WO2018170703A1 - 一种连接建立方法及装置 - Google Patents

Abstract

一种连接建立方法及装置。空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，一方面，向接入和移动性管理网元发送指示信息，用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；另一方面，向网关设备发送鉴权请求消息，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，建立与所述终端之间的安全连接。采用本申请可针对空闲态的终端建立与网络侧的连接。

Description

一种连接建立方法及装置 技术领域

本申请涉及通信领域，尤其涉及一种连接建立方法及装置。

背景技术

为了应对无线宽带技术的挑战，保持3GPP网络的领先优势，3GPP标准组制定了下一代移动通信网络架构(Next Generation System)，称为5G网络架构。该架构不但支持3GPP标准组定义的无线技术(如长期演进(Long Term Evolution，简称LTE)或5G无线接入网(Radio Access Network，简称RAN)等)接入核心网(如5G核心网(Core network)，而且支持非3GPP接入技术通过非3GPP转换功能(non-3GPP Interworking Function，简称N3IWF)或下一代分组数据网关(next Generation packet data Gateway，简称ngPDG)接入核心网。

移动核心网允许终端从3GPP的接入网接入，或者从非3GPP的接入网接入，还允许终端同时从3GPP接入网以及从非3GPP接入网接入。终端从3GPP网络接入核心网的情况下，存在空闲态(IDLE)和连接态(CONNECTED)之间的状态转换。比如，若终端在一段时间内没有数据传输，则该终端释放空口连接和非接入层(Non Access Stratum，简称NAS)连接，进入空闲态，以达到节省网络资源以及节省终端电量消耗的目的。终端从非3GPP网络接入核心网的情况下，也会存在空闲态和连接态之间的状态转换。

现有技术中已经能够实现在终端初始注册流程中建立终端与网络侧的连接，使终端处于连接态。但是，目前尚无法实现当终端已经注册到3GPP网络且进入空闲态后，如何建立与3GPP网络侧的连接，转换到连接态。

发明内容

本申请实施例公开了一种连接建立方法及装置。

第一方面，提供一种连接建立方法，该方法包括：空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；所述终端向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。

可选地，所述鉴权请求消息中包括周期性注册类型参数，所述周期性注册类型参数用于指示所述接入和移动性管理网元采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述指示信息包括于所述鉴权请求消息中。

可选地，所述非接入层消息为注册请求消息。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

可选地，还包括：所述终端通过与网关设备之间的安全连接向所述接入和移动性管理网元发送服务请求消息；其中，所述安全连接是根据所述终端向所述网关设备发送的鉴 权请求消息建立的。

可选地，所述鉴权请求消息中包括鉴权参数，所述鉴权参数用于指示所述网关设备采用所述鉴权参数建立所述网关设备和所述终端之间的安全连接。

第二方面，提供一种连接建立方法，该方法包括：

接入和移动性管理网元接收空闲态的终端发送的指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；所述接入和移动性管理网元根据非接入层消息，建立与所述终端之间的信令连接。

可选地，所述非接入层消息中包括周期性注册类型参数；所述建立与所述终端之间的信令连接，包括：所述接入和移动性管理网元根据所述周期性注册类型参数，采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述指示信息包括于所述非接入层消息中。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

第三方面，提供一种终端，包括：

指示模块，用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

连接建立请求模块，用于向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。

可选地，所述鉴权请求消息中包括周期性注册类型参数，所述周期性注册类型参数用于指示所述接入和移动性管理网元采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述非接入层消息为注册请求消息。

可选地，所述指示信息包括于所述鉴权请求消息中。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

可选地，所述连接建立请求模块还用于：通过与网关设备之间的安全连接向所述接入和移动性管理网元发送服务请求消息；其中，所述安全连接是根据所述终端向所述网关设备发送的鉴权请求消息建立的。

可选地，所述鉴权请求消息中包括鉴权参数，所述鉴权参数用于指示所述网关设备采用所述鉴权参数建立所述网关设备和所述终端之间的安全连接。

第四方面，提供一种接入和移动性管理网元，包括：

连接处理模块，用于接收空闲态的终端发送的指示信息，根据所述指示信息在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

连接建立模块，用于根据非接入层消息，建立与所述终端之间的信令连接。

可选地，所述非接入层消息中包括周期性注册类型参数；所述连接建立模块具体用于：根据所述周期性注册类型参数，采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述指示信息包括于所述非接入层消息中。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

第五方面，提供一种连接建立方法，该方法包括：

空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述鉴权参数用于指示所述网关设备根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接；所述终端接收所述网关设备返回的鉴权响应消息，建立与所述网关设备之间的安全连接。

可选地，所述方法还包括：所述终端通过所述安全连接向接入和移动性管理网元发送非接入层消息，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权参数还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述鉴权参数还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权请求消息中包括的指示信息，用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述指示信息还用于指示所述网关设备保持与所述终端之间的安全连接。

可选地，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，所述非接入层消息为服务请求消息。

第六方面，提供一种连接建立方法，包括：

网关设备接收空闲态的终端发送的鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述指示信息用于指示所述网关设备保持建立的所述安全连接；

所述网关设备根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接。

可选地，还包括：所述网关设备通过与所述终端之间的安全连接接收所述终端发送的非接入层消息，并将所述非接入层消息发送给接入和移动性管理网元，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，还包括：所述网关设备根据所述鉴权参数，在发送所述非接入层消息之前不进行注册流程。

可选地，还包括：所述网关设备根据所述鉴权参数生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权请求中还包括指示信息；所述方法还包括：所述网关设备根据所述指示信息，在发送所述非接入层消息之前不进行注册流程。

可选地，所述网关设备还可以根据该指示信息，保持与所述终端之间的安全连接。

可选地，所述鉴权请求中包括指示信息时，所述方法还包括：所述网关设备根据所述指示信息生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，所述非接入层消息为服务请求消息。

第七方面，提供一种终端，包括：

鉴权请求模块，用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个；以及，接收所述网关设备返回的鉴权响应消息；安全连接建立模块，用于根据所述鉴权参数和所述终端配置的证书，建立与所述网关设备之间的安全连接。

可选地，还包括：信令连接请求模块，用于通过所述安全连接向接入和移动性管理网元发送非接入层消息，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权参数还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述鉴权参数还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权请求中包括的指示信息，用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，其特征在于，所述非接入层消息为服务请求消息。

第八方面，提供一种网关设备，包括：

鉴权模块，用于接收空闲态的终端发送的鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述指示信息用于指示所述网关设备保持建立的所述安全连接；

安全连接建立模块，用于根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接。

可选地，还包括：信令连接请求模块，用于通过与所述终端之间的安全连接接收所述终端发送的非接入层消息，并将所述非接入层消息发送给接入和移动性管理网元，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元 之间的信令连接。

可选地，所述信令连接请求模块还用于：根据所述鉴权参数，在发送所述非接入层消息之前不进行注册流程。

可选地，所述信令连接请求模块还用于：根据所述鉴权参数生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述鉴权请求中还包括指示信息；所述信令连接请求模块还用于：根据所述指示信息，在发送所述非接入层消息之前不进行注册流程。

可选地，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，所述非接入层消息为服务请求消息。

第九方面，提供了一种终端，该终端包括：通信接口、存储器以及处理器，存储器用于存储处理器所需执行的程序代码。通信接口用于接收客户端发送的用户任务。处理器用于执行存储器所存储的程序代码，具体用于执行第一方面或第五方面的任一种方法。

第十方面，提供了一种网关设备，该网关设备包括：存储器以及处理器，存储器用于存储处理器所需执行的程序代码。通信接口用于接收客户端发送的用户任务。处理器用于执行存储器所存储的程序代码，具体用于执行第六方面的任一种方法。

第十一方面，提供了一种接入和移动性管理网元，该网元包括：存储器以及处理器，存储器用于存储处理器所需执行的程序代码。通信接口用于接收客户端发送的用户任务。处理器用于执行存储器所存储的程序代码，具体用于执行第二方面的任一种方法。

第十二方面，提供了一种计算机可读存储介质，用于存储为执行上述第一方面、第五方面的任意一种设计的功能所用的计算机软件指令，其包含用于执行上述第一方面、第五方面的任意一种设计的方法所设计的程序。

第十三方面，提供了一种计算机可读存储介质，用于存储为执行上述第六方面的任意一种设计的功能所用的计算机软件指令，其包含用于执行上述第六方面的任意一种设计的方法所设计的程序。

第十四方面，提供了一种计算机可读存储介质，用于存储为执行上述第二方面的任意一种设计的功能所用的计算机软件指令，其包含用于执行上述第二方面的任意一种设计的方法所设计的程序。

本申请的上述第一方面至第四方面提供的实施例中，空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；所述终端向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。从而实现了空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，建立与接入和移动性管理网元之间的信令连接的过程。

本申请的上述第五至第八方面提供的实施例中，空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述鉴权参数用于指示所述网关设备根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接；所述终端接收所述网关设备返回的鉴权响应消息，建立与所述网关设备之间的安全连接。从而实现了空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，建立与网关设备之间的安全连接的过程。

附图说明

图1示例性地示出了本申请实施例适用的网络架构示意图；

图2示例性地示出了本申请实施例提供的连接建立流程的框图；

图3A示例性地示出了图2中S210的实现流程框图；

图3B示例性地示出了图2中S220的实现流程框图；

图4示例性地示出了连接建立的信令交互图之一；

图5示例性地示出了连接建立的信令交互图之二；

图6示例性地示出了连接建立的信令交互图之三；

图7示例性地示出了连接建立的信令交互图之四；

图8示例性地示出了连接建立的信令交互图之五；

图9示例性地示出了本申请实施例提供的终端的结构示意图；

图10示例性地示出了本申请实施例提供的接入和移动性管理网元的结构示意图；

图11示例性地示出了本申请另外的实施例提供的终端的结构示意图；

图12示例性地示出了本申请的实施例提供的网关设备的结构示意图；

图13示例性地示出了本申请另外的实施例提供的终端的结构示意图；

图14示例性地示出了本申请另外的实施例提供的网关设备的结构示意图；

图15示例性地示出了本申请另外的实施例提供的接入和移动性管理网元的结构示意图。

具体实施方式

本申请实施例提供了一种终端从空闲态转换到连接态，建立与3GPP网络的连接的方法及装置。下面结合附图对本申请实施例进行详细描述。

图1示例性地示出了本申请实施例适用的网络架构示意图。该网络架构示出了5G网络架构中非3GPP接入的网络架构。

3GPP网络侧主要包括3GPP接入网络、核心网以及网关设备。非3GPP网络侧主要包括非3GPP接入网络，该接入网络可能是非可信网络，比如无线局域网(Wireless Local Area Networks，简称WLAN)。终端可通过3GPP接入网络接入核心网，也可通过非3GPP接入网络接入核心网。

网关设备可以是核心网的组成部分，也可以是独立于核心网的网络设备。该网关设备可以是N3IWF，也可以是ngPDG，或者是其他非3GPP接入网设备。本申请实施例对该网关设备的名称不做限制。以网关设备为N3IWF为例，如图1所示，N3IWF与非3GPP 接入网络和核心网连接。

核心网中包括控制面网元和用户面网元。控制面网元用于实现控制面功能(Control Plane function，简称CPF)，主要可包括用户注册认证、移动性管理及向用户面网元下发数据包转发策略、服务质量(Quality of Service，简称QoS)控制策略等。用户面网元用于实现用户面功能(User Plane Function，简称UPF)，主要可包括分组数据包的转发、QoS控制、计费信息统计等。

控制面网元可进一步包括以下网元：接入和移动性管理功能(Access and Mobility Management Function，简称AMF)与会话管理功能(Session Management Function，简称SMF)。AMF负责终端接入时的注册流程及终端移动过程中的位置管理。SMF负责终端发起业务时网络侧建立相应的会话连接，为用户提供具体服务，尤其是基于SMF与UPF之间的N4接口向UPF下发数据包转发策略、QoS策略等。

上述网络架构中，以网关设备为N3IWF为例，N3IWF与AMF之间的接口称为N2接口，N3IWF与UPF之间的接口称为N3接口，AMF与SMF之间的接口称为N11接口。

上述网络架构中的终端，也可称为用户设备(User Equipment，简称为UE)。该终端可以经非3GPP接入网络和/或3GPP接入网接入网络，与核心网进行通信。该终端可以是移动电话(或称为“蜂窝”电话)、具有移动终端的计算机等，例如，终端还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语音和/或数据。上述网络架构中的终端还可以是设备与设备(Device to Device，简称D2D)终端或者机器与机器(Machine to Machine，简称M2M)终端或者机器类型通信(Machine Type Communication，简称MTC)终端。

当终端与网关设备(如N3IWF)之间的连接释放时，在终端侧，终端的状态进入空闲态。此种情况下，网关设备与核心网之间的连接被释放，在网络侧，该终端的状态也会进入空闲态。当空闲态的终端利用非3GPP网络进行上行传输(比如发送上行信令或发送上行用户数据)或建立与非3GPP接入网连接时时，建立与网络侧设备的连接，从空闲态转换为连接态。

图2示例性地示出了本申请实施例提供的连接建立的总体流程示意图。该流程可基于图1所示的网络架构实现。当空闲态的终端需要利用非3GPP网络进行上行传输时，可执行连接建立流程，从空闲态转换为连接态。比如，当空闲态的终端需要利用WLAN发送上行信令和/或用户数据时，发起与3GPP网络的连接建立流程。空闲态的终端需要建立与非3GPP接入网连接时，也可执行连接建立流程。比如，当空闲态的终端探测到WLAN时，建立与该WLAN的连接，并发起与3GPP网络的连接建立流程。

总体来说，本申请实施例提供的连接建立流程可包括：

S210：终端与网关设备之间建立安全连接。

其中，以图1所示的网络架构为例，所述网关设备为N3IWF。所述安全连接，根据所采用的安全协议的不同可以有不同类型的安全连接。以采用Internet协议安全性(Internet Protocol Security，简称IPSec)协议为例，该安全连接为IPSec连接。

S220：终端通过与网关设备之间的安全连接向核心网设备发送非接入层消息，以触发建立该核心网设备与该终端之间的信令连接。其中，所述核心网设备是指控制面网元，更具体地，以图1所示的网络架构为例，所述控制面网元可以是AMF。所述非接入层消息可以是服务请求消息，也可以是注册请求消息。

上述连接建立后，该终端从空闲态转换为连接态，并可进一步通过建立的连接发送上行信令，或者接收网络侧发送的下行信令。

可选地，在需要发送用户数据的情况下，还可建立终端与核心网设备之间建立数据连接。其中，所述核心网设备是指用户面网元，更具体地，以图1所示的网络架构为例，所述用户面网元可以是UPF。

图3A示例性地示出了图2所示的流程中的S210的一种实现过程，如图所示，该流程可包括：

S301：空闲态的终端向网关设备发送鉴权请求消息。所述鉴权请求消息可以是因特网密钥交换鉴权(Internet Key Exchange Authentication，简称IKE_AUTH)消息。所述鉴权请求消息用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。

S302：网关设备根据该鉴权请求消息，向终端返回鉴权响应消息。

S303：终端接收网关设备返回的鉴权响应消息，建立与该网关设备之间的安全连接。

在一些实施例中，在S301中，终端发送的鉴权请求消息中包括鉴权参数，该鉴权参数用于指示网关设备根据该鉴权参数和终端配置的证书，建立与该终端之间的安全连接；在S302中，网关设备可根据鉴权请求消息中的鉴权参数以及该终端配置的证书对该终端进行鉴权认证，向终端返回鉴权响应消息；在S303中，终端接收到鉴权响应消息后，建立与该网关设备之间的安全连接。

可选地，上述流程中，网关设备在对终端鉴权认证通过后，可将网关设备生成的鉴权参数携带于鉴权响应消息发送给终端。终端接收到鉴权响应消息后，可根据其中携带的鉴权参数以及该终端配置的证书，对该网关设备进行鉴权认证，并在鉴权认证通过后，建立与该网关设备之间的安全连接。

可选地，终端发送的鉴权请求消息中的鉴权参数，还用于指示网关设备在发送服务请求消息或其他类型的请求消息之前，不进行注册流程。网关设备在接收到该鉴权请求消息后，可根据该鉴权参数不发起注册流程。

可选地，终端发送的鉴权请求消息中包含的鉴权参数，还可用于指示网关设备生成服务请求消息或其他类型的请求消息，并将该服务请求消息发送给接入和移动性管理网元。该服务请求消息用于所述接入和移动性管理网元建立该终端和该接入和移动性管理网元之间的信令连接。网关设备可根据该鉴权参数生成服务请求消息，并将该服务请求消息发送给接入和移动性管理网元。

可选地，终端发送的鉴权请求消息中可包括鉴权参数以及指示信息(为清楚起见，这里将该指示信息称为“第一指示信息”)，该第一指示信息用于指示网关设备不进行注册流程，具体地，指示网关设备在向接入和移动性管理网元发送服务请求消息或其他类型的请求消息之前，不进行注册流程。网关设备在接收到该鉴权请求消息后，可根据其中携带的第一指示信息，在发送服务请求或其他类型的请求消息前，不发起注册流程。进一步地，网关设备还可以根据该第一指示信息，保持与所述终端之间的安全连接。所述第一指示信息可以是服务请求指示或连接恢复指示。

可选地，终端发送的鉴权请求消息中的第一指示信息，还可用于指示网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的 信令连接。网关设备可根据该第一指示信息，生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元。

在另一些实施例中，在S301中，终端发送的鉴权请求消息中不包含鉴权参数；在S302中，网关设备向终端返回的鉴权响应消息中可包括EAP-REQ/Identity(EAP-REQ/Identity表示：EAP-请求消息，该EAP-请求消息中携带UE标识请求信息)。UE收到包含有EAP-REQ/Identity的鉴权请求消息后，可向网关设备发起EAP鉴权。

在一些实施例中，终端发送的鉴权请求消息中可包括第二指示信息，用于指示接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接。所述第二指示信息可包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

可选地，上述第二指示信息也可在该非接入层消息发送之前，由终端通过另外的消息发送给接入和移动性管理网元。

图3B示例性地示出了图2所示的流程中的S220的一种实现过程，如图所示，该流程可包括：

S401：终端通过与网关设备之间的安全连接，向接入和移动性管理网元发送接入层消息。该接入层消息可以是服务请求消息(或者其他类型的请求消息)，也可以是注册请求消息。

S402：接入和移动性管理网元根据该非接入层消息，建立与该终端之间的信令连接，并根据该第二指示信息保持该信令连接。该第二指示信息可携带于该非接入层消息中。

可选地，终端在鉴权请求消息中可携带周期性注册类型参数，所述周期性注册类型参数用于指示接入和移动性管理网元采用周期性注册的流程建立与终端之间的信令连接。在S402中，接入和移动性管理网元根据该周期性注册类型参数，对该终端进行周期性类型注册。

以图1所示的网络架构为例，图4示例性地示出了基于第一指示信息进行连接恢复的方法中，第一种方法的信令交互图。如图所示，终端(User Equipment，简称UE，也称用户设备)已经注册到3GPP网络但处于空闲(IDLE)态，当该UE需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，执行如下流程：

步骤1a～1b：UE与非3GPP接入网建立连接，获取该UE的本地IP地址，并获取N3IWF的IP地址。

步骤2a：UE发起IKE_SA_INIT初始请求消息给N3IWF。N3IWF回复该IKE_SA_INIT初始请求消息。

步骤2b:UE发送IKE_AUTH请求消息给N3IWF，该消息中携带用户标识以及AUTH参数。

步骤2c：N3IWF收到IKE_AUTH请求消息后，根据该消息中包含的AUTH参数，对该UE进行鉴权认证，鉴权认证通过后生成N3IWF自己的AUTH参数，并向该UE发送IKE_AUTH回复消息，该回复消息中包含N3IWF生成的AUTH参数。UE收到IKE_AUTH回复消息后，根据该回复消息中包含的AUTH参数对N3IWF进行鉴权认证，鉴权认证通过后，该UE与N3IWF之间完成双向认证，该UE与N3IWF之间的IPSec连接建立完成。

步骤3：UE通过IPSec连接发送NAS消息，所述NAS消息可以是服务请求(Service Request)消息。

步骤4：N3IWF在该IPSec连接上收到NAS消息后，根据终端发送的所述IKE_AUTH请求消息中的AUTH参数，不生成该UE的注册请求(Registration Request)消息发送给AMF，而是将该NAS消息通过N2接口消息发送给AMF。具体地，N3IWF发送初始UE消息(Initial UE message)给AMF，该初始UE消息中包含UE发送的服务请求消息。

步骤5：AMF收到UE发送的NAS消息(如服务请求消息)后，基于本地策略发起与UE之间的鉴权认证流程。上述本地策略可包括：当UE从非3GPP网络接入时，AMF通知鉴权服务器功能(Authentication Server Function，简称AUSF)发起鉴权认证流程。该鉴权认证流程为可选流程，是否执行该鉴权认证流程依据本地策略的内容。

步骤6a～步骤7：AMF与SMF交互N11接口消息，AMF向N3IWF发送N2接口消息，该消息为步骤4中发送的N2接口消息的回复消息，该回复消息中包含服务接受消息。通过上述过程，网络侧针对该UE的分组数据单元(Packet Data Unit，简称PDU)连接建立完成。具体地，针对该UE的N11接口连接建立完成。可选地，如果该UE需要发送用户数据，则针对该UE的N3接口连接也建立完成。

步骤8：N3IWF通过已建立的IPSec连接向UE发送NAS消息，该NAS消息是步骤3中发送的NAS消息的回复消息。该NAS消息可以是服务接受(Service Accept)消息。

步骤9～步骤11：可选地，UE发起子IPSec连接的建立流程。

可选地，在步骤2b中，UE向N3IWF发送IKE_AUTH请求消息之前，可配置证书，并将该证书携带于IKE_AUTH请求消息。N3IWF可根据IKE_AUTH请求消息中包含的AUTH参数和该证书对该UE进行鉴权认证。

可选地，在步骤2c中，N3IWF收到UE发送的IKE_AUTH请求消息后，可配置证书，并将该证书携带于IKE_AUTH回复消息。该UE可根据IKE_AUTH回复消息中包含的AUTH参数和证书对该N3IWF进行鉴权认证。

以图1所示的网络架构为例，图5示例性地示出了基于第一指示信息进行连接恢复的方法中，第二种方法的信令交互图。如图所示，UE已经注册到3GPP网络但处于空闲(IDLE)态，当该UE需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，执行如下流程：

步骤1a～1b：UE与非3GPP接入网建立连接，获取该UE的本地IP地址，并获取N3IWF的IP地址。

步骤2a：UE发起IKE_SA_INIT初始请求消息给N3IWF。N3IWF回复该IKE_SA_INIT初始请求消息。

步骤2b:UE发送IKE_AUTH请求消息给N3IWF，该消息中携带用户标识、AUTH参数以及第一指示信息。本流程中，该第一指示信息为服务请求指示或连接恢复指示中的至少一种。

步骤2c：N3IWF收到IKE_AUTH请求消息后，根据该消息中包含的AUTH参数，对该UE进行鉴权认证，鉴权认证通过后生成N3IWF自己的AUTH参数，并向该UE发送IKE_AUTH回复消息，该回复消息中包含N3IWF生成的AUTH参数。UE收到IKE_AUTH回复消息后，根据该回复消息中包含的AUTH参数对N3IWF进行鉴权认证，鉴权认证通过后，该UE与N3IWF之间完成双向认证，该UE与N3IWF之间的IPSec连接建立完成。

进一步地，N3IWF根据第一指示信息，保持与该UE之间的IPSec连接。具体地，N3IWF根据第一指示信息，在对该UE进行周期性位置更新后，保持与该UE之间的IPSec 连接。例如，N3IWF在接收到AMF发送的针对该UE的连接断开请求消息后，根据该UE发送的服务请求指示或连接恢复指示，拒绝响应该请求消息，以保持与UE之间的IPSec连接。

步骤3：UE通过IPSec连接发送NAS消息，所述NAS消息可以是服务请求(Service Request)消息。

步骤4：N3IWF在该IPSec连接上收到NAS消息后，根据终端发送的所述IKE_AUTH请求消息中包括的AUTH参数或第一指示信息，不生成该UE的注册请求(Registration Request)消息发送给AMF，而是将该NAS消息通过N2接口消息发送给AMF。具体地，N3IWF发送初始UE消息(Initial UE message)给AMF，该初始UE消息中包含UE发送的服务请求消息。

步骤5：AMF收到UE发送的NAS消息(如服务请求消息)后，基于本地策略发起与UE之间的鉴权认证流程。上述本地策略可包括：当UE从非3GPP网络接入时，AMF通知AUSF发起鉴权认证流程。该鉴权认证流程为可选流程，是否执行该鉴权认证流程依据本地策略的内容。

步骤6a～步骤7：AMF与SMF交互N11接口消息，AMF向N3IWF发送N2接口消息，该消息为步骤4中发送的N2接口消息的回复消息，该回复消息中包含服务接受消息。通过上述过程，网络侧针对该UE的PDU连接建立完成。具体地，针对该UE的N11接口连接建立完成。可选地，如果该UE需要发送用户数据，则针对该UE的N3接口连接也建立完成。

步骤8：N3IWF通过已建立的IPSec连接向UE发送NAS消息，该NAS消息是步骤3中发送的NAS消息的回复消息。该NAS消息可以是服务接受(Service Accept)消息。

步骤9～步骤11：可选地，UE发起子IPSec连接的建立流程。

可选地，在步骤2b中，UE向N3IWF发送IKE_AUTH请求消息之前，可配置证书，并将该证书携带于IKE_AUTH请求消息。N3IWF可根据IKE_AUTH请求消息中包含的AUTH参数和该证书对该UE进行鉴权认证。

可选地，在步骤2c中，N3IWF收到UE发送的IKE_AUTH请求消息后，可配置证书，并将该证书携带于IKE_AUTH回复消息。该UE可根据IKE_AUTH回复消息中包含的AUTH参数和证书对该N3IWF进行鉴权认证。

以图1所示的网络架构为例，图6示例性地示出了基于第一指示信息进行连接恢复的方法中，第三种方法的信令交互图。如图所示，UE已经注册到3GPP网络但处于空闲(IDLE)态，当该UE需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，执行如下流程：

步骤1a～1b：UE与非3GPP接入网建立连接，获取该UE的本地IP地址，并获取N3IWF的IP地址。

步骤2a：UE发起IKE_SA_INIT初始请求消息给N3IWF。N3IWF回复该IKE_SA_INIT初始请求消息。

步骤2b:UE发送IKE_AUTH请求消息给N3IWF，该消息中携带用户标识以及第一指示信息。本流程中，该第一指示信息为服务请求指示或连接恢复指示中的至少一种。

步骤2c：N3IWF收到IKE_AUTH请求消息后，不执行与UE间的EAP鉴权流程，而是向该UE发送IKE_AUTH回复消息，该UE与N3IWF之间的IPSec连接建立完成。

进一步地，N3IWF根据所述第一指示信息，保持与该UE之间的IPSec连接。具体地，N3IWF根据第一指示信息，在对该UE进行周期性位置更新后，保持与该UE之间的IPSec连接。例如，N3IWF在接收到AMF发送的针对该UE的连接断开请求消息后，根据该UE发送的服务请求指示或连接恢复指示，拒绝响应该请求消息，以保持与UE之间的IPSec连接。

步骤3：UE通过IPSec连接发送NAS消息，所述NAS消息可以是服务请求(Service Request)消息。

步骤4：N3IWF在该IPSec连接上收到NAS消息后，根据第一指示信息，不生成该UE的注册请求(Registration Request)消息发送给AMF，而是将该NAS消息通过N2接口消息发送给AMF。具体地，N3IWF发送初始UE消息(Initial UE message)给AMF，该初始UE消息中包含UE发送的服务请求消息。

步骤5：AMF收到UE发送的NAS消息(如服务请求消息)后，基于本地策略发起与UE之间的鉴权认证流程。上述本地策略可包括：当UE从非3GPP网络接入时，AMF通知AUSF发起鉴权认证流程。该鉴权认证流程为可选流程，是否执行该鉴权认证流程依据本地策略的内容。

步骤6a～步骤7：AMF与SMF交互N11接口消息，AMF向N3IWF发送N2接口消息，该消息为步骤4中发送的N2接口消息的回复消息，该回复消息中包含服务接受消息。通过上述过程，网络侧针对该UE的PDU连接建立完成。具体地，针对该UE的N11接口连接建立完成。可选地，如果该UE需要发送用户数据，则针对该UE的N3接口连接也建立完成。

步骤8：N3IWF通过已建立的IPSec连接向UE发送NAS消息，该NAS消息是步骤3中发送的NAS消息的回复消息。该NAS消息可以是服务接受(Service Accept)消息。

步骤9～步骤11：可选地，UE发起子IPSec连接的建立流程。

图4至图6所描述的流程中，N3IWF基于AUTH参数建立与UE之间的IPSec连接，并生成初始UE消息将上述IPSec连接中传递的NAS消息发送给AMF，从而建立N3IWF与AMF的N2接口连接，进而建立完成UE与AMF之间的信令连接。

以图1所示的网络架构为例，图7示例性地示出了基于第二指示信息进行连接恢复的方法中第一种方法的信令交互图。如图所示，UE已经注册到3GPP网络但处于空闲(IDLE)态，当该UE需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，执行如下流程：

步骤1a～1b：UE与非3GPP接入网建立连接，获取该UE的本地IP地址，并获取N3IWF的IP地址。

步骤2a：UE发起IKE_SA_INIT初始请求消息给N3IWF。N3IWF回复该IKE_SA_INIT初始请求消息。

步骤2b:UE发送IKE_AUTH请求消息给N3IWF，该消息中携带用户标识但不包含AUTH参数，表明需要基于EAP进行鉴权。该IKE_AUTH请求消息中还包括周期性注册类型(Registration type)参数以及第二指示信息。其中，第二指示信息可包括服务请求指示、激活标识、保持连接指示、连接恢复指示中的至少一个。

步骤2c～步骤2d：可选地，N3IWF收到IKE_AUTH请求消息后，向该UE发送IKE_AUTH回复消息，该回复消息中包含EAP-REQ/Identity(EAP-REQ/Identity表示： EAP-请求消息，该EAP-请求消息中携带UE标识请求信息)。UE收到包含有EAP-REQ/Identity的IKE_AUTH请求消息后，向N3IWF发送IKE_AUTH请求消息，该请求消息中包含有用户标识以及EAP-REQ/Identity。

步骤3：N3IWF接收到IKE_AUTH请求消息后，生成注册请求消息，向AMF发送N2接口消息，该N2接口消息中包括注册请求消息，该注册请求消息中包含用户标识、周期性注册类型参数、第二指示信息。其中，周期性注册类型参数和第二指示信息，与N3IWF接收到的IKE_AUTH请求消息中携带的相应信息内容相同。

可选地，N3IWF接收到IKE_AUTH请求消息后，存储其中携带的第二指示信息。这样，当N3IWF与AMF之间的N2接口连接释放时，N3IWF可基于存储的第二指示信息保持与UE之间的IPSec连接。例如，AMF与N3IWF之间针对该UE的N2接口连接释放后，AMF向N3IWF发送针对该UE的连接断开请求消息，N3IWF可根据该UE发送的第二指示信息，拒绝响应该请求消息，以保持与UE之间的IPSec连接。

步骤4：AMF基于本地策略通知AUSF完成UE的EAP鉴权认证，此过程中，N3IWF与该UE之间的IPSec连接建立完成。上述本地策略可包括：当UE从非3GPP网络接入时，AMF通知AUSF发起鉴权认证流程。该鉴权认证流程为可选流程，是否执行该鉴权认证流程依据本地策略的内容。

可选地，AMF存储该UE发送的第二指示信息，并可基于该第二指示信息，保持该UE的N2接口连接。具体地，当对该UE进行周期性位置更新后，AMF可根据存储的该UE的第二指示信息保持该UE在AMF与N3IWF之间的N2接口连接。

步骤5～步骤6：AMF发送N2接口消息给N3IWF，该消息可以是注册接受消息。N3IWF通过已建立的IPSec连接将该消息转发给UE。

步骤7：UE通过IPSec连接发送NAS消息，所述NAS消息可以是服务请求(Service Request)消息。

步骤8：N3IWF在该IPSec连接上收到NAS消息后，根据第二指示信息，将该NAS消息通过N2接口消息发送给AMF。

步骤9a～步骤10：AMF收到UE发送的NAS消息(如服务请求消息)后，与SMF交互N11接口消息，AMF向N3IWF发送N2接口消息，该消息为步骤8中发送的N2接口消息的回复消息，该回复消息中包含服务接受消息。通过上述过程，网络侧针对该UE的PDU连接可以建立完成。具体地，针对该UE的N11接口连接建立完成。可选地，如果该UE需要发送用户数据，则针对该UE的N3接口连接也建立完成。

步骤11：N3IWF通过已建立的IPSec连接向UE发送NAS消息，该NAS消息是步骤7中发送的NAS消息的回复消息。该NAS消息可以是服务接受(Service Accept)消息。

步骤11～步骤14：可选地，UE发起子IPSec连接的建立流程。

在其他的例子中，UE可将第二指示信息和注册类型参数携带与其他消息，比如携带于步骤2d中的IKE_AUTH请求消息中发送给N3IWF。

可选地，在一些实施例中，上述图7所示的流程中可省略步骤7，即，N3IWF可根据第二指示信息生成服务请求消息，并将所述服务请求消息发送给AMF，以使AMF建立该UE和该AMF之间的信令连接。

以图1所示的网络架构为例，图8示例性地示出了基于第二指示信息进行连接恢复的方法中第二种方法的信令交互图。如图所示，UE已经注册到3GPP网络但处于空闲 (IDLE)态，当该UE需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，执行如下流程：

步骤1a～1b：UE与非3GPP接入网建立连接，获取该UE的本地IP地址，并获取N3IWF的IP地址。

步骤2a：UE发起IKE_SA_INIT初始请求消息给N3IWF。N3IWF回复该IKE_SA_INIT初始请求消息。

步骤2b:UE发送IKE_AUTH请求消息给N3IWF，该消息中携带用户标识、AUTH参数、周期性注册类型参数以及第二指示信息。其中，第二指示信息可包括服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

步骤2c：N3IWF收到IKE_AUTH请求消息后，根据该消息中携带的AUTH参数对UE进行鉴权认证，鉴权认证通过后生成N3IWF自己的AUTH参数，向该UE发送IKE_AUTH回复消息，该回复消息中包含N3IWF生成的AUTH参数，不包含EAP-REQ/Identity。

UE收到IKE_AUTH回复消息后，根据该回复消息中包含的AUTH参数对N3IWF进行鉴权认证，鉴权认证通过后，该UE与N3IWF之间完成双向认证，该UE与N3IWF之间的IPSec连接建立完成。

步骤3：N3IWF生成注册请求消息，向AMF发送N2接口消息，该N2接口消息中包括注册请求消息，该注册请求消息中包含用户标识、周期性注册类型参数、第二指示信息。其中，周期性注册类型参数和第二指示信息，与N3IWF接收到的IKE_AUTH请求消息中携带的相应信息内容相同。

可选地，N3IWF接收到IKE_AUTH请求消息后，存储其中携带的第二指示信息。这样，当N3IWF与AMF之间的N2接口连接释放时，N3IWF可基于存储的第二指示信息保持与UE之间的IPSec连接。例如，AMF与N3IWF之间针对该UE的N2接口连接释放后，AMF向N3IWF发送针对该UE的连接断开请求消息，N3IWF可根据该UE发送的第二指示信息，拒绝响应该请求消息，以保持与UE之间的IPSec连接。

步骤4：AMF基于本地策略通知AUSF完成UE的EAP鉴权认证，此过程中，N3IWF与该UE之间的IPSec连接建立完成。上述本地策略可包括：当UE从非3GPP网络接入时，AMF通知AUSF发起鉴权认证流程。该鉴权认证流程为可选流程，是否执行该鉴权认证流程依据本地策略的内容。

可选地，AMF存储该UE发送的第二指示信息，并可基于该第二指示信息，保持该UE的N2接口连接。具体地，当对该UE进行周期性位置更新后，AMF可根据存储的该UE的第二指示信息保持该UE在AMF与N3IWF之间的N2接口连接。

步骤5～步骤6：AMF发送N2接口消息给N3IWF，该消息可以是注册接受消息。N3IWF通过已建立的IPSec连接将该消息转发给UE。

步骤7：UE通过IPSec连接发送NAS消息，所述NAS消息可以是服务请求(Service Request)消息。

步骤8：N3IWF在该IPSec连接上收到NAS消息后，根据第二指示信息，将该NAS消息通过N2接口消息发送给AMF。

步骤9a～步骤10：AMF收到UE发送的NAS消息(如服务请求消息)后，与SMF交互N11接口消息，AMF向N3IWF发送N2接口消息，该消息为步骤8中发送的N2接口 消息的回复消息，该回复消息中包含服务接受消息。通过上述过程，网络侧针对该UE的PDU连接可以建立完成。具体地，针对该UE的N11接口连接建立完成。可选地，如果该UE需要发送用户数据，则针对该UE的N3接口连接也建立完成。

步骤11：N3IWF通过已建立的IPSec连接向UE发送NAS消息，该NAS消息是步骤7中发送的NAS消息的回复消息。该NAS消息可以是服务接受(Service Accept)消息。

步骤11～步骤14：可选地，UE发起子IPSec连接的建立流程。

可选地，N3IWF接收到UE发送的IKE_AUTH请求消息后，可根据该UE的证书以及该消息中包含的AUTH参数，对该UE进行鉴权认证。其中，N3IWF可在UE的周期性位置更新过程中从AMF获得该UE的证书。

可选地，在一些实施例中，上述图8所示的流程中可省略步骤7，即，N3IWF可根据第二指示信息生成服务请求消息，并将所述服务请求消息发送给AMF，以使AMF建立该UE和该AMF之间的信令连接。

图7和图8所示的流程中，基于周期性注册流程建立UE与网络侧的连接，并基于第二指示信息保持上述连接。UE在连接状态下发送服务请求消息给网络侧，建立相关PDU连接，从而实现UE从空闲态转为连接态，为后续UE发起服务请求提供连接通道。

基于相同的技术构思，本申请实施例还提供了一种终端。图9示例性地示出了本申请实施例提供的终端的结构示意图，该终端可实现前述实施例描述的连接建立流程。

如图9所示，该终端可包括：指示模块901、连接建立请求模块902。指示模块901用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；连接建立请求模块902用于向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。

可选地，所述鉴权请求消息中包括周期性注册类型参数，所述周期性注册类型参数用于指示所述接入和移动性管理网元采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述指示信息包括于所述鉴权请求消息中。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

可选地，连接建立请求模块902还用于：通过与网关设备之间的安全连接向所述接入和移动性管理网元发送非接入层消息；其中，所述安全连接是根据所述终端向所述网关设备发送的鉴权请求消息建立的，所述鉴权请求消息中包括鉴权参数，所述鉴权参数用于指示所述网关设备采用所述鉴权参数建立所述网关设备和所述终端之间的安全连接。

基于相同的技术构思，本申请实施例还提供了一种接入和移动性管理网元。图10示例性地示出了本申请实施例提供的接入和移动性管理网元的结构示意图。该接入和移动性管理网元可实现前述实施例描述的连接建立流程。

如图10所示，该接入和移动性管理网元可包括：连接处理模块1001、连接建立模块1002。连接处理模块1001用于接收空闲态的终端发送的指示信息，根据所述指示信息在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；连接建 立模块1002用于根据非接入层消息，建立与所述终端之间的信令连接。

可选地，所述非接入层消息中包括周期性注册类型参数；连接建立模块1002具体用于：根据所述周期性注册类型参数，采用周期性注册的流程建立与所述终端之间的信令连接。

可选地，所述指示信息包括于所述非接入层消息中。

可选地，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。

基于相同的技术构思，本申请实施例还提供了一种终端。图11示例性地示出了本申请实施例提供的终端的结构示意图。该终端可实现前述实施例描述的连接建立流程。

如图11所示，本申请实施例提供的终端可包括：鉴权请求模块1101、安全连接建立模块可1102。鉴权请求模块1101用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个；以及，接收所述网关设备返回的鉴权响应消息；安全连接建立模块1102用于根据所述鉴权参数和所述终端配置的证书，建立与所述网关设备之间的安全连接。

可选地，该终端还可包括：信令连接请求模块1103，用于通过所述安全连接向接入和移动性管理网元发送非接入层消息，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。可选地，该终端还可包括信令连接建立模块1104，用于与接入和移动性管理网元建立信令连接。

可选地，所述鉴权参数还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述鉴权请求中还包括指示信息，所述指示信息用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。

可选地，所述鉴权参数还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述非接入层消息为服务请求消息。

基于相同的技术构思，本申请实施例还提供了一种网关设备。图12示例性地示出了本申请实施例提的网关设备的结构示意图，该网关设备可实现前述实施例描述的在终端侧实现的连接建立流程。

如图12所示，该网关设备可包括：鉴权模块1201、安全连接建立模块1202。鉴权模块1201用于接收空闲态的终端发送的鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述指示信息用于指示所述网关设备保持建立的所述安全连接；安全连接建立模块1202用于根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接。

可选地，该网关设备中还包括信令连接请求模块1203，用于通过与所述终端之间的安全连接接收所述终端发送的非接入层消息，并将所述非接入层消息发送给接入和移动性管理网元，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述信令连接请求模块还用于：根据所述鉴权参数生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，信令连接请求模块1203还用于：根据所述鉴权参数，在发送所述非接入层消息之前不进行注册流程。

可选地，鉴权请求中包括指示信息时，信令连接请求模块1203还用于：根据所述指示信息，在发送所述非接入层消息之前不进行注册流程。

可选地，所述鉴权请求中包括指示信息时，所述信令连接请求模块还用于：根据所述指示信息生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。

可选地，所述指示信息为服务请求指示或连接恢复指示。

可选地，所述非接入层消息为服务请求消息。

基于相同的技术构思，本申请实施例还提供了一种终端。图13示例性地示出了本申请实施例提供的终端的结构示意图。

如图13所示，该终端包括：通信接口1301、处理器1302以及存储器1303，存储器1303用于存储处理器1302所需执行的程序代码。通信接口1301用于进行消息交互。处理器1302用于执行存储器所存储的程序代码，具体用于执行前述实施例中终端侧执行的方法。

处理器1302可以是一个中央处理模块(central processing unit，简称CPU)，或者为数字处理模块等等。存储器1303可以是非易失性存储器，比如硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)。存储器1303是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

本申请实施例中不限定上述通信接口1301、处理器1302以及存储器1303之间的具体连接介质。本申请实施例在图13中以存储器1303、处理器1302以及通信接口1301之间通过总线1304连接，总线在图13中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供了一种计算机可读存储介质，用于存储为执行上述处理器1301所需执行的计算机软件指令，其包含用于执行上述处理器所需执行的程序。

基于相同的技术构思，本申请实施例还提供了一种网关设备。图14示例性地示出了本申请实施例提供的网关的结构示意图。

如图14所示，该网关设备包括：通信接口1401、处理器1402以及存储器1403，存储器1403用于存储处理器1402所需执行的程序代码。通信接口1401用于进行消息交互。 处理器1402用于执行存储器所存储的程序代码，具体用于执行前述实施例中网关设备侧执行的方法。

处理器1402可以是一个中央处理模块(central processing unit，简称CPU)，或者为数字处理模块等等。存储器1403可以是非易失性存储器，比如硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)。存储器1403是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

本申请实施例中不限定上述通信接口1401、处理器1402以及存储器1403之间的具体连接介质。本申请实施例在图14中以存储器1403、处理器1402以及通信接口1401之间通过总线1404连接，总线在图14中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供了一种计算机可读存储介质，用于存储为执行上述处理器1401所需执行的计算机软件指令，其包含用于执行上述处理器所需执行的程序。

基于相同的技术构思，本申请实施例还提供了一种网关设备。图15示例性地示出了本申请实施例提供的接入和移动性管理网元的结构示意图。

如图15所示，该网元包括：通信接口1501、处理器1502以及存储器1503，存储器1503用于存储处理器1502所需执行的程序代码。通信接口1501用于进行消息交互。处理器1502用于执行存储器所存储的程序代码，具体用于执行前述实施例中接入和移动性管理网元侧执行的方法。

处理器1502可以是一个中央处理模块(central processing unit，简称CPU)，或者为数字处理模块等等。存储器1503可以是非易失性存储器，比如硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)等，还可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)。存储器1503是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

本申请实施例中不限定上述通信接口1501、处理器1502以及存储器1503之间的具体连接介质。本申请实施例在图15中以存储器1503、处理器1502以及通信接口1501之间通过总线1504连接，总线在图15中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供了一种计算机可读存储介质，用于存储为执行上述处理器1501所需执行的计算机软件指令，其包含用于执行上述处理器所需执行的程序。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或 方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (53)

1. 一种连接建立方法，其特征在于，包括：

   空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

   所述终端向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。
2. 如权利要求1所述的方法，其特征在于，所述鉴权请求消息中包括周期性注册类型参数，所述周期性注册类型参数用于指示所述接入和移动性管理网元采用周期性注册的流程建立与所述终端之间的信令连接。
3. 如权利要求1所述的方法，其特征在于，所述非接入层消息为注册请求消息。
4. 如权利要求1所述的方法，其特征在于，所述指示信息包括于所述鉴权请求消息中。
5. 如权利要求1-4中任一项所述的方法，其特征在于，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。
6. 如权利要求1-5中任一项所述的方法，其特征在于，还包括：

   所述终端通过与网关设备之间的安全连接向所述接入和移动性管理网元发送服务请求消息；其中，所述安全连接是根据所述终端向所述网关设备发送的鉴权请求消息建立的。
7. 如权利要求6所述方法，其特征在于，所述鉴权请求消息中包括鉴权参数，所述鉴权参数用于指示所述网关设备采用所述鉴权参数建立所述网关设备和所述终端之间的安全连接。
8. 一种连接建立方法，其特征在于，包括：

   接入和移动性管理网元接收空闲态的终端发送的指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

   所述接入和移动性管理网元根据非接入层消息，建立与所述终端之间的信令连接。
9. 如权利要求8所述的方法，其特征在于，所述非接入层消息中包括周期性注册类型参数；

   所述建立与所述终端之间的信令连接，包括：

   所述接入和移动性管理网元根据所述周期性注册类型参数，采用周期性注册的流程建立与所述终端之间的信令连接。
10. 如权利要求8所述的方法，其特征在于，所述指示信息包括于所述非接入层消息中。
11. 如权利要求8-10中任一项所述的方法，其特征在于，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。
12. 一种连接建立方法，其特征在于，包括：

    空闲态的终端在需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中 的至少一个，所述鉴权参数用于指示所述网关设备根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接；

    所述终端接收所述网关设备返回的鉴权响应消息，建立与所述网关设备之间的安全连接。
13. 如权利要求12所述的方法，其特征在于，所述方法还包括：

    所述终端通过所述安全连接向接入和移动性管理网元发送非接入层消息，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
14. 如权利要求13所述的方法，其特征在于，所述鉴权参数还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。
15. 如权利要求12所述的方法，其特征在于，所述鉴权参数还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
16. 如权利要求12所述的方法，其特征在于，所述鉴权请求消息中的指示信息，还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。
17. 如权利要求12所述的方法，其特征在于，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
18. 如权利要求12-17中任一项所述的方法，其特征在于，所述指示信息为服务请求指示或连接恢复指示。
19. 如权利要求13、14、16中任一项所述的方法，其特征在于，所述非接入层消息为服务请求消息。
20. 一种连接建立方法，其特征在于，包括：

    网关设备接收空闲态的终端发送的鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述指示信息用于指示所述网关设备保持建立的所述安全连接；

    所述网关设备根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接。
21. 如权利要求20所述的方法，其特征在于，还包括：

    所述网关设备通过与所述终端之间的安全连接接收所述终端发送的非接入层消息，并将所述非接入层消息发送给接入和移动性管理网元，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
22. 如权利要求21所述的方法，其特征在于，还包括：

    所述网关设备根据所述鉴权参数，在发送所述非接入层消息之前不进行注册流程。
23. 如权利要求20所述的方法，其特征在于，还包括：

    所述网关设备根据所述鉴权参数生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
24. 如权利要求20所述的方法，其特征在于，所述鉴权请求中包括指示信息时，所述方法还包括：

    所述网关设备根据所述指示信息，在发送所述非接入层消息之前不进行注册流程。
25. 如权利要求20所述的方法，其特征在于，所述鉴权请求中包括指示信息时，所述方法还包括：

    所述网关设备根据所述指示信息生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
26. 如权利要求20-25中任一项所述的方法，其特征在于，所述指示信息为服务请求指示或连接恢复指示。
27. 如权利要求21、22、24中任一项所述的方法，其特征在于，所述非接入层消息为服务请求消息。
28. 一种终端，其特征在于，包括：

    指示模块，用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向接入和移动性管理网元发送指示信息，所述指示信息用于指示所述接入和移动性管理网元在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

    连接建立请求模块，用于向网关设备发送鉴权请求消息，用于使所述网关设备基于所述鉴权请求消息生成非接入层消息，所述非接入层消息用于请求所述接入和移动性管理网元建立所述信令连接。
29. 如权利要求28所述的终端，其特征在于，所述鉴权请求消息中包括周期性注册类型参数，所述周期性注册类型参数用于指示所述接入和移动性管理网元采用周期性注册的流程建立与所述终端之间的信令连接。
30. 如权利要求31所述的终端，其特征在于，所述指示信息包括于所述鉴权请求消息中。
31. 如权利要求28-29中任一项所述的终端，其特征在于，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。
32. 如权利要求28-30中任一项所述的终端，其特征在于，所述连接建立请求模块还用于：通过与网关设备之间的安全连接向所述接入和移动性管理网元发送服务请求消息；其中，所述安全连接是根据所述终端向所述网关设备发送的鉴权请求消息建立的。
33. 如权利要求32所述的终端，其特征在于，所述鉴权请求消息中包括鉴权参数，所述鉴权参数用于指示所述网关设备采用所述鉴权参数建立所述网关设备和所述终端之间的安全连接。
34. 一种接入和移动性管理网元，其特征在于，包括：

    连接处理模块，用于接收空闲态的终端发送的指示信息，根据所述指示信息在所述终端和所述接入和移动性管理网元之间的信令连接建立后保持所述信令连接；

    连接建立模块，用于根据非接入层消息，建立与所述终端之间的信令连接。
35. 如权利要求34所述的网元，其特征在于，所述非接入层消息中包括周期性注册类型参数；

    所述连接建立模块具体用于：根据所述周期性注册类型参数，采用周期性注册的流程 建立与所述终端之间的信令连接。
36. 如权利要求34所述的网元，其特征在于，所述指示信息包括于所述非接入层消息中。
37. 如权利要求34-36中任一项所述的网元，其特征在于，所述指示信息包括：服务请求指示、激活标识、保持连接指示、或连接恢复指示中的至少一个。
38. 一种终端，其特征在于，包括：

    鉴权请求模块，用于在所述终端处于空闲态且需要利用非3GPP网络进行上行传输或建立与非3GPP接入网连接时，向网关设备发送鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个；以及，接收所述网关设备返回的鉴权响应消息；

    安全连接建立模块，用于根据所述鉴权参数和所述终端配置的证书，建立与所述网关设备之间的安全连接。
39. 如权利要求38所述的终端，其特征在于，还包括：

    信令连接请求模块，用于通过所述安全连接向接入和移动性管理网元发送非接入层消息，所述非接入层消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
40. 如权利要求39所述的终端，其特征在于，所述鉴权参数还用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。
41. 如权利要求38所述的终端，其特征在于，所述鉴权参数还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
42. 如权利要求38所述的终端，其特征在于，所述鉴权请求中的指示信息用于指示所述网关设备在发送所述非接入层消息之前，不进行注册流程。
43. 如权利要求38所述的终端，其特征在于，所述鉴权请求消息中的指示信息，还用于指示所述网关设备生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
44. 如权利要求38-43中任一项所述的终端，其特征在于，所述指示信息为服务请求指示或连接恢复指示。
45. 如权利要求39、40、43-44中任一项所述的终端，其特征在于，所述非接入层消息为服务请求消息。
46. 一种网关设备，其特征在于，包括：

    鉴权模块，用于接收空闲态的终端发送的鉴权请求消息，其中，所述鉴权请求中包括鉴权参数或指示信息中的至少一个，所述指示信息用于指示所述网关设备保持建立的所述安全连接；

    安全连接建立模块，用于根据所述鉴权参数和所述终端配置的证书，建立与所述终端之间的安全连接。
47. 如权利要求46所述的设备，其特征在于，还包括：

    信令连接请求模块，用于通过与所述终端之间的安全连接接收所述终端发送的非接入层消息，并将所述非接入层消息发送给接入和移动性管理网元，所述非接入层消息用于所 述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
48. 如权利要求47所述的设备，其特征在于，所述信令连接请求模块还用于：根据所述鉴权参数，在发送所述非接入层消息之前不进行注册流程。
49. 如权利要求46所述的设备，其特征在于，所述信令连接请求模块还用于：

    根据所述鉴权参数生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
50. 如权利要求47-49中任一项所述的设备，其特征在于，所述鉴权请求中包括指示信息时，所述信令连接请求模块还用于：根据所述指示信息，在发送所述非接入层消息之前不进行注册流程。
51. 如权利要求46所述的设备，其特征在于，所述鉴权请求中包括指示信息时，所述信令连接请求模块还用于：

    根据所述指示信息生成服务请求消息，并将所述服务请求消息发送给所述接入和移动性管理网元；所述服务请求消息用于所述接入和移动性管理网元建立所述终端和所述接入和移动性管理网元之间的信令连接。
52. 如权利要求46所述的设备，其特征在于，所述指示信息为服务请求指示或连接恢复指示。
53. 如权利要求47-52中任一项所述的设备，其特征在于，所述非接入层消息为服务请求消息。

Images