WO2016101267A1 - 用户设备的非可信无线局域网接入控制方法、设备和*** - Google Patents

Abstract

本发明实施例提供一种UE的非可信WLAN接入控制方法、设备和***，此方法包括：ePDG接收UE发送的IPSec隧道建立请求，IPSec隧道建立请求包括UE的本地IP地址，WLAN为UE的拜访地WLAN，ePDG为UE的归属地ePDG；根据UE的本地IP地址，获取UE的漫游信息；向AAA服务器发送该UE的漫游信息；接收AAA服务器发送的UE接入ePDG的判决结果，UE接入ePDG的判决结果为允许UE接入ePDG或者禁止UE接入ePDG；根据UE接入ePDG的判决结果，对UE的非可信WLAN接入进行控制。

Description

用户设备的非可信无线局域网接入控制方法、设备和*** 技术领域

本发明实施例涉及通信技术领域，尤其涉及一种用户设备(英文：User Equipment，简称：UE)的非可信无线局域网(英文：Wireless Local Area Networks，简称：WLAN)接入控制方法、设备和***。

背景技术

目前，第三代合作伙伴计划(英文：The 3rd Generation Partnership Project，简称：3GPP)标准定义了WLAN接入架构中涉及的一种架构，一种是基于S2a接口可信接入的网络部署，一种是基于S2b接口的非可信接入的网络部署，在基于S2b接口的非可信接入的WLAN下，电信运营商部署一个演进的分组数据网关(英文：evolved Packet Data Gateway，简称：ePDG)和认证、授权与计费(Authentication,Authorization and Accounting，简称：AAA)服务器，升级现网的归属地签约用户服务器(英文：Home Subscriber Server，简称：HSS)、分组数据网关(英文：Packet Data Network Gateway，简称：PGW)和移动管理实体(英文：Mobility Management Entity，简称：MME)就可以完成语音WLAN的业务接入。若UE在漫游场景下接入WLAN，并且WLAN是基于S2b接口的非可信接入的网络，目前UE仅支持选择归属地的ePDG，而AAA/HSS无法获取UE的位置信息，进而网络侧无法对该UE的接入进行控制。

发明内容

本发明实施例提供一种UE的非可信WLAN接入控制方法、设备和***，用于使得网络侧可以对发生漫游的UE的非可信WLAN接入进行控制。

第一方面，本发明实施例提供一种UE的非可信WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，包括：ePDG接收UE发送的互联网协议安全(英文：Internet Protocol Security，简称：IPSec)隧道建立请求，所述IPSec隧道建立请求包括所述UE的本地IP地址，所述WLAN为所述UE 的拜访地WLAN，所述ePDG为所述UE的归属地ePDG；所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息；所述ePDG向AAA服务器发送所述UE的漫游信息；所述ePDG接收所述AAA服务器发送的所述UE接入所述ePDG的判决结果，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；所述ePDG根据所述UE接入所述ePDG的判决结果，对所述UE的非可信WLAN接入进行控制。

在第一方面的第一种可能的实现方式中，所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述ePDG根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述UE的漫游信息包括所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第二方面，本发明实施例提供一种UE的非可信WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，包括：AAA服务器获取所述UE的漫游信息；所述AAA服务器向HSS发送所述UE的漫游信息，以使所述HSS根据所述UE的漫游信息获取所述UE接入ePDG的判决结果，所述ePDG为所述UE的归属地ePDG；所述AAA服务器接收所述HSS发送的所述UE接入所述ePDG的判决结果；所述AAA服务器向所述ePDG发送所述UE接入所述ePDG的判决结果；其中，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG。

在第二方面的第一种可能的实现方式中，所述AAA服务器获取所述UE的漫游信息，包括：所述AAA服务器接收所述ePDG发送的所述UE的漫游信息；或者，所述AAA服务器接收所述ePDG发送所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

在第二方面的第二种可能的实现方式中，所述AAA服务器获取所述UE的漫游信息，包括：所述AAA服务器接收所述WLAN的接入设备发送的所述UE的漫游信息；或者，所述AAA服务器接收所述WLAN的接入设备发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

结合第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述AAA服务器根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述AAA服务器根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第二方面或第二方面的第一种至第三种可能的实现方式中的任意一种，在第二方面的第四种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第三方面，本发明实施例提供一种UE的非可信WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，包括：HSS获取所述UE的漫游信息；所述HSS根据使用所述UE的用户的签约数据与所述UE的漫游信息，获取所述UE接入演进分组数据网关ePDG的判决结果，所述ePDG为所述UE的拜访地ePDG，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；所述HSS向AAA服务器发送所述UE接入所述ePDG的判决结果，以使所述AAA服务器将所述UE接入所述ePDG的判决结果转发至所述ePDG，使得所述ePDG根据所述UE接入所述ePDG的判决结果对所述UE的非可信WLAN接入进行控制。

在第三方面的第一种可能的实现方式中，所述HSS获取所述UE的漫游信息，包括：所述HSS接收所述AAA服务器发送所述UE的漫游信息，或者，所述HSS接收所述AAA服务器发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

结合第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述HSS根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述HSS根据所述UE的本地IP地址，以及所述UE的本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第四方面，本发明实施例提供一种UE的非可信WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，包括：

当所述UE接入所述WLAN时，所述WLAN的接入设备为所述UE分配本地互联网协议IP地址；所述WLAN的接入设备向认证授权计费AAA服务器发送所述UE的本地IP地址。或者，

当所述UE接入所述WLAN时，所述WLAN的接入设备获取所述UE的漫游信息；所述WLAN的接入设备向认证授权计费AAA服务器发送所述UE的漫游信息。

在本发明第四方面的第一种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第五方面，本发明实施例提供一种ePDG，包括：接收单元，用于接收UE发送的IPSec隧道建立请求，所述IPSec隧道建立请求包括所述UE的本地IP地址，所述WLAN为所述UE的拜访地WLAN，所述ePDG为所述UE的归属地ePDG；处理单元，用于根据所述UE的本地IP地址，获取所述UE的漫游信息；发送单元，用于向AAA服务器发送所述UE的漫游信息；所述接收单元，还用于接收所述AAA服务器发送的所述UE接入所述ePDG的判决结果，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；所述处理单元，还用于根据所述UE接入所述ePDG的判决结果，对所述UE的非可信WLAN接入进行控制。

在第五方面的第一种可能的实现方式中，所述处理单元用于根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第五方面或第四方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，所述UE的漫游信息包括所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第六方面，本发明实施例提供一种AAA服务器，包括：处理单元，用于获取所述UE的漫游信息；发送单元，用于向HSS发送所述UE的漫游信息，以使所述HSS根据所述UE的漫游信息获取所述UE接入ePDG的判决结果， 所述ePDG为所述UE的归属地ePDG；接收单元，用于接收所述HSS发送的所述UE接入所述ePDG的判决结果；所述发送单元，还用于向所述ePDG发送所述UE接入所述ePDG的判决结果；其中，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG。

在第六方面的第一种可能的实现方式中，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述ePDG发送的所述UE的漫游信息；或者，所述处理单元，用于接收所述ePDG发送所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

在第六方面的第二种可能的实现方式中，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述WLAN的接入设备发送的所述UE的漫游信息；或者，所述处理单元，用于接收所述WLAN的接入设备发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

结合第六方面的第一种可能的实现方式或第六方面的第二种可能的实现方式，在第六方面的第三种可能的实现方式中，所述处理单元用于根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第六方面或第六方面的第一种至第三种可能的实现方式中的任意一种，在第六方面的第四种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第七方面，本发明实施例提供一种HSS，包括：处理单元，用于获取所述UE的漫游信息；以及根据使用所述UE的用户的签约数据与所述UE的漫游信息，获取所述UE接入ePDG的判决结果，所述ePDG为所述UE的拜访地ePDG，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；发送单元，用于向AAA服务器发送所述UE接入所述ePDG的判决结果，以使所述AAA服务器将所述UE接入所述ePDG的判决结果转发至所述ePDG，使得所述ePDG根据所述UE接入所述ePDG的判决结果对所述UE的非可信WLAN接入进行控制。

在第七方面的第一种可能的实现方式中，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述AAA服务器发送所述UE的漫游信息，或者，所述处理单元，用于接收所述AAA服务器发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。

结合第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，所述处理单元用于根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述UE的本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。

结合第七方面或第七方面的第一种可能的实现方式或第七方面的第二种可能的实现方式，在第七方面的第三种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第八方面，本发明实施例提供一种WLAN的接入设备，包括：处理单元和发送单元。

所述处理单元，用于当用户设备UE接入所述WLAN时，为所述UE分配本地互联网协议IP地址，所述WLAN为所述UE的拜访地WLAN；发送单元，用于向认证授权计费AAA服务器发送所述UE的本地IP地址。或者，

所述处理单元，用于当用户设备UE接入所述WLAN时，获取所述UE的漫游信息，所述WLAN为所述UE的拜访地WLAN；所述发送单元，用于向认证授权计费AAA服务器发送所述UE的漫游信息。

在本发明第八方面的第一种可能的实现方式中，所述UE的漫游信息包括：所述UE接入的PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。

第九方面，本发明实施例提供一种UE的非可信WLAN接入控制***，包括：UE、本发明第五方面或本发明第五方面的各种可能的实现方式提供的ePDG、本发明第六方面或本发明第六方面的各种可能的实现方式提供的AAA服务器、本发明第七方面或本发明第七方面的各种可能的实现方式提供的HSS；本发明第八方面或本发明第八方面的第一种可能的实现方式提供的WLAN的接入设备。

本发明实施例提供的UE的非可信WLAN接入控制方法、设备和***， 通过ePDG接收UE发送的包括UE的本地IP地址的IPSec隧道建立请求，根据所述UE的IP地址，获取该UE的漫游信息，然后向AAA服务器发送该UE的漫游信息，再接收该AAA服务器发送的该UE接入所述ePDG的判决结果，并根据该UE接入所述ePDG的判决结果，对UE的非可信WLAN接入进行控制。从而实现UE在漫游至非可信WLAN时，AAA服务器/HSS可以获取该UE的漫游信息，进而实现归属地ePDG对UE的接入进行控制。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的UE接入非可信WLAN的一种网络架构图；

图2为本发明UE的非可信WLAN接入控制方法实施例一的流程图；

图3为本发明UE的非可信WLAN接入控制方法实施例二的流程图；

图4为本发明UE的非可信WLAN接入控制方法实施例三的流程图；

图5为本发明ePDG实施例一的结构示意图；

图6为本发明AAA服务器实施例一的结构示意图；

图7为本发明HSS实施例一的结构示意图；

图8为本发明ePDG实施例二的结构示意图；

图9为本发明AAA服务器实施例二的结构示意图；

图10为本发明HSS实施例二的结构示意图；

图11为本发明WLAN的接入设备实施例一的结构示意图；

图12为本发明WLAN的接入设备实施例二的结构示意图；

图13为本发明UE的非可信WLAN接入控制***实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明提供的UE接入非可信WLAN的一种网络架构图，如图1所示，当UE发生漫游时，UE发生漫游可以包括UE发生运营商之间漫游或者UE发生国际漫游或者省份间漫游或者市级间漫游，UE的运营商之间漫游例如是指使用该UE的用户属于移动运营商，而UE漫游至联通运营商或者电信运营商，UE发生国际漫游例如是指使用该UE的用户属于中国，而UE漫游至除中国之外的其它国家，如美国；UE发生省份间漫游例如是指示使用该UE的用户属于湖南省，而UE漫游至除湖南省之外的其它省份，如广东省；UE发生市级间漫游例如是指使用该UE的用户例如属于北京市，而该UE漫游至除北京市之外的其它市，如上海市。当UE发生漫游时，UE接入拜访地公共陆地移动网络(英文：Visit Public Land Mobile Network，简称：VPLMN)的非可信的WLAN中，目前UE只能支持通过WLAN接入至归属地公共陆地移动网络(英文：Home Public Land Mobile Network，简称：HPLMN)的各个网络设备，这些网络设备包括：ePDG、AAA服务器、HSS、策略与计费功能(Policy and Charging Rules Function，简称：PCRF)实体、互联网协议多媒体子***(英文：Internet Protocol Multimedia Subsystem，简称：IMS)，其中各个网络设备之间的通信接口如图1中所示。

在UE接入至非可信的WLAN的过程中，UE会先与WLAN的接入设备进行认证授权，获取该UE的本地(英文：Local)IP地址，该UE的本地IP地址会用于与UE的归属地ePDG建立IPSec隧道。在UE与WLAN完成认证授权之后，该UE与ePDG执行IKEv2过程执行EAP-AKA认证，并与该ePDG建立IPSec隧道，该UE与该ePDG建立IPSec隧道的过程可以为该UE向该ePDG发送IPSec隧道建立请求，该ePDG与AAA服务器/HSS进行认证授权，即该ePDG向该AAA服务器发送第一认证授权请求，该AAA服务器根据第一认证授权请求向HSS发送第二认证授权请求，该HSS根据该第二认证授权请求向该AAA服务器发送第二认证授权响应，该AAA服务器根据该第二认证授权响应向该ePDG发送第一认证授权响应，从而ePDG与AAA服务器/HSS完成该UE的认证授权过程；然后ePDG根据该第一认证授权响应向UE发送IPSec隧道建立响应，从而UE与ePDG完成IPSec隧道建立过程。可选地， WLAN的接入设备还可以与AAA服务器/HSS进行WLAN的认证授权，具体地，该WLAN的接入设备向AAA服务器发送第三认证授权请求，该AAA服务根据第三认证授权请求向HSS发送第四认证授权请求，该HSS根据该第四认证授权请求向该AAA服务器发送第四认证授权响应，该AAA服务器根据该第四认证授权响应向该WLAN的接入设备发送第三认证授权响应，从而WLAN的接入设备与AAA服务器/HSS完成该WLAN的认证授权过程。

其中，第一认证授权请求可以为扩展认证协议请求(英文：Diameter-Extended Authentication Protocol-Request，简称：DER)，第一认证授权响应可以为扩展认证协议响应(英文：Diameter-Extended Authentication Protocol-Answer，简称：DEA)；第二认证授权请求、第四认证授权请求可以为多媒体认证请求(英文：Multimedia-Authentication-Request，简称：MAR)，第二认证授权响应、第四认证授权响应可以为多媒体认证应答(英文：Multimedia-Authentication-Answer，简称：MAA)；第三认证授权请求可以为认证授权请求(英文：Authentication and Authorization Request，简称：AAR)，第三认证授权响应可以为认证授权应答(英文：Authentication and Authorization Answer，简称：AAA)。

基于图1所示的网络架构，本发明实施例提供如下各个实施例以实现UE的非可信WLAN接入控制。

图2为本发明UE的非可信WLAN接入控制方法实施例一的流程图，如图2所示，该WLAN为该UE的拜访地WLAN，本实施例的方法可以包括：

S101、ePDG接收UE发送的互联网协议安全(英文：Internet Protocol Security，简称：IPSec)隧道建立请求，所述IPSec隧道建立请求包括所述UE的本地IP地址，所述ePDG为所述UE的归属地ePDG。

S102、所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息。

S103、所述ePDG向AAA服务器发送所述UE的漫游信息。

S104、所述ePDG接收所述AAA服务器发送的所述UE接入所述ePDG的判决结果，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG。

S105、所述ePDG根据所述UE接入所述ePDG的判决结果，对所述UE的非可信WLAN接入进行控制。

本实施例中，UE接入至WLAN，该WLAN为非可信WLAN，并且，WLAN与AAA/HSS完成WLAN的认证授权之后，UE向UE的归属地的ePDG发送IPSec隧道建立请求，该IPSec隧道建立请求包括该UE的本地IP地址，ePDG接收UE发送的IPSec隧道建立请求之后，ePDG会向AAA/HSS对通过非可信WLAN接入的UE进行认证授权，然后ePDG根据IPSec隧道建立请求中包括的UE的本地IP地址，获取该UE的漫游信息，然后该ePDG向该AAA服务器发送该UE的漫游信息，例如：该ePDG将该UE的漫游信息携带在第一认证授权请求中发送给AAA服务器，该第一认证授权请求用于请求对该UE接入所述ePDG进行认证授权，该第一认证授权请求可以为DER。

相应地，AAA服务器接收到该ePDG发送的该UE的漫游信息，并将该UE的漫游信息转发给HSS，例如：若AAA服务器接收到该ePDG发送的包括该UE的漫游信息的第一认证授权请求，从该第一认证授权请求中获取该UE的漫游信息，然后该AAA服务器根据该第一认证授权请求将该UE的漫游信息携带在第二认证授权请求中发送给HSS，该第二认证授权请求用于请求对该UE接入所述ePDG进行认证授权。

相应地，HSS接收到AAA服务器发送的该UE的漫游信息，例如：若HSS接收到该AAA服务器发送的包括该UE的漫游信息的第二认证授权请求，从该第二认证授权请求中获取该UE的漫游信息；然后HSS根据该UE的漫游信息与使用该UE的用户的签约数据，获取该UE接入该ePDG的判决结果，该UE接入该ePDG的判决结果可以为允许该UE接入该ePDG或者禁止该UE接入该ePDG，该HSS再将该UE接入该ePDG的判决结果发送给AAA服务器，例如：该HSS可以将该ePDG的判决结果携带在第二认证授权响应中发送给AAA服务器。AAA服务器接收到该HSS发送的该UE接入该ePDG的判决结果，再将该UE接入该ePDG的判决结果发送给ePDG，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给ePDG，该ePDG从该第一认证授权响应中获取该UE接入该ePDG的判决结果。

在ePDG获取到该UE接入该ePDG的判决结果之后，ePDG可以根据该UE接入所述ePDG的判决结果，对所述UE的非可信WLAN接入进行控制。具体地，例如当该UE接入该ePDG的判断结果为允许该UE接入该ePDG， 该ePDG与该UE建立IPSec隧道；当该UE接入该ePDG的判断结果为禁止该UE接入该ePDG，该ePDG拒绝与该UE建立IPSec隧道。

本发明实施例提供的UE的非可信WLAN接入控制方法，通过ePDG接收UE发送的包括UE的本地IP地址的IPSec隧道建立请求，根据所述UE的本地IP地址，获取该UE的漫游信息，然后向AAA服务器发送该UE的漫游信息，再接收该AAA服务器发送的该UE接入所述ePDG的判决结果，并根据该UE接入所述ePDG的判决结果，对UE的非可信WLAN接入进行控制。从而实现UE在漫游至非可信WLAN时，AAA服务器/HSS可以获取该UE的漫游信息，进而实现归属地ePDG对UE的接入进行控制。

可选地，上述S102中的所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述ePDG根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。本实施例中，该ePDG中存储有本地IP地址与漫游信息的对应关系，该ePDG可以根据该UE的本地IP地址，获取该UE的本地IP地址与漫游信息的对应关系，获取与该UE的本地IP地址对应的漫游信息，将该UE的本地IP地址对应的漫游信息作为该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。该UE接入的PLMN的标识表示该UE在拜访地接入的PLMN的标识，例如：若UE的用户属于***的用户，该UE接入的PLMN的标识可以为中国移通的标识或者中国电信的标识；所述UE所处地域的标识表示该UE在拜访地的区域的标识，例如：若UE的用户属于北京的用户，该UE所处区域的标识可以为上海的标识等。该WLAN的标识即为该WLAN的服务集标识(英文：Service Set Identifier，简称：SSID)。

图3为本发明UE的非可信WLAN接入控制方法实施例二的流程图，如图3所示，该WLAN为该UE的拜访地WLAN，本实施例的方法可以包括：

S201、AAA服务器获取所述UE的漫游信息。

S202、所述AAA服务器向HSS发送所述UE的漫游信息，以使所述HSS根据所述UE的漫游信息获取所述UE接入ePDG的判决结果，所述ePDG为所述UE的归属地ePDG。

S203、所述AAA服务器接收所述HSS发送的所述UE接入ePDG的判 决结果。

S204、所述AAA服务器向所述ePDG发送所述UE接入所述ePDG的判决结果。

本实施例中，AAA服务器获取该UE的漫游信息，然后该AAA服务器将向该HSS发送该UE的漫游信息，该HSS接收该AAA服务器发送的该UE漫游信息之后，该HSS可以根据该UE的漫游信息与使用该UE的用户的签约数据获取该UE接入该UE的归属地ePDG的判决结果，实现了HSS可以对该UE的接入进行控制，其中，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG，并且该HSS向AAA服务器发送该UE接入该ePDG的判决结果，也实现了AAA服务器可以对该UE的接入进行控制，相应地，该AAA服务器接收该UE接入ePDG的判决结果之后，该AAA服务器向该ePDG转发该UE接入该ePDG的判决结果。该ePDG接收该ePDG的判决结果的处理过程可以参见本发明上述方法实施例一中的相关记载，此处不再赘述。

本发明实施例提供的UE的非可信WLAN接入控制方法，通过AAA服务器获取该UE的漫游信息，向HSS发送该UE的漫游信息，以使该HSS根据该UE的漫游信息获取该UE接入该UE的归属地ePDG的判决结果，然后该AAA服务器接收该HSS发送的该UE接入ePDG的判决结果，并向该ePDG发送该UE接入该ePDG的判决结果。从而实现UE在漫游至非可信WLAN时，AAA服务器/HSS可以获取该UE的漫游信息，进而实现归属地ePDG对UE的接入进行控制。

在本发明方法实施例二的第一种可行的实现方式中，AAA服务器接收该ePDG发送的UE的漫游信息，例如：该AAA服务器可以接收该ePDG发送的包括该UE的漫游信息的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权；然后该AAA服务器向HSS发送该UE的漫游信息，例如：该AAA服务器可以将该UE的漫游信息携带第二认证授权请求中发送给HSS，该HSS根据该UE的漫游信息和使用该UE的签约数据获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的该UE接入该ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG 发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例二的第二种可行的实现方式中，AAA服务器接收该ePDG发送的UE的本地IP地址，例如：该AAA服务器可以接收该ePDG发送的包括该UE的本地IP地址的第一认证授权请求，该第一认证授权请求为该ePDG根据UE发送的IPSec隧道建立请求发送的，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权；然后该AAA服务器根据该UE的本地IP地址获取该UE的漫游信息，再向HSS发送该UE的漫游信息，例如：该AAA服务器可以将该UE的漫游信息携带第二认证授权请求中发送给HSS，该HSS根据该UE的漫游信息和使用该UE的用户的签约数据获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的该UE接入该ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例二的第三种可行的实现方式中，AAA服务器接收该ePDG发送的UE的本地IP地址，例如：该AAA服务器可以接收该ePDG发送的包括该UE的本地IP地址的第一认证授权请求，该第一认证授权请求为该ePDG根据UE发送的IPSec隧道建立请求发送的，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权；然后该AAA服务器再向HSS发送该UE的本地IP地址，例如：该AAA服务器可以将该UE的本地IP地址携带第二认证授权请求中发送给HSS，该HSS根据该UE的本地IP地址获取该UE的漫游信息，以及该HSS根据该UE的漫游信息和使用该UE的用户的签约数据获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的该UE接入该ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例二的第四种可行的实现方式中，AAA服务器接收该WLAN的接入设备发送的UE的漫游信息，例如：在WLAN的接入设备与 AAA服务器/HSS进行WLAN的认证授权过程中，该AAA服务器可以接收该WLAN的接入设备发送的包括该UE的漫游信息的第三认证授权请求，该第三认证授权请求用于请求对该WLAN进行认证授权；然后该AAA服务器向HSS发送该UE的漫游信息，例如：该AAA服务器可以将该UE的漫游信息携带第四认证授权请求中发送给HSS，该第四认证授权请求用于请求对该WLAN进行认证授权；在WLAN的接入设备与该AAA服务器/HSS完成该WLAN的认证授权之后，该AAA服务器接收该ePDG发送的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权，该AAA服务器根据该第一认证授权请求向该HSS发送第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权；该HSS接收到该AAA服务器发送的第二认证授权之后，该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的该UE接入该ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例二的第五种可行的实现方式中，AAA服务器接收该WLAN的接入设备发送的UE的本地IP地址，例如：在WLAN的接入设备与AAA服务器/HSS进行WLAN的认证授权过程中，该AAA服务器可以接收该WLAN的接入设备发送的包括该UE的本地IP地址的第三认证授权请求，该第三认证授权请求用于请求对该WLAN进行认证授权；然后该AAA服务器根据该UE的本地IP地址获取该UE的漫游信息，再向HSS发送该UE的漫游信息，例如：该AAA服务器可以将该UE的漫游信息携带第四认证授权请求中发送给HSS，该第四认证授权请求用于请求对该WLAN进行认证授权；在WLAN的接入设备与该AAA服务器/HSS完成该WLAN的认证授权之后，该AAA服务器接收该ePDG发送的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权，该AAA服务器根据该第一认证授权请求向该HSS发送第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权；该HSS接收到该AAA服 务器发送的第二认证授权之后，该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的所述UE接入所述ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例二的第六种可行的实现方式中，AAA服务器接收该WLAN的接入设备发送的UE的本地IP地址，例如：在WLAN的接入设备与AAA服务器/HSS进行WLAN的认证授权过程中，该AAA服务器可以接收该WLAN的接入设备发送的包括该UE的本地IP地址的第三认证授权请求，该第三认证授权请求用于请求对该WLAN进行认证授权；然后该AAA服务器再向HSS发送该UE的本地IP地址，例如：该AAA服务器可以将该UE的本地IP地址携带第四认证授权请求中发送给HSS，该第四认证授权请求用于请求对该WLAN进行认证授权，该HSS可以根据该UE的本地IP地址获取该UE的漫游信息；在WLAN的接入设备与该AAA服务器/HSS完成该WLAN的认证授权之后，该AAA服务器接收该ePDG发送的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权，该AAA服务器根据该第一认证授权请求向该HSS发送第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权；该HSS接收到该AAA服务器发送的第二认证授权之后，该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果；该AAA服务器接收该HSS发送的所述UE接入所述ePDG的判决结果，例如：该AAA服务器可以接收该HSS发送的包括该UE的漫游信息的第二认证授权响应；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

可选地，上述AAA服务器根据该UE的本地IP地址获取该UE的漫游信息，包括：所述AAA服务器根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。具体地，该AAA 服务器中存储有本地IP地址与漫游信息的对应关系，该AAA服务器可以根据该UE的本地IP地址，获取该UE的本地IP地址与漫游信息的对应关系，获取与该UE的本地IP地址对应的漫游信息，将该UE的本地IP地址对应的漫游信息作为该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

图4为本发明UE的非可信WLAN接入控制方法实施例三的流程图，如图4所示，该WLAN为该UE的拜访地WLAN，本实施例的方法可以包括：

S301、HSS获取所述UE的漫游信息。

S302、所述HSS根据使用所述UE的用户的签约数据与所述UE的漫游信息，获取所述UE接入ePDG的判决结果，所述ePDG为所述UE的拜访地ePDG。

S303、所述HSS向所述AAA服务器发送所述UE接入所述ePDG的判决结果。

本实施例中，该HSS获取该UE的漫游信息，然后该HSS根据使用该UE的用户的签约数据与该UE的漫游信息，获取该UE接入归属地ePDG的判决结果，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG，该HSS将获取的该UE接入该ePDG的判决结果发送给AAA服务器，AAA服务器接收到该HSS发送的该UE接入该ePDG的判决结果之后，该AAA服务器将该UE接入该ePDG的判决结果发送给该ePDG，该ePDG根据该UE接入该ePDG的判决结果如何进行处理可以参见本发明方法实施例一中的相关记载，此处不再赘述。

本发明实施例提供的UE的非可信WLAN接入控制方法，通过HSS获取该UE的漫游信息，根据使用所述UE的用户的签约数据与该UE的漫游信息，获取该UE接入ePDG的判决结果，该ePDG为该UE的拜访地ePDG；向该AAA服务器发送该UE接入该ePDG的判决结果。从而实现UE在漫游至非可信WLAN时，AAA服务器/HSS可以获取该UE的漫游信息，进而实现归属地ePDG对UE的接入进行控制。

可选地，该HSS获取该UE的漫游信息，包括：该HSS接收该AAA服务器发送该UE的漫游信息，或者，该HSS接收该AAA服务器发送的该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

在本发明方法实施例三的第一种可行的实现方式中，HSS接收AAA服务器发送的UE的漫游信息，例如：该HSS接收该AAA服务器发送的包括该UE的漫游信息的第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权，该第二认证授权请求是AAA服务器根据ePDG发送的第一认证授权请求发出的；然后该HSS根据该UE的漫游信息以及使用该UE的用户的签约数据，获取该UE接入该ePDG的判决结果，再将该UE接入该ePDG的判决结果发送给AAA服务器，例如：该HSS将该UE接入该ePDG的判决结果携带在第二认证授权响应中发送给AAA服务器；该AAA服务器再将该UE接入该ePDG的判决结果发送给该ePDG，例如：该AAA服务器再将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例三的第二种可行的实现方式中，HSS接收AAA服务器发送的UE的本地IP地址，例如：该HSS接收该AAA服务器发送的包括该UE的本地IP地址的第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权，该第二认证授权请求是AAA服务器根据ePDG发送的第一认证授权请求发出的；然后该HSS根据该UE的本地IP地址，获取该UE的漫游信息，再根据该UE的漫游信息以及使用该UE的用户的签约数据，获取该UE接入该ePDG的判决结果，再将该UE接入该ePDG的判决结果发送给AAA服务器，例如：该HSS将该UE接入该ePDG的判决结果携带在第二认证授权响应中发送给AAA服务器；该AAA服务器再将该UE接入该ePDG的判决结果发送给该ePDG，例如：该AAA服务器再将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例三的第三种可行的实现方式中，HSS接收AAA服务器发送的UE的漫游信息，例如：在WLAN的接入设备与AAA服务器/HSS进行WLAN的认证授权过程中，该HSS接收该AAA服务器发送的包括该UE的漫游信息的第四认证授权请求，该第四认证授权请求用于请求对该WLAN进行认证授权，该第四认证授权请求是AAA服务器根据WLAN的接入设备发送的第三认证授权请求发出的。该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果，例如：在WLAN的接入设备与该AAA服务器/HSS完成该WLAN的认证 授权之后，该AAA服务器接收该ePDG发送的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权，该AAA服务器根据该第一认证授权请求向该HSS发送第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权；该HSS接收到该AAA服务器发送的第二认证授权之后，该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果。该HSS获取该UE接入该ePDG的判决结果之后，该HSS向该AAA服务器发送该UE接入该ePDG的判决结果，例如：该HSS将该UE接入该ePDG的判决结果携带在第二认证授权响应中发送给该AAA服务器；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

在本发明方法实施例三的第四种可行的实现方式中，HSS接收AAA服务器发送的UE的本地IP地址，例如：在WLAN的接入设备与AAA服务器/HSS进行WLAN的认证授权过程中，该AAA服务器可以接收该WLAN的接入设备发送的包括该UE的本地IP地址的第三认证授权请求，该第三认证授权请求用于请求对该WLAN进行认证授权；然后该AAA服务器向HSS发送该UE的本地IP地址，例如：该AAA服务器可以将该UE的本地IP地址携带第四认证授权请求中发送给HSS，该第四认证授权请求用于请求对该WLAN进行认证授权；该HSS再根据该UE的本地IP地址获取该UE的漫游信息。该HSS再根据使用该UE的用户的签约数据与该UE的漫游信息，获取该UE接入该ePDG的判决结果，例如：在WLAN的接入设备与该AAA服务器/HSS完成该WLAN的认证授权之后，该AAA服务器接收该ePDG发送的第一认证授权请求，该第一认证授权请求用于请求对该UE接入该ePDG进行认证授权，该AAA服务器根据该第一认证授权请求向该HSS发送第二认证授权请求，该第二认证授权请求用于请求对该UE接入该ePDG进行认证授权；该HSS接收到该AAA服务器发送的第二认证授权之后，该HSS再根据使用该UE的用户的签约数据与该AAA服务器发送的该UE的漫游信息，获取该UE接入该ePDG的判决结果。该HSS获取该UE接入该ePDG的判决结果之后，该HSS向该AAA服务器发送该UE接入该ePDG的判决结果，例如：该HSS将该UE接入该ePDG的判决结果携带在第二认证授权响应中 发送给该AAA服务器；该AAA服务器向该ePDG发送该UE接入该ePDG的判决结果，例如：该AAA服务器可以将该UE接入该ePDG的判决结果携带在第一认证授权响应中发送给该ePDG。

可选地，上述HSS根据该UE的本地IP地址获取该UE的漫游信息，包括：该HSS根据该UE的本地IP地址，以及该本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。具体地，该HSS中存储有本地IP地址与漫游信息的对应关系，该HSS可以根据该UE的本地IP地址，获取该UE的本地IP地址与漫游信息的对应关系，获取与该UE的本地IP地址对应的漫游信息，将该UE的本地IP地址对应的漫游信息作为该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

在本发明UE的非可信WLAN接入控制方法实施例四中，本实施例的执行主体为WLAN的接入设备，该WLAN为该UE的拜访地WLAN。当该UE接入该WLAN时，该WLAN的接入设备为该UE分配本地IP地址；以及该WLAN的接入设备向AAA服务器发送该UE的本地IP地址。后续该AAA服务器接收到该WLAN的接入设备发送的该UE的本地IP地址后执行的过程可以参见本发明方法实施例二的第五种可行的实现方式和第六种可行的实现方式中的相关记载，此处不再赘述。

在本发明UE的非可信WLAN接入控制方法实施例五中，本实施例的执行主体为WLAN的接入设备，该WLAN为该UE的拜访地WLAN。当该UE接入该WLAN时，该WLAN的接入设备获取该UE的漫游信息；以及该WLAN的接入设备向AAA服务器发送该UE的漫游信息。后续该AAA服务器接收到该WLAN的接入设备发送的该UE的漫游信息后执行的过程可以参见本发明方法实施例二的第四种可行的实现方式中的相关记载，此处不再赘述。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

图5为本发明ePDG实施例一的结构示意图，如图5所示，本实施例的ePDG可以包括：接收单元11、处理单元12和发送单元13，其中，接收单元11，用于接收UE发送的IPSec隧道建立请求，该IPSec隧道建立请求包括该UE的本地IP地址，该WLAN为该UE的拜访地WLAN，该ePDG为该UE 的归属地ePDG；处理单元12，用于根据该UE的本地IP地址，获取该UE的漫游信息；发送单元13，用于向AAA服务器发送该UE的漫游信息；接收单元11，还用于接收该AAA服务器发送的该UE接入该ePDG的判决结果，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG；处理单元12，还用于根据该UE接入该ePDG的判决结果，对该UE的非可信WLAN接入进行控制。

可选地，处理单元12用于根据该UE的本地IP地址，获取该UE的漫游信息，包括：处理单元12，用于根据该UE的本地IP地址，以及该本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的ePDG，可以用于执行本发明上述各方法实施例中ePDG所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图6为本发明AAA服务器实施例一的结构示意图，如图6所示，本实施例的AAA服务器可以包括：处理单元21、发送单元22和接收单元23；其中，处理单元21，用于获取该UE的漫游信息；发送单元22，用于向HSS发送该UE的漫游信息，以使该HSS根据该UE的漫游信息获取该UE接入ePDG的判决结果，该ePDG为该UE的归属地ePDG；接收单元23，用于接收该HSS发送的该UE接入该ePDG的判决结果；发送单元22，还用于向该ePDG发送该UE接入该ePDG的判决结果；其中，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG。

可选地，处理单元21用于获取该UE的漫游信息，包括：处理单元21，用于接收该ePDG发送的该UE的漫游信息；或者，处理单元21，用于接收该ePDG发送该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理单元21用于获取该UE的漫游信息，包括：处理单元21，用于接收该WLAN的接入设备发送的该UE的漫游信息；或者，处理单元21，用于接收该WLAN的接入设备发送的该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理单元21用于根据该UE的本地IP地址，获取该UE的漫游 信息，包括：该处理单元21，用于根据该UE的本地IP地址，以及该本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的AAA服务器，可以用于执行本发明上述各方法实施例中AAA服务器所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图7为本发明HSS实施例一的结构示意图，如图7所示，本实施例的HSS可以包括：处理单元31和发送单元32，其中，处理单元31，用于获取该UE的漫游信息；以及根据使用该UE的用户的签约数据与该UE的漫游信息，获取该UE接入ePDG的判决结果，该ePDG为该UE的拜访地ePDG，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG；发送单元32，用于向AAA服务器发送该UE接入该ePDG的判决结果，以使该AAA服务器将该UE接入该ePDG的判决结果转发至该ePDG，使得该ePDG根据该UE接入该ePDG的判决结果对该UE的非可信WLAN接入进行控制。

可选地，处理单元31用于获取该UE的漫游信息，包括：处理单元31，用于接收该AAA服务器发送该UE的漫游信息，或者，处理单元31，用于接收该AAA服务器发送的该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理单元31用于根据该UE的本地IP地址，获取该UE的漫游信息，包括：处理单元31，用于根据该UE的本地IP地址，以及该UE的本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的HSS，可以用于执行本发明上述各方法实施例中HSS所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本发明ePDG实施例二的结构示意图，如图8所示，本实施例的ePDG可以包括接收器41、发送器42、存储器43以及分别与接收器41、发送器42、存储器43连接的处理器44。处理器44可以是一个通用中央处理器(英文：Central Processing Unit，简称：CPU)，微处理器，特定应用集成电 路(英文：application-specific integrated circuit，简称：ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。

存储器43可以是非易失性存储器(Non-volatile Memory)，只读存储器(简称：read-only memory，简称：ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(简称：random access memory，简称：RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(英文：Electrically Erasable Programmable Read-Only Memory，简称：EEPROM)、只读光盘(英文：Compact Disc Read-Only Memory，简称：CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

其中，存储器43用于存储执行本发明UE的非可信WLAN接入控制方法的程序代码，处理器44用于调用存储器43中存储的程序代码，用于执行如下操作：

通过接收器41接收UE发送的IPSec隧道建立请求，该IPSec隧道建立请求包括该UE的本地IP地址，该WLAN为该UE的拜访地WLAN，该ePDG为该UE的归属地ePDG；

根据该UE的本地IP地址，获取该UE的漫游信息；

通过发送器42向AAA服务器发送该UE的漫游信息；

通过接收器41接收该AAA服务器发送的该UE接入该ePDG的判决结果，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG；

根据该UE接入该ePDG的判决结果，对该UE的非可信WLAN接入进行控制。

可选地，处理器44用于根据该UE的本地IP地址，获取该UE的漫游信息，包括：处理器44，用于根据该UE的本地IP地址，以及该本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的ePDG，可以用于执行本发明上述各方法实施例中ePDG所执 行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图9为本发明AAA服务器实施例二的结构示意图，如图9所示，本实施例的AAA服务器可以包括：发送器51、接收器52、存储器53以及分别与发送器51、接收器52、存储器53连接的处理器54。处理器54可以是一个通用CPU，微处理器，ASIC，或一个或多个用于控制本发明方案程序执行的集成电路。

存储器53可以是非易失性存储器，ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

其中，存储器53用于存储执行本发明UE的非可信WLAN接入控制方法的程序代码，处理器54用于调用存储器53中存储的程序代码，用于执行如下操作：

获取该UE的漫游信息；

通过发送器51向HSS发送该UE的漫游信息，以使该HSS根据该UE的漫游信息获取该UE接入ePDG的判决结果，该ePDG为该UE的归属地ePDG；

通过接收器52接收该HSS发送的该UE接入该ePDG的判决结果；

通过发送器51向该ePDG发送该UE接入该ePDG的判决结果；其中，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG。

可选地，处理器54用于获取该UE的漫游信息，包括：处理器54通过接收器52接收该ePDG发送的该UE的漫游信息；或者，处理器54通过接收器52接收该ePDG发送该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理器54用于获取该UE的漫游信息，包括：处理器54通过接收器52接收该WLAN的接入设备发送的该UE的漫游信息；或者，处理器54通过接收器52接收该WLAN的接入设备发送的该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理器54用于根据该UE的本地IP地址，获取该UE的漫游信 息，包括：处理器54，用于根据该UE的本地IP地址，以及该本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的AAA服务器，可以用于执行本发明上述各方法实施例中AAA服务器所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本发明HSS实施例二的结构示意图，如图10所示，本实施例的HSS可以包括：发送器61、存储器62以及分别与发送器61、存储器62连接的处理器63。处理器63可以是一个通用CPU，微处理器，ASIC，或一个或多个用于控制本发明方案程序执行的集成电路。

存储器62可以是非易失性存储器，ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

其中，存储器62用于存储执行本发明UE的非可信WLAN接入控制方法的程序代码，处理器63用于调用存储器62中存储的程序代码，用于执行如下操作：

获取该UE的漫游信息；以及根据使用该UE的用户的签约数据与该UE的漫游信息，获取该UE接入ePDG的判决结果，该ePDG为该UE的拜访地ePDG，该UE接入该ePDG的判决结果为允许该UE接入该ePDG或者禁止该UE接入该ePDG；

通过发送器61向AAA服务器发送该UE接入该ePDG的判决结果，以使该AAA服务器将该UE接入该ePDG的判决结果转发至该ePDG，使得该ePDG根据该UE接入该ePDG的判决结果对该UE的非可信WLAN接入进行控制。

可选地，本实施例的HSS还可以包括接收器64。处理器63用于获取该UE的漫游信息，包括：处理器63，用于通过接收器64接收该AAA服务器发送该UE的漫游信息，或者，处理器63，用于通过接收器64接收该AAA服务器发送的该UE的本地IP地址，以及根据该UE的本地IP地址，获取该UE的漫游信息。

可选地，处理器63用于根据该UE的本地IP地址，获取该UE的漫游信息，包括：处理器63，用于根据该UE的本地IP地址，以及该UE的本地IP地址与漫游信息的对应关系，获取该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、所述UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的HSS，可以用于执行本发明上述各方法实施例中HSS所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图11为本发明WLAN的接入设备实施例一的结构示意图，如图11所示，本实施例的WLAN的接入设备可以包括：处理单元71和发送单元72，其中，在第一种可行的实现方式中，处理单元71，用于当UE接入该WLAN时，为该UE分配本地IP地址，该WLAN为该UE的拜访地WLAN；发送单元72，用于向AAA服务器发送该UE的本地IP地址。

在第二种可行的实现方式中，处理单元71，用于当UE接入该WLAN时，获取该UE的漫游信息，该WLAN为该UE的拜访地WLAN；发送单元72，用于向AAA服务器发送该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的公共陆地移动网络PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的WLAN的接入设备，可以用于执行本发明上述各方法实施例中WLAN的接入设备所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图12为本发明WLAN的接入设备实施例二的结构示意图，如图12所示，本实施例的WLAN的接入设备可以包括：发送器81、存储器82以及分别与发送器81、存储器82连接的处理器83。处理器83可以是一个通用CPU，微处理器，ASIC，或一个或多个用于控制本发明方案程序执行的集成电路。

存储器82可以是非易失性存储器，ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

其中，存储器82用于存储执行本发明UE的非可信WLAN接入控制方法的程序代码，处理器83用于调用存储器82中存储的程序代码，用于执行如下操作：

当该UE接入该WLAN时，为该UE分配本地IP地址；向AAA服务器发送该UE的本地IP地址。或者，

当该UE接入该WLAN时，获取该UE的漫游信息；通过发送器81向AAA服务器发送该UE的漫游信息。

可选地，该UE的漫游信息包括：该UE接入的PLMN的标识、该UE所处地域的标识、该WLAN的标识中的至少一个。

本实施例的WLAN的接入设备，可以用于执行本发明上述各方法实施例中WLAN的接入设备所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

图13为本发明UE的非可信WLAN接入控制***实施例的结构示意图，如图13所示，本实施例的***包括：ePDG10、AAA服务器20、HSS30、UE40和WLAN的接入设备50，该WLAN为该UE的拜访地WLAN；其中，ePDG10可以采用图5或图8所示装置实施例的结构，其对应地，可以执行本发明上述各方法实施例中ePDG所执行的技术方案，其实现原理和技术效果类似，此处不再赘述；AAA服务器20可以采用图6或图9所示装置实施例的结构，其对应地，可以执行本发明上述各方法实施例中AAA服务器所执行的技术方案，其实现原理和技术效果类似，此处不再赘述；HSS30可以采用图7或图10所示装置实施例的结构，其对应地，可以执行本发明上述各方法实施例中HSS所执行的技术方案，其实现原理和技术效果类似，此处不再赘述；WLAN的接入设备50可以采用图11或图12所示装置实施例的结构，其对应地，可以执行本发明上述各方法实施例中WLAN的接入设备所执行的技术方案，其实现原理和技术效果类似，此处不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (31)

1. 一种用户设备UE的非可信无线局域网WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，其特征在于，包括：

   演进分组数据网关ePDG接收UE发送的互联网协议安全IPSec隧道建立请求，所述IPSec隧道建立请求包括所述UE的本地IP地址，所述ePDG为所述UE的归属地ePDG；

   所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息；

   所述ePDG向认证授权计费AAA服务器发送所述UE的漫游信息；

   所述ePDG接收所述AAA服务器发送的所述UE接入所述ePDG的判决结果，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；

   所述ePDG根据所述UE接入所述ePDG的判决结果，对所述UE的非可信WLAN接入进行控制。
2. 根据权利要求1所述的方法，其特征在于，所述ePDG根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：

   所述ePDG根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
3. 根据权利要求1或2所述的方法，其特征在于，所述UE的漫游信息包括所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
4. 一种用户设备UE的非可信无线局域网WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，其特征在于，包括：

   认证授权计费AAA服务器获取所述UE的漫游信息；

   所述AAA服务器向归属签约数据服务器HSS发送所述UE的漫游信息，以使所述HSS根据所述UE的漫游信息获取所述UE接入演进分组数据网关ePDG的判决结果，所述ePDG为所述UE的归属地ePDG；

   所述AAA服务器接收所述HSS发送的所述UE接入所述ePDG的判决结果；

   所述AAA服务器向所述ePDG发送所述UE接入所述ePDG的判决结果；

   其中，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG 或者禁止所述UE接入所述ePDG。
5. 根据权利要求4所述的方法，其特征在于，所述AAA服务器获取所述UE的漫游信息，包括：

   所述AAA服务器接收所述ePDG发送的所述UE的漫游信息；或者，

   所述AAA服务器接收所述ePDG发送所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
6. 根据权利要求4所述的方法，其特征在于，所述AAA服务器获取所述UE的漫游信息，包括：

   所述AAA服务器接收所述WLAN的接入设备发送的所述UE的漫游信息；或者，

   所述AAA服务器接收所述WLAN的接入设备发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
7. 根据权利要求5或6所述的方法，其特征在于，所述AAA服务器根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：

   所述AAA服务器根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
8. 根据权利要求4-7任意一项所述的方法，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
9. 一种用户设备UE的非可信无线局域网WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，其特征在于，包括：

   归属签约数据服务器HSS获取所述UE的漫游信息；

   所述HSS根据使用所述UE的用户的签约数据与所述UE的漫游信息，获取所述UE接入演进分组数据网关ePDG的判决结果，所述ePDG为所述UE的拜访地ePDG，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；

   所述HSS向认证授权计费AAA服务器发送所述UE接入所述ePDG的判决结果，以使所述AAA服务器将所述UE接入所述ePDG的判决结果转发至所述ePDG，使得所述ePDG根据所述UE接入所述ePDG的判决结果对所述UE的非可信WLAN接入进行控制。
10. 根据权利要求9所述的方法，其特征在于，所述HSS获取所述UE的漫游信息，包括：

    所述HSS接收所述AAA服务器发送所述UE的漫游信息，或者，

    所述HSS接收所述AAA服务器发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
11. 根据权利要求10所述的方法，其特征在于，所述HSS根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：

    所述HSS根据所述UE的本地IP地址，以及所述UE的本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
12. 根据权利要求9-11任意一项所述的方法，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
13. 一种用户设备UE的非可信无线局域网WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，其特征在于，包括：

    当所述UE接入所述WLAN时，所述WLAN的接入设备为所述UE分配本地互联网协议IP地址；

    所述WLAN的接入设备向认证授权计费AAA服务器发送所述UE的本地IP地址。
14. 一种用户设备UE的非可信无线局域网WLAN接入控制方法，所述WLAN为所述UE的拜访地WLAN，其特征在于，包括：

    当所述UE接入所述WLAN时，所述WLAN的接入设备获取所述UE的漫游信息；

    所述WLAN的接入设备向认证授权计费AAA服务器发送所述UE的漫游信息。
15. 根据权利要求14所述的方法，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
16. 一种演进分组数据网关ePDG，其特征在于，包括：

    接收单元，用于接收UE发送的互联网协议安全IPSec隧道建立请求，所述IPSec隧道建立请求包括所述UE的本地IP地址，所述ePDG为所述UE 的归属地ePDG；

    处理单元，用于根据所述UE的本地IP地址，获取所述UE的漫游信息；

    发送单元，用于向认证授权计费AAA服务器发送所述UE的漫游信息；

    所述接收单元，还用于接收所述AAA服务器发送的所述UE接入所述ePDG的判决结果，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；

    所述处理单元，还用于根据所述UE接入所述ePDG的判决结果，对所述UE的非可信无线局域网WLAN接入进行控制，所述WLAN为所述UE的拜访地WLAN。
17. 根据权利要求16所述的ePDG，其特征在于，所述处理单元用于根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
18. 根据权利要求16或17所述的ePDG，其特征在于，所述UE的漫游信息包括所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
19. 一种认证授权计费AAA服务器，其特征在于，包括：

    处理单元，用于获取所述UE的漫游信息；

    发送单元，用于向归属签约数据服务器HSS发送所述UE的漫游信息，以使所述HSS根据所述UE的漫游信息获取所述UE接入演进分组数据网关ePDG的判决结果，所述ePDG为所述UE的归属地ePDG；

    接收单元，用于接收所述HSS发送的所述UE接入所述ePDG的判决结果；

    所述发送单元，还用于向所述ePDG发送所述UE接入所述ePDG的判决结果；

    其中，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG。
20. 根据权利要求19所述的AAA服务器，其特征在于，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述ePDG发送的所述UE的漫游信息；或者，所述处理单元，用于接收所述ePDG发 送所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
21. 根据权利要求19所述的AAA服务器，其特征在于，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述WLAN的接入设备发送的所述UE的漫游信息；或者，所述处理单元，用于接收所述WLAN的接入设备发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
22. 根据权利要求20或21所述的AAA服务器，其特征在于，所述处理单元用于根据所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
23. 根据权利要求19-22任意一项所述的AAA服务器，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
24. 一种归属签约数据服务器HSS，其特征在于，包括：

    处理单元，用于获取所述UE的漫游信息；以及根据使用所述UE的用户的签约数据与所述UE的漫游信息，获取所述UE接入演进分组数据网关ePDG的判决结果，所述ePDG为所述UE的拜访地ePDG，所述UE接入所述ePDG的判决结果为允许所述UE接入所述ePDG或者禁止所述UE接入所述ePDG；

    发送单元，用于向认证授权计费AAA服务器发送所述UE接入所述ePDG的判决结果，以使所述AAA服务器将所述UE接入所述ePDG的判决结果转发至所述ePDG，使得所述ePDG根据所述UE接入所述ePDG的判决结果对所述UE的非可信WLAN接入进行控制。
25. 根据权利要求24所述的HSS，其特征在于，所述处理单元用于获取所述UE的漫游信息，包括：所述处理单元，用于接收所述AAA服务器发送所述UE的漫游信息，或者，所述处理单元，用于接收所述AAA服务器发送的所述UE的本地IP地址，以及根据所述UE的本地IP地址，获取所述UE的漫游信息。
26. 根据权利要求25所述的HSS，其特征在于，所述处理单元用于根据 所述UE的本地IP地址，获取所述UE的漫游信息，包括：所述处理单元，用于根据所述UE的本地IP地址，以及所述UE的本地IP地址与漫游信息的对应关系，获取所述UE的漫游信息。
27. 根据权利要求24-26任意一项所述的HSS，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
28. 一种无线局域网WLAN的接入设备，其特征在于，包括：

    处理单元，用于当用户设备UE接入所述WLAN时，为所述UE分配本地互联网协议IP地址，所述WLAN为所述UE的拜访地WLAN；

    发送单元，用于向认证授权计费AAA服务器发送所述UE的本地IP地址。
29. 一种无线局域网WLAN的接入设备，其特征在于，包括：

    处理单元，用于当用户设备UE接入所述WLAN时，获取所述UE的漫游信息，所述WLAN为所述UE的拜访地WLAN；

    发送单元，用于向认证授权计费AAA服务器发送所述UE的漫游信息。
30. 根据权利要求29所述的WLAN的接入设备，其特征在于，所述UE的漫游信息包括：所述UE接入的公共陆地移动网络PLMN的标识、所述UE所处地域的标识、所述WLAN的标识中的至少一个。
31. 一种用户设备UE的非可信无线局域网WLAN接入控制***，其特征在于，包括：UE、如权利要求16-18任意一项所述的演进分组数据网关ePDG、如权利要求19-23任意一项所述的认证授权计费AAA服务器、如权利要求24-27任意一项所述的归属签约数据服务器HSS、如权利要求28-30任意一项所述的WLAN的接入设备，所述WLAN为所述UE的拜访地WLAN。

Images