CN104506406B - 一种鉴权认证设备 - Google Patents
一种鉴权认证设备 Download PDFInfo
- Publication number
- CN104506406B CN104506406B CN201410816594.3A CN201410816594A CN104506406B CN 104506406 B CN104506406 B CN 104506406B CN 201410816594 A CN201410816594 A CN 201410816594A CN 104506406 B CN104506406 B CN 104506406B
- Authority
- CN
- China
- Prior art keywords
- access
- network
- user equipment
- message
- trusted relationships
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种鉴权认证设备,其中方法包括:接收接入侧的鉴权认证请求,确定用户设备接入的可信关系;当已有该用户设备的S6b接口会话存在时,向分组数据网关发送包含所述用户设备接入可信关系信息的消息,以便所述分组数据网关根据所述可信关系信息建立或更新S2c隧道数据安全通道。本发明实施例在用户设备通过S2c接口接入EPS网络时,当接收到接入侧的鉴权认证请求时,如果已有接入的用户设备的S6b接口会话存在,则发送包含用户设备接入可信关系信息的消息给分组数据网关,从而使分组数据网关能够获得用户设备通过S2c接口接入EPS网络时的可信关系,保障正确的建立或更新S2c隧道数据安全通道。
Description
技术领域
本发明实施例涉及通信技术领域,并且更具体地,涉及数据安全通道的处理方法及设备。
背景技术
随着移动宽带时代的到来,用户需要随时随地的使用宽带接入服务,这对移动通信网络提出了更高的要求,如更高的传输速率、更小的时延和更高的***容量等。为了保持3GPP网络的优势,3GPP标准组织于2004年底启动了SAE(System Architecture Evolution,***架构演进)计划的研究和标准化工作,定义了一个新的移动通信网络框架,称为演进的分组***EPS(Evolved Packet System,演进的分组***)。随着核心网融合统一的趋势,3GPP在EPS***中的核心网EPC(Evolved Packet Core,演进的分组***的核心部分)中也提供了非3GPP接入网络接入的可能,如WLAN、 Wimax等接入EPC。
S2c接口采用DSMIPv6(Mobile IPv6Support for Dual Stack Hosts,双栈主机的移动IPv6支持)协议,可用于可信非3GPP接入网络、非可信非 3GPP接入网络、3GPP接入网络接入EPS网络。UE(User Equipment,用户设备)从非3GPP接入网络通过S2c接口接入EPC时,UE与PDN-GW(Packet Data Network Gateway,分组数据网关,也可简称为PGW)之间将建立SA(Security Association,安全联盟)保护DSMIPv6信令。当UE通过S2c接口接入EPC的时候,PDN-GW通过与AAA(Authentication Authorization Accounting,鉴权认证和计费)服务器之间S6b接口上传递鉴权和认证请求以及响应消息,从而使得PDN-GW完成对UE的鉴权和认证,从AAA服务器中获得移动性参数、签约数据等信息,当然,在漫游场景下PDN-GW与AAA服务器之间还要经过AAA 代理。
当UE从S2c接口由可信非3GPP接入网络接入EPC时,3GPP定义了在UE与 PDN-GW之间建立DSMIPv6隧道之后,UE与PDN-GW之间建立安全联盟SA保护 DSMIPv6信令,PDN-GW可以与UE之间发起建立子安全联盟Child SA(Child Security Association,子安全联盟)对数据面进行保护;但当UE从非可信非3GPP接入网络接入EPC的时候,UE与非3GPP接入网关ePDG(evolved PDG,演进分组数据网关)之间会建立IPSec安全通道,通过IPSec安全通道对UE与PDN-GW之间的数据包进行安全保护。即,当UE从非3GPP网络以可信方式接入EPS的时候,S2c隧道上可以建立Child SA对数据面的完整性和机密性进行保护;从非3GPP网络以非可信方式接入的时候,将由UE与ePDG之间的 IPSec安全通道提供数据的完整性保护和机密性保护;而当UE通过S2c接口从3GPP接入网络接入EPC时,UE与PDN-GW之间将通过3GPP自身的鉴权加密机制提供数据安全保护。所以,UE通过S2c接口接入EPC的时候,PDN-GW需要区分接入场景是可信非3GPP接入网络接入、非可信非3GPP接入网络接入或 3GPP接入网络接入,完成不同的数据安全通道的建立或更新过程。
在UE从3GPP接入网络接入EPC的时候,可以先建立UE与PDN-GW之间的安全联盟SA,这是为了之后切换到非3GPP接入网络接入时,节约SA建立的时间。而UE从非3GPP接入网络切换到3GPP接入网络的时候,UE与PDN-GW之间的安全联盟SA也可以不立即释放,而是保留一段时间至SA超时自动释放。在这样的情况下,UE在可信非3GPP接入网络、非可信非3GPP接入网络以及 3GPP接入网络之间切换并通过S2c接口接入EPC时,SA可能已经存在,但之前建立SA时PDN-GW获得的当时的接入网络的可信关系,即当时的接入网络是可信或非可信非3GPP接入还是3GPP接入的信息并不一定与现在的接入网络的可信关系一致,因此,需要根据切换后的接入场景建立或更新数据安全通道。
如上所述,UE在可信非3GPP接入网络、3GPP接入网络以及非可信非3GPP 接入网络之间切换通过S2c接口接入EPC的时候,PDN-GW需要区分接入场景,以完成不同方式的数据安全通道的建立或更新。但PDN-GW并不能够判断当前UE接入方式,也就无法正确的建立或更新数据安全通道。
发明内容
本发明实施例提供了一种隧道数据安全通道的处理方法和设备,能够保障正确的建立或更新S2c隧道数据安全通道。
一方面,提供了一种隧道数据安全通道的处理方法,包括:接收接入侧的鉴权认证请求,确定用户设备接入的可信关系;当该用户设备的S6b接口会话存在时,向分组数据网关发送包含可信关系信息的消息,以便分组数据网关根据该可信关系信息建立或更新S2c隧道数据安全通道。
另一方面,提供了一种隧道数据安全通道的处理方法,包括:接收用户设备的分组数据网连接建立请求,当所述用户设备的S6b接口会话存在或者与所述用户设备之间已有安全联盟时,发送认证请求消息到鉴权认证设备,接收所述鉴权认证设备发送的认证响应消息,所述认证响应消息中包括所述用户设备接入的可信关系信息,根据所述可信关系信息,建立或更新S2c隧道数据安全通道。
另一方面,提供了一种鉴权认证设备,包括:接收单元,用于接收接入侧的鉴权认证请求;鉴权单元,用于对所述鉴权认证请求进行鉴权,确定用户设备接入的可信关系,当所述用户设备的S6b会话存在时,通知发送单元向分组数据网关发送包含所述可信关系信息的消息;发送单元,用于向所述分组数据网关发送消息,所述消息中包含所述可信关系信息。
另一方面,提供了一种网关设备,包括:接收单元,用于接收用户设备的分组数据网连接建立请求,以及用于接收鉴权认证设备发送的认证响应消息,所述认证响应消息中包括该用户设备接入的可信关系信息;确认单元,用于当所述接收单元接收到所述分组数据网连接建立请求时,确认若存在所述用户设备的S6b会话或者与所述用户设备之间已有安全联盟,则通知发送单元向鉴权认证设备发送认证请求消息;发送单元,用于向所述鉴权认证设备发送所述认证请求消息;建立单元,用于根据所述可信关系信息,建立或更新S2c隧道数据安全通道。
本发明实施例在UE从S2c接口接入EPC时,由鉴权认证设备发送包含用户设备接入的可信关系信息的消息,或在认证响应消息中包含用户设备接入的可信关系信息,网关设备根据消息中包含的可信关系信息,建立或更新数据安全通道,保障建立正确的数据安全通道。
附图说明
图1是3GPP规定的非漫游场景下采用S2c接口接入EPS网络的***架构图。
图2是根据本发明一个实施例的非3GPP接入网络采用S2c接口接入EPS 网络的数据安全通道的处理方法。
图3是本发明一个实施例的可信非3GPP接入网络采用S2c接口接入EPS 网络的数据安全通道的处理方法的过程的示意流程图。
图4是本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。
图5是本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。
图6是根据本发明另一个实施例的采用S2c接口接入EPS网络的数据安全通道的处理方法。
图7是本发明另一个实施例的可信非3GPP接入网络采用S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。
图8是本发明另一个实施例的非可信非3GPP接入网络采用S2c接口接入 EPS网络的数据安全通道的处理方法的过程的示意流程图。
图9是本发明另一个实施例的3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理方法的过程的示意流程图。
图10是本发明又一个实施例的3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理方法的过程的示意流程图。
图11是本发明又一个实施例的3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理方法的过程的示意流程图。
图12是根据本发明一个实施例的鉴权认证设备的框图。
图13是根据本发明另一个实施例的网关设备的框图。
图14是根据本发明又一个实施例的网关设备的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是3GPP规定的采用S2c接口接入EPS网络的***架构图。本发明实施例可应用于图1所示的EPS网络架构。
如图1所示,S2c接口可以用于非3GPP接入网络、3GPP网络接入EPS 网络。对于可信非3GPP接入网络,UE将直接通过非3GPP接入网络连接到PDN-GW;而对于非可信非3GPP接入网络,UE则需要通过归属网络可信任的演进分组数据网关ePDG,再连接到PDN-GW网元上。对于3GPP 接入网络,UE则通过S-GW(Serving Gateway,服务网关)连接到PDN-GW 网元上。
当UE从S2c接口通过PDN-GW接入EPC时,如果是由可信非3GPP 接入网络接入EPC的,PDN-GW需要发起建立子安全联盟child SA对数据面进行保护;如果UE是从非可信非3GPP接入网络接入EPC的,PDN-GW 通过UE与ePDG之间的IPSec通道建立DSMIPv6安全通道对数据进行完整性保护和机密性保护;如果是由3GPP接入网络接入EPC的,UE与 PDN-GW之间将通过3GPP自身的鉴权加密机制提供数据安全保护。
由上述描述可以看到,PDN-GW需要知道当前UE是从可信非3GPP 接入网络、非可信非3GPP接入网络还是3GPP接入网络接入的,这是正确的建立或更新S2c隧道数据安全通道的前提。尤其是UE在可信非3GPP接入网络、3GPP接入网络以及非可信非3GPP接入网络之间切换后通过S2c 接口接入EPC的时候,PDN-GW需要区分接入场景,以完成正确的数据安全通道的建立或更新。
本发明实施例在图1所述的网络架构上,在UE从S2c接口接入EPC 时,由鉴权认证设备确定UE接入的可信关系,给PDN-GW发送包含UE 接入可信关系指示的消息,或在发给PDN-GW的认证响应消息中包含UE 接入可信关系的指示,PDN-GW根据消息中指示的UE接入的可信关系,建立或更新数据安全通道,保证建立正确的数据安全通道。发明实施例中的鉴权认证设备均以AAA服务器来举例说明,具体实施时也可能是HSS (Home SubscriberServer,归属用户服务器)等其他设备作为实施例中的鉴权认证设备。
图2是本发明一个实施例的采用S2c接口接入EPS网络的数据安全通道的处理方法。由鉴权认证设备确定用户设备接入的可信关系,发送包含用户设备接入可信关系指示的消息给PDN-GW,PDN-GW根据消息中指示的用户接入的可信关系,建立或更新数据安全通道,保证建立正确的数据安全通道。
201,接收接入侧的鉴权认证请求。
UE从S2c接口接入EPC网络时,AAA服务器会接收到接入侧的鉴权认证请求,申请对接入的UE进行鉴权认证。因为UE接入EPC的方式不同,当UE从可信非3GPP接入网络接入时,此处的接入侧指可信非3GPP 接入网络,当UE从非可信非3GPP接入网络接入时,此处的接入侧是指非可信非3GPP接入网络或ePDG。
202,确定用户设备接入的可信关系。
AAA服务器根据接入侧鉴权认证请求中携带的参数判断用户设备接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识 ANID,拜访地网络标识VisitedNetwork Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。
203,当该用户设备的S6b接口会话存在时,向分组数据网关发送包含可信关系信息的消息,以便分组数据网关根据该可信关系信息建立或更新 S2c隧道数据安全通道。
AAA服务器判断是否已经存在该UE的S6b接口会话,即是否已有该 UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。若已存在S6b接口会话,则说明PDN-GW已经向AAA服务器申请过针对该UE的鉴权认证,本次UE接入应该是切换场景。此时, AAA服务器发送消息给PDN-GW,其中包含指示该UE接入可信关系的信息,即该UE接入是可信非3GPP接入还是非可信非3GPP接入。PDN-GW 根据接收到的UE接入的可信关系,建立或更新S2c隧道数据安全通道。
本发明实施例在收到接入侧的鉴权认证请求时,如果已有UE的S6b 接口会话存在,则发送包含UE接入可信关系信息的消息给PDN-GW,使PDN-GW可以正确建立或更新S2c隧道数据安全通道。
下面结合具体例子,更加详细地描述本发明的实施例。图3是根据本发明一个实施例的可信非3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理方法的示意流程图。
301,UE发送EAP-RSP鉴权请求消息到可信非3GPP接入网络。
302,可信非3GPP接入网络发送鉴权认证请求到AAA服务器,鉴权认证请求中包括接入网标识ANID,接入类型,还可能包括接入网络内使用的安全机制等参数。在漫游场景下,此鉴权认证请求要通过AAA服务器代理从接入网络转发给AAA服务器,而且鉴权认证请求中还包括拜访地网络标识,即Visited Network Identity。
AAA服务器根据接收到的请求中的参数判断UE接入为可信接入还是非可信接入,此处确定为可信接入,即UE由可信非3GPP接入网络接入。参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。
303,AAA服务器发送鉴权认证响应消息给可信非3GPP接入网络,其中包括上述可信接入结果。
304,可信非3GPP接入网络发送EAP-REQ鉴权响应消息给UE,其中包括可信接入结果。
305,AAA服务器判断是否已经存在该UE的S6b接口会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID 和用户设备标识。若已有S6b接口会话,则说明原来PDN-GW已经向AAA 服务器申请过针对该UE的鉴权认证请求,本次接入应该是切换场景。AAA 服务器发送可信关系给PDN-GW,即AAA服务器发送可信关系消息到PDN-GW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“可信”,表示当前为可信接入。
306,PDN-GW接收到可信关系消息指示为可信接入后,在任意时间可发起与UE间的Child SA建立过程。若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA。
在实际实现过程中,AAA服务器接收到可信非3GPP接入网络发送的鉴权认证请求,判断本次用户设备接入为可信接入,如果已经存在该UE 的S6b接口会话,即可向PDN-GW发送可信关系消息。也就是说,步骤305 在步骤302之后执行就可以,与步骤303、304并没有严格的先后执行顺序。同样的,PDN-GW接收到可信关系消息指示为可信接入后,可以在任意时间发起与UE间的Child SA建立过程,即步骤306可在步骤305之后任意时间执行,与303、304也没有严格的先后执行顺序。而步骤301至304则按照示意流程图中的先后顺序执行。
本发明实施例在收到可信非3GPP接入网络的鉴权认证请求时,确定用户设备接入的可信关系为可信接入,当已有该UE的S6b接口会话存在时,发送包含UE接入可信关系信息的消息给PDN-GW,使PDN-GW可以区分接入场景,完成正确的数据安全通道的建立或更新。
图4是根据本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理方法的过程的示意流程图。
401,UE发送EAP-RSP鉴权请求消息到非可信非3GPP接入网络。
402,非可信非3GPP接入网络发送鉴权认证请求到AAA服务器,鉴权认证请求中包括接入网标识ANID、接入类型,还可能包括接入网络内使用的安全机制参数等。在漫游场景下,接入网络提交的鉴权认证请求需要通过AAA服务器代理转发给AAA服务器,且上述请求中包括拜访地网络标识,即Visited Network Identity。
AAA服务器根据鉴权认证请求中的参数判断本次用户设备接入为可信接入还是非可信接入,确定为非可信接入,即UE由非可信非3GPP接入网络接入。参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识 Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。
403,AAA服务器发送鉴权认证响应消息给非可信非3GPP接入网络,其中包括上述非可信接入结果。
404,非可信非3GPP接入网络发送EAP-REQ鉴权响应消息给UE,其中包括上述非可信接入结果。
405,AAA服务器判断是否已经存在该UE的S6b接口会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID 和用户设备标识。若已有S6b接口会话,则说明原来PDN-GW已经向AAA 服务器申请过针对该UE的鉴权认证请求,本次接入应该是切换场景。AAA 服务器发送可信关系消息到PDN-GW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“非可信”,表示当前为非可信接入。
PDN-GW接收到指示UE接入为非可信接入的消息后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
在实际实现过程中,AAA服务器接收到非可信非3GPP接入网络发送的鉴权认证请求,判断本次UE接入为非可信接入,如果已经存在该UE的 S6b接口会话,即可向PDN-GW发送可信关系消息。也就是说,步骤405 在步骤402之后执行就可以,与步骤403、404并没有严格的先后执行顺序。而步骤401至404则按照示意流程图中的先后顺序执行。
本发明实施例在收到非可信非3GPP接入网络的鉴权认证请求时,确定 UE接入的可信关系为非可信接入,当已有该UE相关的S6b接口会话存在时,发送包含UE接入可信关系信息的消息给PDN-GW,使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图5是根据本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的数据安全通道的处理的过程的示意流程图。
501,UE发送IKE鉴权请求到演进分组数据网关ePDG,请求建立UE 与ePDG之间的IPSec隧道。
502,ePDG发送鉴权认证请求到AAA服务器,鉴权认证请求中包括接入网标识ANID,接入类型,还可能包括接入网络内使用的安全机制参数等。漫游场景下此鉴权认证请求通过AAA服务器代理转发,且上述请求中包括拜访地网络标识,即Visited NetworkIdentity。
AAA服务器根据鉴权请求中的参数判断UE接入为可信接入还是非可信接入,确定为非可信接入,即UE由非可信非3GPP接入网络接入。参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。
503,AAA服务器发送鉴权认证响应消息给ePDG。
504,ePDG发送IKE鉴权响应消息给UE。
505,AAA服务器判断是否已经存在该UE的S6b接口会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID 和用户设备标识。若已有S6b接口会话,则说明原来PDN-GW已经向AAA 服务器申请过针对该UE的鉴权认证请求,本次接入应该是切换场景。AAA 服务器发送可信关系消息到PDN-GW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“非可信”,表示当前为非可信接入。
PDN-GW接收到指示UE接入为非可信接入的消息后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
在实际实现过程中,AAA服务器接收到演进分组数据网关ePDG发送的鉴权认证请求,判断UE接入为非可信接入,如果已经存在该UE的S6b 接口会话,即可向PDN-GW发送可信关系消息。也就是说,步骤505在步骤502之后执行就可以,与步骤503、504并没有严格的先后执行顺序。而步骤501至504则按照示意流程图中的先后顺序执行。
本发明实施例在收到演进分组数据网关ePDG的鉴权认证请求时,确定UE接入的可信关系为非可信接入,当已有该UE的S6b接口会话存在时,发送包含UE接入可信关系信息的消息给PDN-GW,使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图6是根据本发明另一个实施例的采用S2c接口接入EPS网络的数据安全通道的处理方法。PDN-GW接收分组数据网连接建立请求,发送认证请求给鉴权认证设备,根据鉴权认证设备的响应消息中指示的当前接入的可信关系,建立或更新S2c隧道数据安全通道。
601,接收用户设备的分组数据网连接建立请求。
当UE从非3GPP接入网络由S2c接口接入EPC时,所接收的分组数据网连接建立请求是UE发送的绑定更新Binding Update消息;当UE从 3GPP接入网络由S2c接口接入EPC时,所接收的分组数据网连接建立请求是MME(Mobility Management Entity,移动性管理网元)发送的会话建立消息,该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。
602,当该用户设备的S6b接口会话存在或者与该用户设备之间已有安全联盟时,发送认证请求消息到鉴权认证设备。
PDN-GW判断是否已经存在接入UE的S6b会话,即是否已有该UE 的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。或者PDN-GW判断是否与该UE之间已有安全联盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全参数索引SPI和UE 标识。如果已有该UE的S6b接口会话存在,或者与该UE之间已有安全联盟建立时,则说明原来PDN-GW已经向AAA服务器申请过针对该UE的鉴权认证,此时,PDN-GW发送认证请求给AAA服务器。
603,接收鉴权认证设备发送的认证响应消息,认证响应消息中包括该用户设备接入的可信关系信息,根据可信关系信息建立或更新S2c隧道数据安全通道。
接收AAA服务器返回的认证响应消息,其中包含指示用户设备接入可信关系的信息,即用户设备接入是可信非3GPP接入、非可信非3GPP接入还是3GPP接入。PDN-GW根据接收到的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。
本发明实施例在收到用户设备的分组数据网连接建立请求时,如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则发送认证请求消息给鉴权认证设备,并根据鉴权认证设备的响应消息中所指示的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。
下面结合具体例子,更加详细地描述本发明的另一个实施例。图7是根据本发明另一个实施例的可信非3GPP接入网络采用S2c接口接入EPS 网络的数据安全通道的处理方法的示意流程图。
701,UE发送绑定更新请求Binding Update消息到PDN-GW,使得 PDN-GW将UE的本地地址和家乡地址绑定,建立UE与PDN-GW之间的数据连接。
702,PDN-GW接收到绑定更新请求消息后,PDN-GW判断是否已经存在该UE的S6b会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。或者PDN-GW判断是否与该UE之间已有安全联盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全参数索引SPI和UE标识。如果已有该UE的S6b接口会话存在,或者与该UE之间已有安全联盟建立时,则说明原来PDN-GW 已经向AAA服务器申请过针对该UE的鉴权认证,此时,则PDN-GW发送认证请求给AAA服务器。认证请求消息中包括UE标识,还包括网络标识。网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。
703,AAA服务器根据配置的策略判定用户设备接入是否为可信接入,并发送认证响应消息到PDN-GW,消息中包括可信关系信元,取值为“可信”或“非可信”或“3GPP”,指示用户设备接入为可信非3GPP接入或非可信非3GPP接入或3GPP接入,此处取值为“可信”,指示为可信非3GPP 接入。
AAA服务器判定用户设备接入是否为可信接入的方法可以为:在策略中包括网络标识与可信关系的对应关系,AAA服务器根据认证请求消息中的网络标识,查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断,而认证请求消息中不包括接入网标识,但包含接入类型时,AAA服务器也可以根据接入类型构造接入网标识。具体方法为:接入类型一般是整数类型的表示方法,如0表示WLAN, 2001表示HRPD等。因此,AAA服务器根据接入类型,查表得知接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网标识的前缀,接入网前缀即为“WLAN”,“HRPD”这样的字符串,接入网标识除前缀之外的附加字符串可以没有,或者由AAA服务器自己决定生成规则。
判定方法可以采用如下方式实现:策略中包含可信关系与网络标识对应的记录,查询配置的策略数据表,如与网络标识对应的可信关系为可信接入则判定本次UE接入为可信接入,可信关系为非可信接入则判定本次 UE接入为非可信接入。
704,PDN-GW发送绑定更新确认消息给UE。
705,PDN-GW接收到AAA服务器指示用户设备接入为可信接入的认证响应信息后,在任意时间可发起与UE间的Child SA建立过程。若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA。
本发明实施例在UE通过S2c接口从可信非3GPP接入网络接入EPC 网络时,PDN-GW收到UE的绑定更新请求Binding Update消息时,如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则发送认证请求消息给鉴权认证设备,并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系,此处为可信接入,建立或更新S2c隧道数据安全通道。从而使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图8是根据本发明另一个实施例的非可信非3GPP接入网络采用S2c 接口接入EPS网络的数据安全通道的处理方法的示意流程图。图8的方法与图7的方法相对应,因此适当省略部分详细描述。
801,UE发送绑定更新请求Binding Update消息到PDN-GW,使得 PDN-GW将UE的本地地址和家乡地址绑定,建立UE与PDN-GW之间的数据连接。
802,PDN-GW接收到绑定更新请求消息后,PDN-GW判断是否已经存在该UE的S6b会话或者与该UE之间已有安全联盟建立。如果已有该 UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则说明原来PDN-GW已经向AAA服务器申请过针对该UE的鉴权认证,此时, PDN-GW发送认证请求消息到AAA服务器。认证请求消息中包括UE标识,还包括网络标识。网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。
803,AAA服务器根据配置的策略判定该用户设备接入是否为可信接入,并发送认证响应消息到PDN-GW,消息中包括可信关系信元,取值为“可信”或“非可信”或“3GPP”,指示当前接入为可信非3GPP接入或非可信非3GPP接入或3GPP接入,此处取值为“非可信”,指示为非可信非 3GPP接入。PDN-GW接收到指示用户设备接入为非可信接入的消息后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload 中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
804,PDN-GW发送绑定更新确认消息给UE。
本发明实施例在UE通过S2c接口从非可信非3GPP接入网络接入EPC 网络时,PDN-GW收到UE的绑定更新请求Binding Update消息时,如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则发送认证请求消息给鉴权认证设备,并根据鉴权认证设备的认证响应消息中指示的用户设备接入的可信关系,此处为非可信接入,建立或更新S2c 隧道数据安全通道。从而使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图9是根据本发明另一个实施例的3GPP接入网络采用S2c接口接入 EPS网络的数据安全通道的处理的方法的示意流程图。
901,UE发送PDN(Packet Data Network,分组数据网)连接请求给 MME。
902,MME发送会话建立请求给PDN-GW,为该UE建立PDN连接。会话建立请求中包括UE标识,PDN类型,无线接入类型等。其中PDN类型指示本PDN连接为UE分配的IP地址的类型,如IPv4、IPv6、或IPv4v6。无线接入类型指示此时为3GPP接入,如E-UTRAN、UTRAN等。如果是切换场景,则在请求消息中还包括切换指示。
903,PDN-GW接收到会话建立请求消息后,判断是否已经存在该UE 的S6b会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。或者判断是否与该UE之间已有安全联盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全参数索引SPI和UE标识。如果已有该UE的S6b接口会话存在,或者与该UE之间已有安全联盟建立时,则说明原来PDN-GW已经向AAA服务器申请过针对该UE的鉴权认证,此时,PDN-GW发送认证请求给AAA服务器。认证请求消息中包括UE标识,还包括网络标识,网络标识包括如下信息的一种或几种:接入网标识、无线接入类型。
904,AAA服务器根据配置的策略判定用户设备接入是否为可信接入,并发送认证响应消息到PDN-GW,消息中包括可信关系信元,取值为“可信”或“非可信”或“3GPP”,指示用户设备接入为可信非3GPP接入或非可信非3GPP接入或3GPP接入,此处取值为“3GPP”,指示为3GPP接入。 PDN-GW接收到指示当前接入为3GPP接入的消息后,不再发起Child SA 建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
AAA服务器判定用户设备接入是否为可信接入的方法可以为:在策略中包括网络标识与可信关系的对应关系,AAA服务器根据认证请求消息中的网络标识,查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断,而认证请求消息中不包括接入网标识,但包含无线接入类型时,AAA服务器也可以根据无线接入类型构造接入网标识。具体方法为:无线接入类型一般是整数类型的表示方法,如3 表示WLAN,6表示E-UTRAN等。因此,AAA服务器根据无线接入类型,查表得知无线接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网标识的前缀。接入网标识前缀即为“WLAN”,“E-UTRAN”这样的字符串,接入网标识除前缀之外的附加字符串可以没有,或者由AAA 服务器自己决定生成规则。
判定方法可以采用如下方式实现:策略中包含可信关系与网络标识对应的记录,查询配置的策略数据表,如与网络标识对应的可信关系为可信接入则判定用户设备接入为可信接入,可信关系为非可信接入则判定用户设备接入为非可信接入,可信关系为3GPP接入则判定为3GPP接入。
905,PDN-GW发送会话建立确认消息给MME。
906,MME给UE发送PDN连接请求的响应消息。
本发明实施例在UE通过S2c接口由3GPP接入网络接入EPC网络时, MME根据UE的PDN连接请求发送会话建立请求消息给PDN-GW,如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则 PDN-GW发送认证请求消息给鉴权认证设备,并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系,此处为3GPP接入,建立或更新 S2c隧道数据安全通道。从而使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图10是本发明又一个实施例的3GPP接入网络采用S2c接口接入EPS 网络的数据安全通道的处理方法的过程的示意流程图。PDN-GW接收分组数据网连接建立请求,根据建立请求消息中的信息判断用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。
1001,UE发送PDN连接请求给MME。
1002,MME发送会话建立请求给PDN-GW,为此UE建立PDN连接。会话建立请求中包括UE标识,PDN类型,无线接入类型等信息。无线接入类型指示此时为3GPP接入,如E-UTRAN、UTRAN等。PDN类型指示本PDN连接为UE分配的IP地址的类型,如IPv4、IPv6、或IPv4v6。如果是切换场景,则在请求消息中还包括切换指示。
PDN-GW判断是否已经存在该UE的S6b会话,即是否已有该UE的 S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。或者PDN-GW判断是否与该UE之间已有安全联盟建立,即此UE 是否已有安全上下文存在,安全上下文包括安全参数索引SPI和UE标识。如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,则说明原来PDN-GW已经向AAA服务器申请过针对该UE的鉴权认证,此时,PDN-GW根据会话建立请求中的无线接入类型信息判定用户设备接入的可信关系,确定此时为3GPP接入。PDN-GW不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
1003,PDN-GW发送会话建立确认消息给MME。
1004,MME给UE发送PDN连接请求的响应消息。
本发明实施例在UE通过S2c接口由3GPP接入网络接入EPC网络时, MME根据UE的PDN连接请求发送会话建立请求消息给PDN-GW, PDN-GW判断若已经存在该UE的S6b接口会话或者与该UE之间已有安全联盟建立,则根据会话建立请求消息中的信息确定用户设备接入的可信关系,此处为3GPP接入,建立或更新S2c隧道数据安全通道。从而使 PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图11是本发明又一个实施例的3GPP接入网络采用S2c接口接入EPS 网络的数据安全通道的处理方法的过程的示意流程图。PDN-GW接收到UE 的安全联盟建立请求,发送鉴权认证请求消息给鉴权认证设备,并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系,建立或更新S2c 隧道数据安全通道。
1101,UE发送PDN连接请求给MME。
1102,MME发送会话建立请求给PDN-GW,为此UE建立PDN连接。会话建立请求中包括UE标识,PDN类型,无线接入类型等。其中PDN类型指示本PDN连接为UE分配的IP地址的类型,如IPv4、IPv6、或IPv4v6。无线接入类型指示此时为3GPP接入,如E-UTRAN、UTRAN等。如果是切换场景,则在请求消息中还包括切换指示。
1103,PDN-GW发送会话建立确认消息给MME。
1104,MME给UE发送PDN连接请求的响应消息。
1105,UE发送安全联盟建立请求给PDN-GW在UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,其中包括APN(Access Point Name,接入点名称) 信息。
1106,PDN-GW发送鉴权认证请求消息到AAA服务器,注册APN和 PDN-GW信息,上述请求消息中包括UE标识。还可以包括网络标识,网络标识包括如下信息的一种或几种:接入网标识、无线接入类型。
1107,AAA服务器根据配置的策略判定用户设备接入的可信关系,发送鉴权认证响应消息到PDN-GW,其中包括可信关系信元,取值为“可信”或“非可信”或“3GPP”或“UNKNOWN”,此时指示为“3GPP”或“UNKNOWN”,取值为“3GPP”表示当前为3GPP接入,取值为“UNKNOWN”表示AAA服务器无法给出该用户设备接入的可信关系。当PDN-GW收到指示可信关系为“UNKNOWN”的消息后,根据步骤1102 中收到的会话建立请求中的无线接入类型信息判定用户设备接入的可信关系,此时为3GPP接入。
PDN-GW接收到AAA发送的指示用户设备接入为3GPP接入的消息,或接收到指示用户设备接入的可信关系为“UNKNOWN”的消息后自行判定该用户设备接入为3GPP接入,则不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA 建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果PDN-GW与UE之间已经有Child SA存在,则PDN-GW发起删除Child SA的过程。
AAA服务器判定用户设备接入是否为可信接入的方法可以为:在策略中包括网络标识与可信关系的对应关系,AAA服务器根据认证请求消息中的网络标识,查询配置的策略确定用户设备接入的可信关系。若策略中需要根据接入网标识进行可信关系的判断,而认证请求消息中不包括接入网标识,但包含无线接入类型时,AAA服务器也可以根据无线接入类型构造接入网标识。具体方法为:无线接入类型一般是整数类型的表示方法,如3 表示WLAN,6表示E-UTRAN等。因此,AAA服务器根据无线接入类型,查表得知无线接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网标识的前缀。接入网标识前缀即为“WLAN”,“E-UTRAN”这样的字符串,接入网标识除前缀之外的附加字符串可以没有,或者由AAA 服务器自己决定生成规则。
判定方法可以采用如下方式实现:策略中包含可信关系与网络标识对应的记录,查询配置的策略数据表,如与网络标识对应的可信关系为可信接入则判定用户设备接入为可信接入,可信关系为非可信接入则判定用户设备接入为非可信接入,可信关系为3GPP接入则判定为3GPP接入,如果查找不到相应记录则返回“UNKNOWN”,表明无法判断用户设备接入的可信关系。
1108,PDN-GW发送安全联盟建立响应消息到UE,其中包括PDN-GW 给UE分配的IP地址。
本发明实施例在UE通过S2c接口由3GPP接入网络接入EPC网络时, PDN-GW接收到UE的安全联盟建立请求,则发送鉴权认证请求消息给鉴权认证设备,并根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系,此处指示为3GPP接入或无法确定,建立或更新S2c隧道数据安全通道。从而使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图12是根据本发明一个实施例的鉴权认证设备的框图。图12的鉴权认证设备120的非限制性例子是图3-图5、图7-图9中所示的归属用户服务器/鉴权认证和计费服务器设备,包括接收单元1201、鉴权单元1202和发送单元1203。
接收单元1201用于接收接入侧的鉴权认证请求。鉴权单元1202用于对所接收的鉴权认证请求进行鉴权,确定用户设备接入的可信关系。当已经存在该UE的S6b会话时,通知发送单元向PDN-GW发送包含可信关系指示信息的消息。发送单元1203,用于向PDN-GW发送包含可信关系指示信息的消息。
本发明实施例在收到接入侧的鉴权认证请求时,确认本次用户设备接入的可信关系,如果已有该UE的S6b接口会话存在则发送包含用户设备接入可信关系信息的消息给PDN-GW,使PDN-GW可以正确建立和更新S2c 隧道数据安全通道。
接收单元1201接收接入侧发送的鉴权认证请求。UE从S2c接口接入 EPC网络时,接收单元会接收到接入侧的鉴权认证请求,申请对本次接入进行鉴权认证。因为接入的方式不同,当UE从可信非3GPP接入网络接入时,此处的接入侧指可信非3GPP接入网络,当UE从非可信非3GPP接入网络接入时,此处的接入侧是指非可信非3GPP接入网络或ePDG。
鉴权单元1202根据所接收的鉴权认证请求中携带的参数判断本次的用户设备接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。鉴权单元根据配置的策略判定用户设备接入是否为可信接入,策略中包括接入网标识(漫游场景下还需要拜访地网络标识)与可信关系的对应关系。判定的方法可以为:根据鉴权认证请求消息中的接入网络标识(漫游场景下还需要拜访地网络标识),查询配置的策略确定用户设备接入的可信关系。若鉴权认证请求消息中不包括接入网标识,需要根据接入类型标识构造接入网络标识。具体为:接入类型一般是整数类型的表示方法,如0表示WLAN,2001表示HRPD等。接入网络前缀即为“WLAN”,“HRPD”这样的字符串,鉴权单元1202根据接入类型,查表得知接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网络标识的前缀。接入网络标识除前缀之外的附加字符串可以没有,或者生成规则由鉴权认证设备自己决定。
判定方法可以采用如下方式:查询配置的策略数据表,找到与接入网络标识(漫游场景下还需要拜访地网络标识)对应的可信关系,如可信关系为可信接入则判定当前接入为可信接入,可信关系为非可信接入则判定当前接入为非可信接入。
鉴权单元判断是否已经存在该接入UE的S6b会话,即是否已有该UE 的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。如果已有该UE的S6b接口会话存在,则说明原来PDN-GW 已经向鉴权认证设备申请过针对该UE的鉴权认证。此时,鉴权单元通知发送单元发送消息给PDN-GW,其中包含指示用户设备接入可信关系的信息,即该用户设备接入是可信非3GPP接入还是非可信非3GPP接入。
发送单元1203发送消息给PDN-GW,其中包括可信关系信元,取值为“可信”或“非可信”,“可信”表示为可信接入,“非可信”表示为非可信接入。PDN-GW根据接收到的用户设备接入的可信关系,建立或更新S2c 隧道数据安全通道。
因此,本发明实施例在接收单元收到接入侧的鉴权认证请求时,鉴权单元确定用户设备接入的可信关系,当已有该用户设备的S6b接口会话存在时,发送单元发送包含用户设备接入可信关系信息的消息给PDN-GW,使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
图13是根据本发明另一个实施例的网关设备的框图。图13的网关设备130的非限制性例子是图3-图5、图7-图11所示的分组数据网关,包括接收单元1301、确认单元1302、发送单元1303和建立单元1304。
接收单元1301接收用户设备的分组数据网连接建立请求,以及接收鉴权认证设备发送的认证响应消息,认证响应消息中包括用户设备接入的可信关系信息;确认单元1302在接收单元接收到分组数据网连接建立请求时,确认若存在该用户设备的S6b会话或者与该用户设备之间已有安全联盟,则通知发送单元向鉴权认证设备发送认证请求消息;发送单元1303向鉴权认证设备发送所述认证请求消息;建立单元1304根据认证响应消息中的可信关系信息,建立或更新S2c隧道数据安全通道。
本实施例在网关设备接收到分组数据网连接建立请求时,发送认证请求消息给鉴权认证设备,根据鉴权认证设备的认证响应消息中指示的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。
接收单元1301接收用户设备的分组数据网连接建立请求。当UE从非 3GPP接入网络由S2c接口接入EPC时,所接收的分组数据网连接建立请求是UE发送的绑定更新BindingUpdate消息;当UE从3GPP接入网络由 S2c接口接入EPC时,所接收的分组数据网连接建立请求是MME发送的会话建立消息,该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。
确认单元1302确认是否已经存在本次接入UE的S6b会话,即是否已有该UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID 和用户设备标识。或者确认单元确认是否与该UE之间已有安全联盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全参数索引SPI和 UE标识。如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立,则说明原来网关设备已经向鉴权认证设备申请过针对该UE的鉴权认证。此时,通知发送单元1303向鉴权认证设备发送认证请求。
接收单元1301接收鉴权认证设备返回的认证响应消息,消息中包含指示当前接入可信关系的信息,即当前接入是可信非3GPP接入、非可信非 3GPP接入或3GPP接入。具体方式为消息中包括可信关系信元,取值为“可信”或“非可信”或“3GPP”,指示当前接入为可信3GPP接入或非可信 3GPP接入或3GPP接入。
建立单元1304根据接收到的响应消息中指示的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。当消息中指示该用户设备接入为可信接入,则建立单元在任意时间可发起与UE间的Child SA建立过程。若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA。当消息中指示该用户设备接入为非可信接入或3GPP接入,则不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果网关设备与UE之间已经有Child SA存在,则建立单元发起删除Child SA的过程。
因此,本发明实施例的网关设备在接收到分组数据网连接建立请求时,如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立,则发送认证请求给鉴权认证设备,根据鉴权认证设备的响应消息中指示的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道,使得在UE 通过S2c接口接入EPS网络时,保障正确的建立或更新S2c隧道数据安全通道。
图14是根据本发明又一个实施例的网关设备的框图。图14的网关设备140的非限制性例子是图10、图11所示的分组数据网关,包括接收单元 1401、确认单元1402和建立单元1403。
接收单元1401接收用户设备的分组数据网连接建立请求。确认单元 1402在接收单元接收到分组数据网连接建立请求时,确认若存在该用户设备的S6b会话或者与该用户设备之间已有安全联盟,则根据请求中的无线接入类型信息确定本次用户设备接入的可信关系。建立单元1403根据确认单元确定的用户设备接入的可信关系,建立或更新S2c隧道的数据安全通道。
接收单元1401接收用户设备的分组数据网连接建立请求,该分组数据网连接建立请求是MME发送的会话建立消息,该会话建立消息是移动性管理网元接收到用户设备发送的分组数据网连接请求后发送的。会话建立请求中包括UE标识,PDN类型,无线接入类型等信息。无线接入类型指示此时为3GPP接入,如E-UTRAN、UTRAN等。PDN类型指示本PDN连接为UE分配的IP地址的类型,如IPv4、IPv6、或IPv4v6。如果是切换场景,则在请求消息中还包括切换指示。
确认单元1402确认是否已经存在该UE的S6b会话,即是否已有该 UE的S6b接口的会话上下文存在,会话上下文包括会话标识Session ID和用户设备标识。或者确认单元1402确认是否与该UE之间已有安全联盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全参数索引SPI 和UE标识。如果已有该UE的S6b接口会话存在或者与该UE之间已有安全联盟建立时,说明原来网关设备已经向鉴权认证设备申请过针对该UE 的鉴权认证。此时,确认单元根据接收单元接收的分组数据网连接建立请求中的无线接入类型信息判定本次用户设备接入的可信关系,确定此时为 3GPP接入。
建立单元1403根据确认单元确定的用户设备接入的可信关系,建立或更新S2c隧道数据安全通道。该用户设备接入为3GPP接入,则建立单元不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload 中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果网关设备与UE之间已经有 Child SA存在,则建立单元发起删除Child SA的过程。
本发明实施例在UE通过S2c接口由3GPP接入网络接入EPC网络时, MME根据UE的PDN连接请求发送会话建立请求消息给网关设备,网关设备确认是否已经存在该UE的S6b接口会话或者与该UE之间已有安全联盟建立,若已有S6b接口会话或与该UE之间已有安全联盟建立,则根据会话建立请求消息中的信息确定本次用户设备接入的可信关系,此处为3GPP 接入,建立或更新S2c隧道数据安全通道。从而使PDN-GW可以区分接入场景,完成数据安全通道的建立或更新。
根据本发明实施例的通信***可包括上述鉴权认证设备120和/或网关设备130。
根据本发明实施例的通信***也可包括上述鉴权认证设备120和/或网关设备140。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM, Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (5)
1.一种鉴权认证设备,其特征在于,包括:
接收单元,用于接收接入侧的鉴权认证请求;
鉴权单元,用于对所述鉴权认证请求进行鉴权,确定用户设备接入的可信关系,当所述用户设备的S6b会话存在时,通知发送单元向分组数据网关发送包含所述可信关系信息的消息;
发送单元,用于向所述分组数据网关发送消息,所述消息中包含所述可信关系信息;
当所述可信关系信息指示所述用户设备接入为可信接入,则所述发送单元用于向所述分组数据网关发送消息,所述消息中包含所述可信关系信息,包括:
所述发送单元用于向分组数据网关发送包含所述可信关系信息的消息,以便所述分组数据网关接受所述用户设备发起的子安全联盟Child SA建立请求。
2.如权利要求1所述的鉴权认证设备,其特征在于,所述接入侧为可信非3GPP接入网络或非可信非3GPP接入网络或演进分组数据网关。
3.如权利要求1或2任一所述的鉴权认证设备,其特征在于,当所述用户设备的S6b会话存在时,鉴权单元通知发送单元向分组数据网关发送包含所述可信关系信息的消息,包括:当所述用户设备的S6b接口的会话上下文存在时,所述鉴权单元通知发送单元向分组数据网关发送包含所述可信关系信息的消息。
4.如权利要求1或2任一所述的鉴权认证设备,其特征在于,根据配置的策略确定所述用户设备接入的可信关系,具体包括:鉴权单元根据所述鉴权认证请求中的信息查询所述配置的策略确定所述可信关系,所述配置的策略包括网络标识与可信关系的对应关系,所述网络标识包括接入网标识、接入网络内使用的安全机制、接入类型以及拜访地网络标识中的至少一种或者多种。
5.如权利要求1或2任一所述的鉴权认证设备,其特征在于,所述消息中包含所述可信关系信息,具体包括:所述消息中包含可信关系信元,所述可信关系信元取值为可信或非可信,指示所述用户设备接入为可信接入或非可信接入。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410816594.3A CN104506406B (zh) | 2011-11-03 | 2011-11-03 | 一种鉴权认证设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410816594.3A CN104506406B (zh) | 2011-11-03 | 2011-11-03 | 一种鉴权认证设备 |
| CN201180002592.5A CN103201986B (zh) | 2011-11-03 | 2011-11-03 | 一种数据安全通道的处理方法及设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180002592.5A Division CN103201986B (zh) | 2011-11-03 | 2011-11-03 | 一种数据安全通道的处理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506406A CN104506406A (zh) | 2015-04-08 |
| CN104506406B true CN104506406B (zh) | 2018-10-30 |
Family
ID=52948121
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410816594.3A Active CN104506406B (zh) | 2011-11-03 | 2011-11-03 | 一种鉴权认证设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506406B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104796887B (zh) * | 2015-04-14 | 2018-08-21 | 大唐移动通信设备有限公司 | 一种安全信息交互的方法和装置 |
| CN107770770A (zh) * | 2016-08-16 | 2018-03-06 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| EP3513531B1 (en) * | 2016-09-18 | 2021-06-23 | Alcatel Lucent | Unified security architecture |
| WO2018084686A1 (ko) | 2016-11-07 | 2018-05-11 | 엘지전자 주식회사 | 세션을 관리하는 방법 |
| WO2021031055A1 (zh) * | 2019-08-18 | 2021-02-25 | 华为技术有限公司 | 通信方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103201986A (zh) * | 2011-11-03 | 2013-07-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106812B (zh) * | 2006-07-11 | 2011-11-02 | 华为技术有限公司 | 通信网络及用户设备接入方法 |
| CN101316205B (zh) * | 2007-05-28 | 2011-08-10 | 华为技术有限公司 | 触发安全隧道建立方法及其装置 |
| EP2362688B1 (en) * | 2010-02-23 | 2016-05-25 | Alcatel Lucent | Transport of multihoming service related information between user equipment and 3GPP evolved packet core |
-
2011
- 2011-11-03 CN CN201410816594.3A patent/CN104506406B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103201986A (zh) * | 2011-11-03 | 2013-07-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506406A (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103201986B (zh) | 一种数据安全通道的处理方法及设备 | |
| US9992625B2 (en) | System and method for location reporting in an untrusted network environment | |
| US9949118B2 (en) | Access through non-3GPP access networks | |
| US20180109953A1 (en) | Method, Apparatus, and System for Preventing Diameter Signaling Attack in Wireless Network | |
| CN106465227A (zh) | 经由无线设备的多个无线接入来支持基于网络的ip流移动性的方法和设备 | |
| CN103039097B (zh) | 一种隧道数据安全通道的建立方法 | |
| CN107800664A (zh) | 一种防止信令攻击方法及装置 | |
| CN105828413B (zh) | 一种d2d模式b发现的安全方法、终端和*** | |
| CN101335675B (zh) | 一种策略控制方法 | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| CN103067342B (zh) | 一种使用eap进行外部认证的设备、***及方法 | |
| CN104506406B (zh) | 一种鉴权认证设备 | |
| US20110088080A1 (en) | Apparatus and Method for Authorization for Access Point Name (APN) Usage in a Specific Access | |
| CN108464027A (zh) | 对于未认证用户通过wlan接入3gpp演进分组核心支持紧急服务 | |
| JP4690423B2 (ja) | コアネットワークの方法及び装置 | |
| CN103002429B (zh) | 一种对用户设备能力进行处理的方法和*** | |
| CN105848249A (zh) | 接入点名称apn的处理方法、装置及*** | |
| CN101605373A (zh) | 一种用户设备接入apn的控制方法及*** | |
| CN1567863B (zh) | 一种对外部网络接入的控制方法 | |
| CN106413122A (zh) | 一种建立紧急pdn连接的方法及设备 | |
| CN105791256A (zh) | 一种获取用户信息的方法、装置及*** | |
| JP6151819B2 (ja) | データセキュリティチャネル処理方法およびデバイス |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |