE ( System Architecture Evolution, 系统架构演进）计划的研究和标准化工作，定义了一个新的移动通信网络框架，称为演进的分组系统 EPS (Evolved Packet System, 演进的分组系统）。随着核心网融合统一的趋势， 3GPP在 EPS系统中的核心网 EPC (Evolved Packet Core, 演进的分组系统的核心部分）中也提供了非 3GPP接入网络接入的可能，如 WLAN、 Wimax等接入 EPC。

S2c接口采用 DSMIPv6 (Mobile IPv6 Support for Dual Stack Hosts, 双栈主机的移动 IPv6支持）协议，可用于可信非 3GPP接入网络、非可信非 3GPP接入网络、 3GPP接入网络接入 EPS网络。 UE (User Equipment, 用户设备 )从非 3GPP接入网络通过 S2c接口接入 EPC时， UE与 P匪- GW ( Packet Data Network Gateway, 分组数据网关，也可筒称为 PGW )之间将建立 SA ( Security Association, 安全联盟）保护 DSMIPv6信令。当 UE通过 S2c 接口接入 EPC的时候， PDN-GW通过与 AAA ( Authentication Authorization Account ing , 鉴权认证和计费 )服务器之间 S6b接口上传递鉴权和认证请求以及响应消息，从而使得 PDN-GW完成对 UE的鉴权和认证，从 AAA服务器中获得移动性参数、签约数据等信息，当然，在漫游场景下 P匪 -GW与 AAA服务器之间还要经过 AAA代理。

当 UE从 S2c接口由可信非 3GPP接入网络接入 EPC时， 3GPP定义了在 UE与 PDN-GW之间建立 DSMIPv6隧道之后， UE与 PDN-GW之间建立安全联盟 SA保护 DSMIPv6信令， P匪 -GW可以与 UE之间发起建立子安全联盟 Chi Id SA ( Chi ld Secur i ty As soc ia t ion , 子安全联盟）对数据面进行保护；但当 UE 从非可信非 3GPP接入网络接入 EPC的时候， UE与非 3GPP接入网关 ePDG

( evo lved PDG ,演进分组数据网关）之间会建立 IPSec安全通道，通过 IPSec 安全通道对 UE与 P匪 -GW之间的数据包进行安全保护。即，当 UE从非 3GPP 网络以可信方式接入 EPS的时候， S2c隧道上可以建立 Chi l d SA对数据面的完整性和机密性进行保护；从非 3GPP 网络以非可信方式接入的时候，将由 UE与 ePDG之间的 IPSec安全通道提供数据的完整性保护和机密性保护；而当 UE通过 S2c接口从 3GPP接入网络接入 EPC时， UE与 P匪 -GW之间将通过 3GPP 自身的鉴权加密机制提供数据安全保护。所以， UE通过 S2c接口接入 EPC的时候， P匪 _GW需要区分接入场景是可信非 3GPP接入网络接入、非可信非 3GPP接入网络接入或 3GPP接入网络接入，完成不同的数据安全通道的建立或更新过程。

在 UE从 3GPP接入网络接入 EPC的时候，可以先建立 UE与 P匪 _GW之间的安全联盟 SA,这是为了之后切换到非 3GPP接入网络接入时，节约 SA建立的时间。而 UE从非 3GPP接入网络切换到 3GPP接入网络的时候， UE与 P匪 -GW 之间的安全联盟 SA也可以不立即释放，而是保留一段时间至 SA超时自动释放。在这样的情况下， UE在可信非 3GPP接入网络、非可信非 3GPP接入网络以及 3GPP接入网络之间切换并通过 S2c接口接入 EPC时， SA可能已经存在，但之前建立 SA时 P匪 -GW获得的当时的接入网络的可信关系，即当时的接入网络是可信或非可信非 3GPP接入还是 3GPP接入的信息并不一定与现在的接入网络的可信关系一致，因此，需要根据切换后的接入场景建立或更新数据安全通道。

如上所述，UE在可信非 3GPP接入网络、 3GPP接入网络以及非可信非 3GPP 接入网络之间切换通过 S2c接口接入 EPC的时候， P匪 -GW需要区分接入场景，以完成不同方式的数据安全通道的建立或更新。但 PDN-GW并不能够判断当前 UE接入方式，也就无法正确的建立或更新数据安全通道。发明内容

本发明实施例提供了一种隧道数据安全通道的处理方法和设备，能够保障正确的建立或更新 S2c隧道数据安全通道。

一方面，提供了一种隧道数据安全通道的处理方法，包括：接收接入侧的鉴权认证请求，确定用户设备接入的可信关系；当该用户设备的 S6b接口会话存在时，向分组数据网关发送包含可信关系信息的消息，以便分组数据网关根据该可信关系信息建立或更新 S2 c隧道数据安全通道。

另一方面，提供了一种隧道数据安全通道的处理方法，包括：接收用户设备的分组数据网连接建立请求，当所述用户设备的 S6b接口会话存在或者与所述用户设备之间已有安全联盟时，发送认证请求消息到鉴权认证设备，接收所述鉴权认证设备发送的认证响应消息，所述认证响应消息中包括所述用户设备接入的可信关系信息，根据所述可信关系信息，建立或更新 S2c隧道数据安全通道。

另一方面，提供了一种鉴权认证设备，包括：接收单元，用于接收接入侧的鉴权认证请求；鉴权单元，用于对所述鉴权认证请求进行鉴权，确定用户设备接入的可信关系，当所述用户设备的 S6b会话存在时，通知发送单元向分组数据网关发送包含所述可信关系信息的消息；发送单元，用于向所述分组数据网关发送消息，所述消息中包含所述可信关系信息。

另一方面，提供了一种网关设备，包括：接收单元，用于接收用户设备的分组数据网连接建立请求，以及用于接收鉴权认证设备发送的认证响应消息，所述认证响应消息中包括该用户设备接入的可信关系信息；确认单元，用于当所述接收单元接收到所述分组数据网连接建立请求时，确认若存在所述用户设备的 S6b会话或者与所述用户设备之间已有安全联盟，则通知发送单元向鉴权认证设备发送认证请求消息；发送单元，用于向所述鉴权认证设备发送所述认证请求消息；建立单元，用于根据所述可信关系信息，建立或更新 S2c隧道数据安全通道。

本发明实施例在 UE从 S 2 c接口接入 EPC时，由鉴权认证设备发送包含用户设备接入的可信关系信息的消息，或在认证响应消息中包含用户设备接入的可信关系信息，网关设备根据消息中包含的可信关系信息，建立或更新数据安全通道，保障建立正确的数据安全通道。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是 3GPP规定的非漫游场景下采用 S 2c接口接入 EPS网络的系统架构图。

图 2是根据本发明一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS 网络的数据安全通道的处理方法。

图 3是本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS 网络的数据安全通道的处理方法的过程的示意流程图。

图 4是本发明一个实施例的非可信非 3GPP接入网络采用 S2 c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 5是本发明一个实施例的非可信非 3GPP接入网络采用 S2 c接口接入

EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 6是根据本发明另一个实施例的采用 S2c接口接入 EPS网络的数据安全通道的处理方法。

图 7是本发明另一个实施例的可信非 3GPP接入网络采用 S2 c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 8是本发明另一个实施例的非可信非 3GPP接入网络采用 S2 c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 9是本发明另一个实施例的 3GPP接入网络采用 S 2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 1 0是本发明又一个实施例的 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 1 1是本发明又一个实施例的 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

图 12是根据本发明一个实施例的鉴权认证设备的框图。

图 1 3是根据本发明另一个实施例的网关设备的框图。

图 14是根据本发明又一个实施例的网关设备的框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1是 3GPP规定的采用 S2c接口接入 EPS网络的系统架构图。本发明实施例可应用于图 1所示的 EPS网络架构。

如图 1所示， S2c接口可以用于非 3GPP接入网络、 3GPP网络接入 EPS 网络。对于可信非 3GPP接入网络， UE将直接通过非 3GPP接入网络连接到 P匪 -GW; 而对于非可信非 3GPP接入网络， UE则需要通过归属网络可信任的演进分组数据网关 ePDG , 再连接到 P匪 -GW网元上。对于 3GPP接入网络， UE 则通过 S_GW ( Serv ing Ga t eway , 服务网关）连接到 P匪 _GW网元上。

当 UE从 S2c接口通过 P匪 _GW接入 EPC时，如果是由可信非 3GPP接入网络接入 EPC的， P匪 -GW需要发起建立子安全联盟 ch i l d SA对数据面进行保护；如果 UE是从非可信非 3GPP接入网络接入 EPC的， P匪 _GW通过 UE与 ePDG之间的 IPSec通道建立 DSMIPv6安全通道对数据进行完整性保护和机密性保护；如果是由 3GPP接入网络接入 EPC的， UE与 P匪 -GW之间将通过 3GPP 自身的鉴权加密机制提供数据安全保护。

由上述描述可以看到， P匪 -GW需要知道当前 UE是从可信非 3GPP接入网络、非可信非 3GPP接入网络还是 3GPP接入网络接入的，这是正确的建立或更新 S2c隧道数据安全通道的前提。尤其是 UE在可信非 3GPP接入网络、 3GPP 接入网络以及非可信非 3GPP接入网络之间切换后通过 S2c接口接入 EPC的时候， P匪 -GW需要区分接入场景，以完成正确的数据安全通道的建立或更新。

本发明实施例在图 1所述的网络架构上，在 UE从 S2c接口接入 EPC时，由鉴权认证设备确定 UE接入的可信关系，给 P匪 -GW发送包含 UE接入可信关系指示的消息，或在发给 PDN-GW的认证响应消息中包含 UE接入可信关系的指示， P匪 -GW根据消息中指示的 UE接入的可信关系，建立或更新数据安全通道，保证建立正确的数据安全通道。发明实施例中的鉴权认证设备均以 AAA服务器来举例说明，具体实施时也可能是 HSS ( Home Sub s cr i ber Se rver , 归属用户服务器）等其他设备作为实施例中的鉴权认证设备。

图 2是本发明一个实施例的采用 S2c接口接入 EPS网络的数据安全通道的处理方法。由鉴权认证设备确定用户设备接入的可信关系，发送包含用户设备接入可信关系指示的消息给 P匪 -GW, P匪 -GW根据消息中指示的用户接入的可信关系，建立或更新数据安全通道，保证建立正确的数据安全通道。 201 , 接收接入侧的鉴权认证请求。

UE从 S2c接口接入 EPC网络时， AAA服务器会接收到接入侧的鉴权认证请求，申请对接入的 UE进行鉴权认证。因为 UE接入 EPC的方式不同，当 UE 从可信非 3GPP接入网络接入时，此处的接入侧指可信非 3GPP接入网络，当 UE从非可信非 3GPP接入网络接入时，此处的接入侧是指非可信非 3GPP接入网络或 ePDG。

202 , 确定用户设备接入的可信关系。

AAA服务器根据接入侧鉴权认证请求中携带的参数判断用户设备接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID , 拜访地网络标识 Vi s i ted Ne twork Ident i ty (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。

203 , 当该用户设备的 S6b接口会话存在时，向分组数据网关发送包含可信关系信息的消息，以便分组数据网关根据该可信关系信息建立或更新 S2c隧道数据安全通道。

AAA服务器判断是否已经存在该 UE的 S6b接口会话，即是否已有该 UE 的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s i on ID和用户设备标识。若已存在 S6b接口会话，则说明 P匪 _GW已经向 AAA服务器申请过针对该 UE的鉴权认证，本次 UE接入应该是切换场景。此时， AAA服务器发送消息给 P匪- GW, 其中包含指示该 UE接入可信关系的信息，即该 UE 接入是可信非 3GPP接入还是非可信非 3GPP接入。 P匪 -GW根据接收到的 UE 接入的可信关系，建立或更新 S2c隧道数据安全通道。

本发明实施例在收到接入侧的鉴权认证请求时，如果已有 UE的 S6b接口会话存在，则发送包含 UE接入可信关系信息的消息给 P匪- GW, 使 P匪 -GW 可以正确建立或更新 S2c隧道数据安全通道。

下面结合具体例子，更加详细地描述本发明的实施例。图 3是根据本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的示意流程图。

301 , UE发送 EAP-RSP鉴权请求消息到可信非 3GPP接入网络。

302 , 可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器，鉴权认证请求中包括接入网标识 ANID ,接入类型，还可能包括接入网络内使用的安全机制等参数。在漫游场景下，此鉴权认证请求要通过 AAA服务器代理从接入网络转发给 AAA服务器，而且鉴权认证请求中还包括拜访地网络标识，即 Vi s i ted Network Ident i ty。

AAA服务器根据接收到的请求中的参数判断 UE接入为可信接入还是非可信接入，此处确定为可信接入，即 UE由可信非 3GPP接入网络接入。参数包括以下的一种或几种：接入网标识 ANID,拜访地网络标识 Vi s i ted Network Ident i ty (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。

303 , AAA服务器发送鉴权认证响应消息给可信非 3GPP接入网络，其中包括上述可信接入结果。

304 ,可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE,其中包括可信接入结果。

305 , AAA服务器判断是否已经存在该 UE的 S6b接口会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID 和用户设备标识。若已有 S6b接口会话，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证请求，本次接入应该是切换场景。 AAA服务器发送可信关系给 P匪- GW, 即 AAA服务器发送可信关系消息到 P匪- GW, 其中包括可信关系信元，取值为 "可信" 或 "非可信"，此时指示为 "可信"，表示当前为可信接入。

306 , P匪 -GW接收到可信关系消息指示为可信接入后，在任意时间可发起与 UE间的 Chi ld SA建立过程。若接收到 UE发起的 Chi ld SA建立请求，则接受请求，建立 Chi ld SA。

在实际实现过程中， AAA服务器接收到可信非 3GPP接入网络发送的鉴权认证请求，判断本次用户设备接入为可信接入，如果已经存在该 UE 的 S6b 接口会话，即可向 P匪 -GW发送可信关系消息。也就是说，步骤 305在步骤 302之后执行就可以，与步骤 303、 304并没有严格的先后执行顺序。同样的， P匪 -GW接收到可信关系消息指示为可信接入后，可以在任意时间发起与 UE 间的 Chi ld SA建立过程，即步骤 306可在步骤 305之后任意时间执行，与 303、 304也没有严格的先后执行顺序。而步骤 301至 304则按照示意流程图中的先后顺序执行。

本发明实施例在收到可信非 3GPP接入网络的鉴权认证请求时，确定用户设备接入的可信关系为可信接入，当已有该 UE的 S6b接口会话存在时，发送包含 UE接入可信关系信息的消息给 P匪 -GW,使 PDN-GW可以区分接入场景，完成正确的数据安全通道的建立或更新。

图 4是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。

401 , UE发送 EAP-RSP鉴权请求消息到非可信非 3GPP接入网络。

402 , 非可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器，鉴权认证请求中包括接入网标识 AN ID、接入类型，还可能包括接入网络内使用的安全机制参数等。在漫游场景下，接入网络提交的鉴权认证请求需要通过 AAA 服务器代理转发给 AAA 服务器，且上述请求中包括拜访地网络标识，即 Vi s i ted Network Ident i ty。

AAA服务器根据鉴权认证请求中的参数判断本次用户设备接入为可信接入还是非可信接入，确定为非可信接入，即 UE由非可信非 3GPP接入网络接入。参数包括以下的一种或几种：接入网标识 ANID,拜访地网络标识 Vi s i ted Network Ident i ty (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。

403 , AAA服务器发送鉴权认证响应消息给非可信非 3GPP接入网络，其中包括上述非可信接入结果。

404 ,非可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE ,其中包括上述非可信接入结果。

405 , AAA服务器判断是否已经存在该 UE的 S6b接口会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID 和用户设备标识。若已有 S6b接口会话，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证请求，本次接入应该是切换场景。 AAA服务器发送可信关系消息到 P匪 -GW, 其中包括可信关系信元，取值为 "可信"或 "非可信"，此时指示为 "非可信"，表示当前为非可信接入。

P匪 -GW接收到指示 UE接入为非可信接入的消息后，不再发起 Chi ld SA 建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Ch i 1 d SA建立请求的响应消息中的 No t i f y Pay 1 oad中的原因值指示 "N0-ADDITI0NAL-SAS" ，或 "NO.Chi ld.SAS" ，或其它原因值, 表示不再接收 Ch i 1 d S A的建立。如果 P匪 -GW与 UE之间已经有 Ch i 1 d S A存在，则 Ρ匪 -GW 发起删除 Ch i 1 d S A的过程。在实际实现过程中， AAA服务器接收到非可信非 3GPP接入网络发送的鉴权认证请求，判断本次 UE接入为非可信接入，如果已经存在该 UE的 S6b接口会话，即可向 PDN-GW发送可信关系消息。也就是说，步骤 405在步骤 402 之后执行就可以，与步骤 403、 404并没有严格的先后执行顺序。而步骤 401 至 404则按照示意流程图中的先后顺序执行。

本发明实施例在收到非可信非 3GPP接入网络的鉴权认证请求时，确定 UE接入的可信关系为非可信接入，当已有该 UE相关的 S6b接口会话存在时，发送包含 UE接入可信关系信息的消息给 P匪 -GW,使 PDN-GW可以区分接入场景，完成数据安全通道的建立或更新。

图 5是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理的过程的示意流程图。

501, UE发送 IKE鉴权请求到演进分组数据网关 ePDG, 请求建立 UE与 ePDG之间的 IPSec隧道。

502, ePDG发送鉴权认证请求到 AAA服务器，鉴权认证请求中包括接入网标识 ANID,接入类型，还可能包括接入网络内使用的安全机制参数等。漫游场景下此鉴权认证请求通过 AAA服务器代理转发，且上述请求中包括拜访地网络标识，即 Visited Network Identity。

AAA服务器根据鉴权请求中的参数判断 UE接入为可信接入还是非可信接入，确定为非可信接入，即 UE由非可信非 3GPP接入网络接入。参数包括以下的一种或几种：接入网标识 ANID, 拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。

503, AAA服务器发送鉴权认证响应消息给 ePDG。

504, ePDG发送 IKE鉴权响应消息给 UE。

505, AAA服务器判断是否已经存在该 UE的 S6b接口会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Session ID 和用户设备标识。若已有 S6b接口会话，则说明原来 PDN-GW已经向 AAA服务器申请过针对该 UE的鉴权认证请求，本次接入应该是切换场景。 AAA服务器发送可信关系消息到 P匪 -GW, 其中包括可信关系信元，取值为 "可信"或 "非可信"，此时指示为 "非可信"，表示当前为非可信接入。

P匪 -GW接收到指示 UE接入为非可信接入的消息后，不再发起 Child SA 建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Ch i 1 d SA建立请求的响应消息中的 No t i f y Pay 1 oad中的原因值指示 "N0-ADDITI0NAL-SAS" ，或 "NO.Chi ld.SAS" ，或其它原因值, 表示不再接收 Ch i 1 d S A的建立。如果 P匪 -GW与 UE之间已经有 Ch i 1 d S A存在，则 Ρ匪 -GW 发起删除 Chi Id SA的过程。

在实际实现过程中， AAA服务器接收到演进分组数据网关 ePDG发送的鉴权认证请求，判断 UE接入为非可信接入，如果已经存在该 UE的 S6b接口会话，即可向 PDN-GW发送可信关系消息。也就是说，步骤 505在步骤 502之后执行就可以，与步骤 503、 504 并没有严格的先后执行顺序。而步骤 501 至 504则按照示意流程图中的先后顺序执行。

本发明实施例在收到演进分组数据网关 ePDG的鉴权认证请求时，确定 UE接入的可信关系为非可信接入，当已有该 UE的 S6b接口会话存在时，发送包含 UE接入可信关系信息的消息给 PDN-GW ,使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 6是根据本发明另一个实施例的采用 S2c接口接入 EPS网络的数据安全通道的处理方法。 P匪 -GW接收分组数据网连接建立请求，发送认证请求给鉴权认证设备，根据鉴权认证设备的响应消息中指示的当前接入的可信关系，建立或更新 S2c隧道数据安全通道。

601 , 接收用户设备的分组数据网连接建立请求。

当 UE从非 3GPP接入网络由 S2c接口接入 EPC时，所接收的分组数据网连接建立请求是 UE发送的绑定更新 Binding Update消息；当 UE从 3GPP接入网络由 S2c接口接入 EPC 时，所接收的分组数据网连接建立请求是 MME ( Mobi l i ty Management Ent i ty, 移动性管理网元）发送的会话建立消息，该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。

602 , 当该用户设备的 S6b接口会话存在或者与该用户设备之间已有安全联盟时，发送认证请求消息到鉴权认证设备。

P匪 -GW判断是否已经存在接入 UE的 S6b会话，即是否已有该 UE的 S6b 接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID和用户设备标识。或者 PDN-GW判断是否与该 UE之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SPI和 UE标识。如果已有该 UE的 S6b接口会话存在，或者与该 UE之间已有安全联盟建立时，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证，此时， PDN-GW发送认证请求给 AAA服务器。

603 , 接收鉴权认证设备发送的认证响应消息，认证响应消息中包括该用户设备接入的可信关系信息，根据可信关系信息建立或更新 S2c隧道数据安全通道。

接收 AAA服务器返回的认证响应消息，其中包含指示用户设备接入可信关系的信息，即用户设备接入是可信非 3GPP接入、非可信非 3GPP接入还是 3GPP接入。 P匪 -GW根据接收到的用户设备接入的可信关系，建立或更新 S2 c 隧道数据安全通道。

本发明实施例在收到用户设备的分组数据网连接建立请求时，如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，则发送认证请求消息给鉴权认证设备，并根据鉴权认证设备的响应消息中所指示的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。

下面结合具体例子，更加详细地描述本发明的另一个实施例。图 7是根据本发明另一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的示意流程图。

701 , UE发送绑定更新请求 B ind ing Upda t e消息到 PDN-GW,使得 PDN-GW 将 UE的本地地址和家乡地址绑定，建立 UE与 P匪 -GW之间的数据连接。

702 , PDN-GW接收到绑定更新请求消息后， P匪 -GW判断是否已经存在该

UE的 S6b会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Se s s i on ID和用户设备标识。或者 P匪 -GW判断是否与该 UE 之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SP I和 UE标识。如果已有该 UE的 S6b接口会话存在，或者与该 UE之间已有安全联盟建立时，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证，此时，则 P匪 -GW发送认证请求给 AAA服务器。认证请求消息中包括 UE标识，还包括网络标识。网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。

703 , AAA服务器根据配置的策略判定用户设备接入是否为可信接入，并发送认证响应消息到 P匪- GW, 消息中包括可信关系信元，取值为 "可信"或 "非可信"或" 3GPP" ,指示用户设备接入为可信非 3GPP接入或非可信非 3GPP 接入或 3GPP接入，此处取值为 "可信"，指示为可信非 3GPP接入。

AAA服务器判定用户设备接入是否为可信接入的方法可以为：在策略中包括网络标识与可信关系的对应关系， AAA服务器根据认证请求消息中的网络标识，查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断，而认证请求消息中不包括接入网标识，但包含接入类型时， AAA服务器也可以根据接入类型构造接入网标识。具体方法为：接入类型一般是整数类型的表示方法，如 0表示 WLAN, 2001表示 HRPD 等。因此， AAA服务器根据接入类型，查表得知接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网标识的前缀，接入网前缀即为 "WLAN" , "HRPD"这样的字符串，接入网标识除前缀之外的附加字符串可以没有，或者由 AAA服务器自己决定生成规则。

判定方法可以采用如下方式实现：策略中包含可信关系与网络标识对应的记录，查询配置的策略数据表，如与网络标识对应的可信关系为可信接入则判定本次 UE接入为可信接入，可信关系为非可信接入则判定本次 UE接入为非可信接入。

704 , P匪 _GW发送绑定更新确认消息给 UE。

705 , P匪 -GW接收到 AAA服务器指示用户设备接入为可信接入的认证响应信息后，在任意时间可发起与 UE间的 Chi ld SA建立过程。若接收到 UE 发起的 Chi ld SA建立请求，则接受请求，建立 Chi ld SA。

本发明实施例在 UE通过 S2c接口从可信非 3GPP接入网络接入 EPC网络时， PDN-GW收到 UE的绑定更新请求 Bind ing Upda te消息时，如果已有该

UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，则发送认证请求消息给鉴权认证设备，并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系，此处为可信接入，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 8是根据本发明另一个实施例的非可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的示意流程图。图 8的方法与图

7的方法相对应，因此适当省略部分详细描述。

801 , UE发送绑定更新请求 Bind ing Upda te消息到 P匪 _GW,使得 PDN-GW 将 UE的本地地址和家乡地址绑定，建立 UE与 P匪 -GW之间的数据连接。 802 , P匪 -GW接收到绑定更新请求消息后， P匪 -GW判断是否已经存在该 UE的 S6b会话或者与该 UE之间已有安全联盟建立。如果已有该 UE的 S6b 接口会话存在或者与该 UE之间已有安全联盟建立时，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证，此时， P匪 -GW发送认证请求消息到 AAA服务器。认证请求消息中包括 UE标识，还包括网络标识。网络标识包括如下信息的一种或几种：接入网标识、接入网络内使用的安全机制、接入类型，如果是漫游场景，还包括拜访地网络标识。

803 , AAA服务器根据配置的策略判定该用户设备接入是否为可信接入，并发送认证响应消息到 P匪- GW, 消息中包括可信关系信元，取值为 "可信" 或 "非可信"或 "3GPP" , 指示当前接入为可信非 3GPP接入或非可信非 3GPP 接入或 3GPP接入，此处取值为 "非可信"，指示为非可信非 3GPP接入。 P匪 -GW 接收到指示用户设备接入为非可信接入的消息后，不再发起 Chi ld SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Chi ld SA 建立请求的响应消息中的 Not ify Payload 中的原因值指示 "N0-ADDITI0NAL-SAS" ，或 "NO.Chi ld.SAS" ，或其它原因值, 表示不再接收 Chi ld SA的建立。如果 PDN-GW与 UE之间已经有 Chi ld SA存在，则 P匪 -GW 发起删除 Ch i 1 d S A的过程。

804 , Ρ匪 -GW发送绑定更新确认消息给 UE。

本发明实施例在 UE通过 S2c接口从非可信非 3GPP接入网络接入 EPC网络时， P匪 -GW收到 UE的绑定更新请求 B i nd i ng Upda t e消息时，如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，则发送认证请求消息给鉴权认证设备，并根据鉴权认证设备的认证响应消息中指示的用户设备接入的可信关系，此处为非可信接入，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 9是根据本发明另一个实施例的 3GPP接入网络采用 S2c接口接入 EPS 网络的数据安全通道的处理的方法的示意流程图。

901 , UE发送 P匪（Packet Data Network ,分组数据网）连接请求给 MME。

902 , MME发送会话建立请求给 P匪- GW, 为该 UE建立 P匪连接。会话建立请求中包括 UE标识， P匪类型，无线接入类型等。其中 P匪类型指示本 PDN连接为 UE分配的 IP地址的类型，如 IPv4、 IPv6、或 IPv4v6。无线接入类型指示此时为 3GPP接入，如 E-UTRAN、 UTRAN等。如果是切换场景，则在请求消息中还包括切换指示。

903 , P匪 -GW接收到会话建立请求消息后，判断是否已经存在该 UE 的 S6b会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID和用户设备标识。或者判断是否与该 UE之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SPI和 UE标识。如果已有该 UE的 S6b接口会话存在，或者与该 UE之间已有安全联盟建立时，则说明原来 P匪 -GW已经向 AAA服务器申请过针对该 UE的鉴权认证，此时， P匪 -GW发送认证请求给 AAA服务器。认证请求消息中包括 UE标识，还包括网络标识，网络标识包括如下信息的一种或几种：接入网标识、无线接入类型。

904 , AAA服务器根据配置的策略判定用户设备接入是否为可信接入，并发送认证响应消息到 P匪- GW, 消息中包括可信关系信元，取值为 "可信"或

"非可信"或" 3GPP" ,指示用户设备接入为可信非 3GPP接入或非可信非 3GPP 接入或 3GPP接入，此处取值为 " 3GPP" , 指示为 3GPP接入。 P匪 -GW接收到指示当前接入为 3GPP接入的消息后，不再发起 Chi ld SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Chi ld SA 建立请求的响应消息中的 Not ify Payload 中的原因值指示 "N0-ADDITI0NAL-SAS" ，或 "NO.Chi ld.SAS" ，或其它原因值, 表示不再接收 Chi ld SA的建立。如果 PDN-GW与 UE之间已经有 Chi ld SA存在，则 P匪 -GW 发起删除 Chi ld SA的过程。

AAA服务器判定用户设备接入是否为可信接入的方法可以为：在策略中包括网络标识与可信关系的对应关系， AAA服务器根据认证请求消息中的网络标识，查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断，而认证请求消息中不包括接入网标识，但包含无线接入类型时， AAA服务器也可以根据无线接入类型构造接入网标识。具体方法为：无线接入类型一般是整数类型的表示方法，如 3表示 WLAN, 6 表示 E-UTRAN等。因此， AAA服务器根据无线接入类型，查表得知无线接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网标识的前缀。接入网标识前缀即为 "WLAN" , "E-UTRAN" 这样的字符串，接入网标识除前缀之外的附加字符串可以没有，或者由 AAA服务器自己决定生成规则。

判定方法可以采用如下方式实现：策略中包含可信关系与网络标识对应的记录，查询配置的策略数据表，如与网络标识对应的可信关系为可信接入则判定用户设备接入为可信接入，可信关系为非可信接入则判定用户设备接入为非可信接入，可信关系为 3GPP接入则判定为 3GPP接入。

905 , P匪 -GW发送会话建立确认消息给 MME。

906 , 匪 E给 UE发送 P匪连接请求的响应消息。

本发明实施例在 UE通过 S2c接口由 3GPP接入网络接入 EPC网络时，匪 E 根据 UE的 P匪连接请求发送会话建立请求消息给 P匪 -GW, 如果已有该 UE 的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，则 P匪 -GW发送认证请求消息给鉴权认证设备，并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系，此处为 3GPP接入，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 10是本发明又一个实施例的 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。 P匪 -GW接收分组数据网连接建立请求，根据建立请求消息中的信息判断用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。

1001 , UE发送 P匪连接请求给匪 E。

1002 , MME发送会话建立请求给 P匪- GW, 为此 UE建立 PDN连接。会话建立请求中包括 UE标识， P匪类型，无线接入类型等信息。无线接入类型指示此时为 3GPP接入，如 E-UTRAN、 UTRAN等。 P匪类型指示本 PDN连接为 UE 分配的 IP地址的类型，如 IPv4、 IPv6、或 IPv4v6。如果是切换场景，则在请求消息中还包括切换指示。

P匪 -GW判断是否已经存在该 UE的 S6b会话，即是否已有该 UE的 S6b 接口的会话上下文存在，会话上下文包括会话标识 Se s s ion ID和用户设备标识。或者 PDN-GW判断是否与该 UE之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SPI和 UE标识。如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，则说明原来 P匪- GW已经向 AAA服务器申请过针对该 UE的鉴权认证，此时， P匪 -GW 根据会话建立请求中的无线接入类型信息判定用户设备接入的可信关系，确定此时为 3GPP接入。？匪_0¥不再发起（¾1 ^ SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Ch i ld SA建立请求的响应消息中的 No t i fy Payl oad中的原因值指示 "N0-ADDITI0NAL-SAS" , 或 "N0_Ch i ld_SAS" ，或其它原因值，表示不再接收 Chi Id SA的建立。如果 PDN-GW与 UE之间已经有 Chi Id SA存在， J^J PDN-GW发起删除 Chi Id SA的过程。

1003 , P匪 -GW发送会话建立确认消息给 MME。

1004 , 匪 E给 UE发送 P匪连接请求的响应消息。

本发明实施例在 UE通过 S2c接口由 3GPP接入网络接入 EPC网络时，匪 E 根据 UE的 P匪连接请求发送会话建立请求消息给 P匪 -GW, P匪 -GW判断若已经存在该 UE的 S6b接口会话或者与该 UE之间已有安全联盟建立，则根据会话建立请求消息中的信息确定用户设备接入的可信关系，此处为 3GPP接入，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 11是本发明又一个实施例的 3GPP接入网络采用 S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。 P匪 -GW接收到 UE的安全联盟建立请求，发送鉴权认证请求消息给鉴权认证设备，并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。

1101 , UE发送 P匪连接请求给匪 E。

1102 , MME发送会话建立请求给 P匪 _GW, 为此 UE建立 PDN连接。会话建立请求中包括 UE标识， P匪类型，无线接入类型等。其中 P匪类型指示本 PDN连接为 UE分配的 IP地址的类型，如 IPv4、 IPv6、或 IPv4v6。无线接入类型指示此时为 3GPP接入，如 E-UTRAN、 UTRAN等。如果是切换场景，则在请求消息中还包括切换指示。

1103 , P匪 _GW发送会话建立确认消息给 MME。

1104 , MME给 UE发送 P匪连接请求的响应消息。

1105 , UE发送安全联盟建立请求给 PDN-GW在 UE和 PDN-GW之间建立

DSMIPv6的的 SA, 此安全联盟建立请求具体可以为 IKE鉴权请求等安全联盟建立请求消息，其中包括 APN ( Acces s Po int Name , 接入点名称）信息。

1106 , P匪 _GW发送鉴权认证请求消息到 AAA服务器，注册 APN和 P匪 _GW 信息，上述请求消息中包括 UE标识。还可以包括网络标识，网络标识包括如下信息的一种或几种：接入网标识、无线接入类型。

1107 , AAA服务器根据配置的策略判定用户设备接入的可信关系，发送鉴权认证响应消息到 P匪 -GW,其中包括可信关系信元，取值为 "可信 "或"非可信" 或 " 3GPP" 或 "UNKNOWN" , 此时指示为 " 3GPP" 或 "UNKNOWN" , 取值为 " 3GPP" 表示当前为 3GPP接入，取值为 "UNKNOWN" 表示 AAA服务器无法给出该用户设备接入的可信关系。当 P匪 -GW收到指示可信关系为 "UNKNOWN" 的消息后，根据步骤 1102 中收到的会话建立请求中的无线接入类型信息判定用户设备接入的可信关系，此时为 3GPP接入。

PDN-GW接收到 AAA发送的指示用户设备接入为 3GPP接入的消息，或接收到指示用户设备接入的可信关系为 "UNKNOWN" 的消息后自行判定该用户设备接入为 3GPP接入，则不再发起 Chi ld SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Chi l d SA建立请求的响应消息中的 Not i fy Payl oad 中的原因值指示 "N0-ADDITI0NAL-SAS" , 或 "N0_Ch i ld_SAS" ，或其它原因值，表示不再接收 Chi Id SA的建立。如果 PDN-GW与 UE之间已经有 Chi Id SA存在， J^J PDN-GW发起删除 Chi Id SA的过程。

AAA服务器判定用户设备接入是否为可信接入的方法可以为：在策略中包括网络标识与可信关系的对应关系， AAA服务器根据认证请求消息中的网络标识，查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断，而认证请求消息中不包括接入网标识，但包含无线接入类型时， AAA服务器也可以根据无线接入类型构造接入网标识。具体方法为：无线接入类型一般是整数类型的表示方法，如 3表示 WLAN , 6 表示 E-UTRAN等。因此， AAA服务器根据无线接入类型，查表得知无线接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网标识的前缀。接入网标识前缀即为 "WLAN" , "E-UTRAN" 这样的字符串，接入网标识除前缀之外的附加字符串可以没有，或者由 AAA服务器自己决定生成规则。

判定方法可以采用如下方式实现：策略中包含可信关系与网络标识对应的记录，查询配置的策略数据表，如与网络标识对应的可信关系为可信接入则判定用户设备接入为可信接入，可信关系为非可信接入则判定用户设备接入为非可信接入，可信关系为 3GPP接入则判定为 3GPP接入，如果查找不到相应记录则返回 "UNKNOWN" , 表明无法判断用户设备接入的可信关系。

1108 , P匪 -GW发送安全联盟建立响应消息到 UE ,其中包括 P匪 -GW给 UE 分配的 IP地址。本发明实施例在 UE通过 S2c接口由 3GPP接入网络接入 EPC网络时， P匪 -GW接收到 UE的安全联盟建立请求，则发送鉴权认证请求消息给鉴权认证设备，并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系，此处指示为 3GPP接入或无法确定，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

图 12是根据本发明一个实施例的鉴权认证设备的框图。图 12的鉴权认证设备 120的非限制性例子是图 3-图 5、图 7-图 9中所示的归属用户服务器 /鉴权认证和计费服务器设备，包括接收单元 1201、鉴权单元 1202和发送单元 1203。

接收单元 1201用于接收接入侧的鉴权认证请求。鉴权单元 1202用于对所接收的鉴权认证请求进行鉴权，确定用户设备接入的可信关系。当已经存在该 UE的 S6b会话时，通知发送单元向 P匪 -GW发送包含可信关系指示信息的消息。发送单元 1203 ,用于向 P匪 -GW发送包含可信关系指示信息的消息。

本发明实施例在收到接入侧的鉴权认证请求时，确认本次用户设备接入的可信关系，如果已有该 UE的 S6b接口会话存在则发送包含用户设备接入可信关系信息的消息给 P匪 -GW, 使 P匪 -GW可以正确建立和更新 S2c隧道数据安全通道。

接收单元 1201接收接入侧发送的鉴权认证请求。 UE从 S 2 c接口接入 EPC 网络时，接收单元会接收到接入侧的鉴权认证请求，申请对本次接入进行鉴权认证。因为接入的方式不同，当 UE从可信非 3GPP接入网络接入时，此处的接入侧指可信非 3GPP接入网络，当 UE从非可信非 3GPP接入网络接入时，此处的接入侧是指非可信非 3GPP接入网络或 ePDG。

鉴权单元 1202根据所接收的鉴权认证请求中携带的参数判断本次的用户设备接入为可信接入还是非可信接入，参数包括以下的一种或几种：接入网标识 ANID, 拜访地网络标识 Vi s i ted Ne twork Ident i ty (该标识仅在漫游场景下需要），接入类型，接入网络内使用的安全机制等。鉴权单元根据配置的策略判定用户设备接入是否为可信接入，策略中包括接入网标识（漫游场景下还需要拜访地网络标识）与可信关系的对应关系。判定的方法可以为：根据鉴权认证请求消息中的接入网络标识（漫游场景下还需要拜访地网络标识），查询配置的策略确定用户设备接入的可信关系。若鉴权认证请求消息中不包括接入网标识，需要根据接入类型标识构造接入网络标识。具体为：接入类型一般是整数类型的表示方法，如 0表示 WLAN, 2001表示 HRPD 等。接入网络前缀即为 "WLAN" , "HRPD" 这样的字符串，鉴权单元 1202根据接入类型，查表得知接入类型的整数对应的具体接入类型描述，用字符串表示，作为接入网络标识的前缀。接入网络标识除前缀之外的附加字符串可以没有，或者生成规则由鉴权认证设备自己决定。

判定方法可以采用如下方式：查询配置的策略数据表，找到与接入网络标识（漫游场景下还需要拜访地网络标识）对应的可信关系，如可信关系为可信接入则判定当前接入为可信接入，可信关系为非可信接入则判定当前接入为非可信接入。

鉴权单元判断是否已经存在该接入 UE的 S6b会话，即是否已有该 UE的

S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID和用户设备标识。如果已有该 UE的 S6b接口会话存在，则说明原来 P匪 -GW已经向鉴权认证设备申请过针对该 UE的鉴权认证。此时，鉴权单元通知发送单元发送消息给 PDN-GW,其中包含指示用户设备接入可信关系的信息，即该用户设备接入是可信非 3GPP接入还是非可信非 3GPP接入。

发送单元 1203发送消息给 P匪 -GW,其中包括可信关系信元，取值为 "可信" 或 "非可信"， "可信" 表示为可信接入， "非可信" 表示为非可信接入。 P匪 -GW根据接收到的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。

因此，本发明实施例在接收单元收到接入侧的鉴权认证请求时，鉴权单元确定用户设备接入的可信关系，当已有该用户设备的 S6b接口会话存在时，发送单元发送包含用户设备接入可信关系信息的消息给 P匪 -GW, 使 P匪 -GW 可以区分接入场景，完成数据安全通道的建立或更新。

图 1 3是根据本发明另一个实施例的网关设备的框图。图 1 3的网关设备 1 30的非限制性例子是图 3-图 5、图 7-图 11所示的分组数据网关，包括接收单元 1 301、确认单元 1 302、发送单元 1 303和建立单元 1 304。

接收单元 1 301接收用户设备的分组数据网连接建立请求，以及接收鉴权认证设备发送的认证响应消息，认证响应消息中包括用户设备接入的可信关系信息；确认单元 1 302在接收单元接收到分组数据网连接建立请求时，确认若存在该用户设备的 S6b会话或者与该用户设备之间已有安全联盟，则通知发送单元向鉴权认证设备发送认证请求消息；发送单元 1 303向鉴权认证设备发送所述认证请求消息；建立单元 1304根据认证响应消息中的可信关系信息，建立或更新 S2c隧道数据安全通道。

本实施例在网关设备接收到分组数据网连接建立请求时，发送认证请求消息给鉴权认证设备，根据鉴权认证设备的认证响应消息中指示的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。

接收单元 1301接收用户设备的分组数据网连接建立请求。当 UE从非 3GPP接入网络由 S2c接口接入 EPC时，所接收的分组数据网连接建立请求是 UE发送的绑定更新 Binding Upda te消息；当 UE从 3GPP接入网络由 S2c接口接入 EPC时，所接收的分组数据网连接建立请求是匪 E发送的会话建立消息，该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。

确认单元 1302确认是否已经存在本次接入 UE的 S6b会话，即是否已有该 UE的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID 和用户设备标识。或者确认单元确认是否与该 UE之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SPI和 UE 标识。如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立，则说明原来网关设备已经向鉴权认证设备申请过针对该 UE的鉴权认证。此时，通知发送单元 1303向鉴权认证设备发送认证请求。

接收单元 1301接收鉴权认证设备返回的认证响应消息，消息中包含指示当前接入可信关系的信息，即当前接入是可信非 3GPP接入、非可信非 3GPP 接入或 3GPP接入。具体方式为消息中包括可信关系信元，取值为 "可信" 或 "非可信" 或 "3GPP" , 指示当前接入为可信 3GPP接入或非可信 3GPP接入或 3GPP接入。

建立单元 1304根据接收到的响应消息中指示的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。当消息中指示该用户设备接入为可信接入，则建立单元在任意时间可发起与 UE间的 Chi ld SA建立过程。若接收到 UE发起的 Chi ld SA建立请求，则接受请求，建立 Chi ld SA。当消息中指示该用户设备接入为非可信接入或 3GPP接入，则不再发起 Chi ld SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Chi ld SA 建立请求的响应消息中的 Not ify Payload 中的原因值指示 "N0-ADDITI0NAL-SAS" ，或 "NO.Chi ld.SAS" ，或其它原因值, 表示不再接收 Chi ld SA的建立。如果网关设备与 UE之间已经有 Chi ld SA存在，则建立单元发起删除 Chi ld SA的过程。

因此，本发明实施例的网关设备在接收到分组数据网连接建立请求时，如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立，则发送认证请求给鉴权认证设备，根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道，使得在 UE通过 S2c接口接入 EPS网络时，保障正确的建立或更新 S2c隧道数据安全通道。

图 14是根据本发明又一个实施例的网关设备的框图。图 14的网关设备 140的非限制性例子是图 10、图 11所示的分组数据网关，包括接收单元 1401、确认单元 1402和建立单元 1403。

接收单元 1401 接收用户设备的分组数据网连接建立请求。确认单元 1402在接收单元接收到分组数据网连接建立请求时，确认若存在该用户设备的 S6b会话或者与该用户设备之间已有安全联盟，则根据请求中的无线接入类型信息确定本次用户设备接入的可信关系。建立单元 1403根据确认单元确定的用户设备接入的可信关系，建立或更新 S2c隧道的数据安全通道。

接收单元 1401接收用户设备的分组数据网连接建立请求，该分组数据网连接建立请求是 E发送的会话建立消息，该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。会话建立请求中包括 UE标识， P匪类型，无线接入类型等信息。无线接入类型指示此时为 3GPP接入，如 E_UTRAN、 UTRAN等。 P匪类型指示本 P匪连接为 UE分配的 IP 地址的类型，如 IPv4、 IPv6、或 IPv4v6。如果是切换场景，则在请求消息中还包括切换指示。

确认单元 1402确认是否已经存在该 UE的 S6b会话，即是否已有该 UE 的 S6b接口的会话上下文存在，会话上下文包括会话标识 Ses s ion ID和用户设备标识。或者确认单元 1402确认是否与该 UE之间已有安全联盟建立，即此 UE是否已有安全上下文存在，安全上下文包括安全参数索引 SPI和 UE 标识。如果已有该 UE的 S6b接口会话存在或者与该 UE之间已有安全联盟建立时，说明原来网关设备已经向鉴权认证设备申请过针对该 UE的鉴权认证。此时，确认单元根据接收单元接收的分组数据网连接建立请求中的无线接入类型信息判定本次用户设备接入的可信关系，确定此时为 3GPP接入。

建立单元 1403根据确认单元确定的用户设备接入的可信关系，建立或更新 S2c隧道数据安全通道。该用户设备接入为 3GPP接入，则建立单元不再发起 Chi ld SA建立过程，若接收到 UE发送的 Chi ld SA建立请求，则拒绝。拒绝的方式可以为：在 Chi ld SA 建立请求的响应消息中的 Not ify Payload中的原因值指示 "N0-ADDITI0NAL-SAS"，或 "NO.Chi ld.SAS"，或其它原因值，表示不再接收 Chi ld SA的建立。如果网关设备与 UE之间已经有 Chi ld SA存在，则建立单元发起删除 Chi ld SA的过程。

本发明实施例在 UE通过 S2c接口由 3GPP接入网络接入 EPC网络时，匪 E 根据 UE的 P匪连接请求发送会话建立请求消息给网关设备，网关设备确认是否已经存在该 UE的 S6b接口会话或者与该 UE之间已有安全联盟建立，若已有 S6b接口会话或与该 UE之间已有安全联盟建立，则根据会话建立请求消息中的信息确定本次用户设备接入的可信关系，此处为 3GPP接入，建立或更新 S2c隧道数据安全通道。从而使 P匪 -GW可以区分接入场景，完成数据安全通道的建立或更新。

根据本发明实施例的通信系统可包括上述鉴权认证设备 120和 /或网关设备 130。

根据本发明实施例的通信系统也可包括上述鉴权认证设备 120和 /或网关设备 140。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，上述描述的系统、设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM, Read-Only Memory ), 随机存取存储器（RAM, Random Acces s Memory ), 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1、一种隧道数据安全通道的处理方法，其特征在于，包括，

接收接入侧的鉴权认证请求，确定用户设备接入的可信关系；

当所述用户设备的 S6b接口会话存在时，向分组数据网关发送包含所述可信关系信息的消息，以便所述分组数据网关根据所述可信关系信息建立或更新 S2c隧道数据安全通道。

2、如权利要求 1所述的方法，其特征在于，所述接入侧为可信非 3GPP 接入网络或非可信非 3GPP接入网络或演进分组数据网关。

3、如权利要求 1所述的方法，其特征在于，当所述用户设备的 S6b接口会话存在时，向分组数据网关发送包含所述可信关系信息的消息，包括：当所述用户设备的 S6b接口的会话上下文存在时，向分组数据网关发送包含所述可信关系信息的消息。

4、如权利要求 1所述的方法，其特征在于，所述向分组数据网关发送包含所述可信关系信息的消息，包括：向分组数据网关发送包含携带可信关系信元的消息，所述可信关系信元取值为可信或非可信，指示所述用户设备接入为可信接入或非可信接入。

5、如权利要求 1-4任一所述的方法，其特征在于，当所述可信关系信息指示所述用户设备接入为可信接入，则所述分组数据网关根据所述可信关系信息建立或更新 S2c隧道数据安全通道，包括：

所述分组数据网关发起与所述用户设备之间的子安全联盟 Chi ld SA建立过程；或者

接受所述用户设备发起的子安全联盟 Chi ld SA建立请求。

6、如权利要求 1-4任一所述的方法，其特征在于，当所述可信关系信息指示所述用户设备接入为非可信接入，则所述分组数据网关根据所述可信关系信息建立或更新 S2c隧道数据安全通道，包括：

拒绝所述用户设备发送的子安全联盟 Chi ld SA建立请求；或者删除与所述用户设备之间的子安全联盟 Chi ld SA。

7、如权利要求 6所述的方法，其特征在于，所述拒绝用户设备发送的子安全联盟 Chi Id SA建立请求包括：在子安全联盟 Chi ld SA建立请求的响应消息中指示不接受所述用户设备发送的子安全联盟 Chi Id SA建立请求。

8、如权利要求 1所述的方法，其特征在于，所述确定所述用户设备接入的可信关系，包括：

根据接收到的所述鉴权认证请求中的参数确定用户设备接入为可信接入还是非可信接入，所述参数包括以下的一种或几种：接入网标识，拜访地网络标识，接入类型，接入网络内使用的安全机制。

9、一种隧道数据安全通道的处理方法，其特征在于，包括，

接收用户设备的分组数据网连接建立请求，当所述用户设备的 S6b接口会话存在或者与所述用户设备之间已有安全联盟时，发送认证请求消息到鉴权认证设备，

接收所述鉴权认证设备发送的认证响应消息，所述认证响应消息中包括所述用户设备接入的可信关系信息，

根据所述可信关系信息，建立或更新 S2c隧道数据安全通道。

10、如权利要求 9所述的方法，其特征在于，所述接收用户设备的分组数据网连接建立请求包括：

接收所述用户设备发送的绑定更新请求消息；或者

接收移动性管理网元发送的会话建立消息，所述会话建立消息是所述移动性管理网元收到所述用户设备发送的分组数据网连接请求消息后发送的。

11、如权利要求 9所述的方法，其特征在于，当所述用户设备的 S6b接口会话存在或者与所述用户设备之间已有安全联盟时，发送认证请求消息到鉴权认证设备，包括：当所述用户设备的 S6b接口的会话上下文存在或者所述用户设备的安全上下文存在时，发送认证请求消息到鉴权认证设备。

12、如权利要求 9所述的方法，其特征在于，所述认证响应消息中包括可信关系信元，所述可信关系信元取值为可信或非可信或 3GPP,指示所述用户设备接入为可信接入或非可信接入或 3GPP接入。

13、如权利要求 9-12任一所述的方法，其特征在于，当所述可信关系信息指示所述用户设备接入为可信接入，所述根据所述可信关系信息建立或更新 S2c隧道数据安全通道，包括：

发起与所述用户设备之间的子安全联盟 Chi ld SA建立过程；或者接收所述用户设备发起的子安全联盟 Chi ld SA建立请求。

14、如权利要求 9-12任一所述的方法，其特征在于，当所述可信关系信息指示所述用户设备接入为非可信接入，所述根据所述可信关系信息建立或更新 S2c隧道数据安全通道，包括：

15、如权利要求 14所述的方法，其特征在于，所述拒绝所述用户设备发送的子安全联盟 Chi ld SA建立请求包括：在子安全联盟 Chi ld SA建立请求的响应消息中指示不接受所述用户设备发送的子安全联盟 Chi ld SA建立请求。

16、如权利要求 9-15任一所述的方法，其特征在于，所述接收所述鉴权认证设备发送的认证响应消息之前，还包括：所述鉴权认证设备根据配置的策略确定所述用户设备接入的可信关系。

17、如权利要求 16所述的方法，其特征在于，所述配置的策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的一种或者多种。

18、如权利要求 16所述的方法，其特征在于，所述配置的策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、无线接入类型中的一种或者多种。

19、一种鉴权认证设备，其特征在于，包括：

接收单元，用于接收接入侧的鉴权认证请求；

鉴权单元，用于对所述鉴权认证请求进行鉴权，确定用户设备接入的可信关系，当所述用户设备的 S6b会话存在时，通知发送单元向分组数据网关发送包含所述可信关系信息的消息；

发送单元，用于向所述分组数据网关发送消息，所述消息中包含所述可信关系信息。

20、如权利要求 19所述的鉴权认证设备，其特征在于，所述接入侧为可信非 3GPP接入网络或非可信非 3GPP接入网络或演进分组数据网关。

21、如权利要求 19-20任一所述的鉴权认证设备，其特征在于，当所述用户设备的 S6b会话存在时，鉴权单元通知发送单元向分组数据网关发送包含所述可信关系信息的消息，包括：当所述用户设备的 S6b接口的会话上下文存在时，所述鉴权单元通知发送单元向分组数据网关发送包含所述可信关系信息的消息。

22、如权利要求 19-21任一所述的鉴权认证设备，其特征在于，根据配置的策略确定所述用户设备接入的可信关系，具体包括：鉴权单元根据所述鉴权认证请求中的信息查询所述配置的策略确定所述可信关系，所述配置的策略包括网络标识与可信关系的对应关系，所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的至少一种或者多种。

23、如权利要求 19-22任一所述的鉴权认证设备，其特征在于，所述消息中包含所述可信关系信息，具体包括：所述消息中包含可信关系信元，所述可信关系信元取值为可信或非可信，指示所述用户设备接入为可信接入或非可信接入。

24、一种网关设备，其特征在于，包括：

接收单元，用于接收用户设备的分组数据网连接建立请求，以及用于接收鉴权认证设备发送的认证响应消息，所述认证响应消息中包括所述用户设备接入的可信关系信息；

确认单元，用于当所述接收单元接收到所述分组数据网连接建立请求时，确认若存在所述用户设备的 S6b会话或者与所述用户设备之间已有安全联盟，则通知发送单元向鉴权认证设备发送认证请求消息；

所述发送单元，用于向所述鉴权认证设备发送所述认证请求消息；建立单元，用于根据所述可信关系信息，建立或更新 S2c隧道数据安全通道。

25、如权利要求 24所述的网关设备，其特征在于，所述接收单元用于接收用户设备的分组数据网连接建立请求，包括：

所述接收单元用于接收所述用户设备发送的绑定更新请求消息；或者用于接收移动性管理网元发送的会话建立消息，所述会话建立消息是所述移动性管理网元收到所述用户设备发送的分组数据网连接请求消息后发送的。

26、如权利要求 24所述的网关设备，其特征在于，所述确认单元用于确认存在所述用户设备的 S6b会话或者与所述用户设备之间已有安全联盟，具体包括：

所述确认单元用于确认存在所述用户设备的 S6b接口的会话上下文或者存在所述用户设备的安全上下文。

27、如权利要求 24-26任一所述的网关设备，其特征在于，所述认证响应消息中包括可信关系信元用来指示所述用户设备接入的可信关系，其中可信关系信元取值为可信指示当前接入为可信 3GPP 网络接入，取值为非可信指示当前接入为非可信 3GPP 网络接入，取值为 3GPP指示当前接入为 3GPP 网络接入。

28、如权利要求 24-27任一所述的网关设备，其特征在于，当所述可信关系信息指示所述用户设备接入为可信接入，所述建立单元用于所述根据所述可信关系信息，建立或更新 S2c隧道数据安全通道，包括：，

所述建立单元发起与所述用户设备之间的子安全联盟 Chi ld SA建立过程；或者，

接收所述用户设备发起的子安全联盟 Chi ld SA建立请求。

29、如权利要求 24-27任一所述的网关设备，其特征在于，当所述可信关系信息指示所述用户设备接入为非可信接入或 3GPP接入，所述建立单元用于所述根据所述可信关系信息，建立或更新 S2c隧道数据安全通道，包括：拒绝所述用户设备发送的子安全联盟 Chi ld SA建立请求；或者删除与所述用户设备之间的子安全联盟 Chi ld SA。