CN103039097B - 一种隧道数据安全通道的建立方法 - Google Patents
一种隧道数据安全通道的建立方法 Download PDFInfo
- Publication number
- CN103039097B CN103039097B CN201180001519.6A CN201180001519A CN103039097B CN 103039097 B CN103039097 B CN 103039097B CN 201180001519 A CN201180001519 A CN 201180001519A CN 103039097 B CN103039097 B CN 103039097B
- Authority
- CN
- China
- Prior art keywords
- authentication
- access
- trusted
- child
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 100
- 230000004044 response Effects 0.000 claims abstract description 65
- 238000013475 authorization Methods 0.000 claims abstract description 62
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 84
- 230000008569 process Effects 0.000 claims description 31
- 230000007246 mechanism Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009977 dual effect Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/14—Interfaces between hierarchically different network devices between access point controllers and backbone network device
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种S2c隧道安全数据通道建立的方法和鉴权认证装置和网关装置,该方法包括:发送鉴权认证请求消息到鉴权认证设备,接收所述鉴权认证设备发送的鉴权认证响应消息,其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关系,根据所述当前接入的可信关系,建立S2c隧道安全联盟。本发明实施例在UE通过S2c接口从非3GPP接入侧接入EPS网络时,接收鉴权认证设备发送的鉴权认证响应消息,并根据上述响应消息中指示的当前接入网络的可信关系,建立S2c隧道安全数据通道,从而能够获得非3GPP接入侧接入EPS网络时的可信关系,保障建立正确的S2c隧道安全数据通道。
Description
技术领域
本发明实施例涉及通信技术领域,并且更具体地,涉及演进的分组系统(EPS,Evolved Packet System)中S2c隧道安全联盟的建立方法和装置。
背景技术
随着移动宽带时代的到来,用户需要随时随地的使用宽带接入服务,这对移动通信网络提出了更高的要求,如更高的传输速率、更小的时延和更高的系统容量等。为了保持3GPP网络的优势,3GPP标准组织于2004年底启动了SAE(System Architecture Evolution,系统架构演进)计划的研究和标准化工作,定义了一个新的移动通信网络框架,称为演进的分组系统EPS。随着核心网融合统一的趋势,3GPP在EPS系统中的核心网EPC(Evolved Packet Core,演进的分组系统的核心部分)中也提供了非3GPP接入网络接入的可能,如WLAN、Wimax等接入EPC。
S2c接口采用DSMIPv6(Mobile IPv6 Support for Dual Stack Hosts,双栈主机的移动IPv6支持)协议,可用于可信或者非可信的非3GPP接入网络接入EPS网络。UE(User Equipment,用户设备)从非3GPP接入网络通过S2c接口接入EPC时,UE与PDN-GW(Packet Data Network Gateway,分组数据网关,也可简称为PGW)之间将建立安全联盟SA(SecurityAssociation,安全联盟)保护DSMIPv6信令。当UE从S2c接口由可信非3GPP接入网络接入EPC时,3GPP定义了在UE与PDN-GW之间建立DSMIPv6隧道之后,PDN-GW可以与UE之间发起建立子安全联盟Child SA(Child Security Association,子安全联盟)对数据面进行保护;但当UE从非可信非3GPP接入网络接入EPC的时候,UE与非3GPP接入网关ePDG(evolved PDG,演进分组数据网关)之间会建立IPSec安全通道,通过IPSec安全通道对UE与PDN-GW之间的数据包进行安全保护。即,当UE以可信方式接入EPS的时候,S2c隧道上可以建立Child SA对数据面的完整性和机密性进行保护;以非可信方式接入的时候,将由UE与ePDG之间的IPSec安全通道提供数据的完整性保护和机密性保护。
如上所述,UE通过S2c接口接入EPC的时候,PDN-GW需要区分可信接入和非可信接入场景,以完成不同的数据安全通道的建立过程。但PDN-GW并不能够判断当前UE是从可信非3GPP接入网络接入还是非可信非3GPP接入网络接入的,也就无法选择正确的S2c隧道数据安全通道建立方法。
发明内容
本发明实施例提供了一种S2c隧道数据安全通道的建立方法和装置,能够保障建立正确的S2c隧道数据安全通道。
一方面,提供了一种建立数据安全通道的方法,包括,发送鉴权认证请求消息到鉴权认证设备,接收所述鉴权认证设备发送的鉴权认证响应消息,其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关系,根据所述当前接入的可信关系,建立S2c隧道安全联盟。其中,所述接收鉴权认证设备发送的鉴权认证响应消息之前,还包括鉴权认证设备根据配置的策略或非3GPP接入侧发起鉴权认证请求时所存储的可信关系确定当前接入网络的可信关系。
另一方面,提供了一种建立数据安全通道的方法,包括,接收网关设备的鉴权认证请求消息,根据配置的策略或者非3GPP接入侧发起鉴权认证请求时存储的可信关系确定当前接入的可信关系,向网关设备发送鉴权认证响应消息,所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入的可信关系,以便网关设备根据该指示建立S2c隧道数据安全通道。
另一方面,提供了一种鉴权认证设备,包括:接收单元,用于接收非3GPP接入的鉴权认证请求;鉴权单元,用于对接收单元接收的鉴权认证请求进行鉴权,根据配置的策略或对非3GPP接入侧发起鉴权认证请求时所存储的可信关系确定当前接入的可信关系;发送单元,用于向PDN-GW发送鉴权认证相应响应消息,消息中包含可信接入信元用来指示当前接入的可信关系。
另一方面,提供了一种网关设备,包括:发送单元,用于发送鉴权认证请求消息,接收单元,用于接收鉴权认证装置对鉴权认证请求的响应消息,消息中包括可信关系信元用来指示当前接入的可信关系;SA建立单元,用于根据接收单元接收的响应消息中指示的当前非3GPP接入的可信关系,建立S2c隧道的数据安全通道。
本发明实施例在UE从S2c接口由非3GPP接入网络接入EPC时,接收鉴权认证响应消息,根据消息中指示的当前接入网络的可信关系,建立数据安全通道,保证进行正确的数据安全通道。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是3GPP规定的非漫游场景下非3GPP接入网络采用S2c接口接入EPS网络的系统架构图。
图2是根据本发明一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立方法。
图3是根据本发明另一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立方法。
图4是本发明一个实施例的可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
图5是本发明另一个实施例的可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
图6是本发明另一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
图7是本发明另一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
图8是本发明另一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
图9是根据本发明一个实施例的鉴权认证装置的框图。
图10是根据本发明一个实施例的网关的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是3GPP规定的非3GPP接入网络采用S2c接口接入EPS网络的系统架构图。本发明实施例可应用于图1所示的EPS网络架构。如图1所示,S2c接口可以用于非3GPP接入网络接入EPS网络。对于可信非3GPP接入网络,UE将直接通过非3GPP接入网络连接到PDN-GW;而对于不可信非3GPP接入网络,UE则需要通过归属网络可信任的演进分组数据网关ePDG,再连接到PDN-GW网元上。
当UE从S2c接口通过PDN-GW进行鉴权认证时,如果是由可信非3GPP接入网络接入EPC的,PDN-GW需要发起建立子安全联盟child SA对数据面进行保护;如果UE是从非可信非3GPP接入网络接入EPC的,PDN-GW通过UE与ePDG之间的IPSec通道建立DSMIPv6安全通道对数据进行完整性保护和机密性保护。
由上述描述可以看到,PDN-GW需要知道当前UE是从可信非3GPP接入网络接入还是非可信非3GPP接入网络接入是选择正确的S2c隧道数据安全通道建立方式的前提。
本发明实施例在图1所述的网络架构上,由鉴权认证设备确定当前接入的可信关系,并发送给PDN-GW,PDN-GW根据此指示选择建立数据安全通道的方式,保证PDN-GW进行正确的安全通道建立过程。本发明实施例中的鉴权认证设备均以AAA(Authentication Authorization Accounting,认证授权和计费)服务器来举例说明,具体实施时也可能是HSS(HomeSubscriber Server,归属网络服务器)等其他设备作为实施例中的鉴权认证设备。图2是本发明一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立方法。
201,接收非3GPP接入侧的鉴权认证请求,进行认证鉴权过程。此处的非3GPP接入侧,可以是非3GPP接入网络,也可以是ePDG。
当AAA服务器接收非3GPP接入网络的鉴权认证请求时,根据其中参数判断当前的接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等,将上述判断结果在鉴权认证响应消息中发送给非3GPP接入网络,并将是否为可信接入的结果与UE标识的对应关系存储下来,也可以与网络标识的对应关系一并存储。
也可以采用下面的存储方法:AAA服务器判断当前接入为可信接入或本次鉴权认证请求为非3GPP接入网络接入鉴权认证过程,在将结果在鉴权认证响应消息中发送给非3GPP接入网络时,不存储是否为可信接入的结果与UE标识、和/或网络标识的对应关系。
当AAA服务器接收ePDG的鉴权认证申请时,如果AAA服务器中还没有当前接入的非可信接入结果与UE标识和/或网络标识的存储信息,则此时存储上述接入的非可信接入结果与UE标识和/或网络标识的对应关系信息,否则不保存上述信息。当然,也可以采用下面的方法:AAA服务器不管是否已有当前接入的非可信接入结果与UE标识和/或网络标识的对应关系的存储信息,均存储当前接入的非可信接入结果与UE标识和/或网络标识。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
202,接收PDN-GW发送的鉴权认证请求,判断当前接入的可信关系,即当前接入为可信接入还是非可信接入。PGW发送鉴权认证请求消息到AAA服务器,注册APN(Access Point Name,接入点名称)和PGW的信息,上述请求消息中包括UE标识,可能还包括拜访地网络标识(该标识仅在漫游场景下需要)、接入类型、接入网标识、接入网络内使用的安全机制等。AAA服务器根据UE标识和/或网络标识,与存储的是否可信接入信息进行比较,如存储的信息表明为可信接入则判定当前接入为可信接入,相反的,如存储的信息为非可信接入则判定当前接入为非可信接入。
进一步的,如果AAA服务器中没有存储当前接入是否可信接入的信息,则认为当前接入为可信接入。
当然,具体实施时也可以采用下面的方法:AAA服务器也可以在接收到鉴权认证请求后,直接根据UE标识和/或网络标识与所存储的可信接入信息进行比较,如没有存储当前接入的可信接入信息,则认为当前接入为可信接入,否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
203,根据接收到的当前接入的可信关系,确定S2c隧道安全联盟建立方式。AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,此时指示为可信接入。PGW接收到可信关系信元指示为可信接入后,在任意时间可发起与UE间的Child SA建立过程,若接收到UE发起的Child SA建立请求,则接受请求。相反的,PGW接收到可信关系信元指示为非可信接入后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。
本发明实施例在对非3GPP接入侧的鉴权认证请求进行处理时,存储是否为可信接入的结果,并在后续收到PDN-GW发送的鉴权认证请求时,根据存储的可信接入结果,判断当前接入是否为可信接入,并在响应消息将可信关系信息通知PGW,使PGW可以正确建立S2c隧道安全联盟。
图3是根据本发明另一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立方法。
301,接收PDN-GW发送的鉴权认证请求,判断当前接入的可信关系,即当前接入为可信接入还是非可信接入。PGW发送鉴权认证请求消息到AAA服务器,注册APN和PGW的信息,上述请求消息中包括UE标识、拜访地网络标识(该标识仅在漫游场景下需要)、接入类型、可能还包括接入网标识等。AAA服务器根据根据如下参数的一种或几种判断当前接入为可信接入还是非可信接入:UE标识、拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要)、接入网标识ANID、接入类型、接入网络内使用的安全机制等,与配置的策略判定当前接入是否为可信接入。上述策略中包括拜访地网络标识和/或接入网标识等信息与可信关系的对应关系。
如策略表明为可信接入则判定当前接入为可信接入,相反的,如策略中的信息表明为非可信接入则判定当前接入为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
302,根据接收到的当前接入的可信关系,确定S2c隧道安全联盟建立方式。AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,此时指示为可信接入。PGW接收到可信关系信元指示为可信接入后,在任意时间可发起与UE间的Child SA建立过程,若接收到UE发起的Child SA建立请求,则接受请求。相反的,PGW接收到可信关系信元指示为非可信接入后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。
本发明实施例在收到PDN-GW发送的鉴权认证请求时,根据配置的策略判断当前接入是否为可信接入,并在响应消息将是否可信接入信息通知PGW,使PGW可以正确建立S2c隧道安全联盟。
下面结合具体例子,更加详细地描述本发明的实施例。图4是根据本发明一个实施例的可信非3GPP接入网络采用S2c接口接入EPS网络的数据安全通道建立的方法的示意流程图。
401,UE发送EAP-RSP鉴权请求消息到可信非3GPP接入网络。
402,可信非3GPP接入网络发送鉴权认证请求到AAA服务器,其中包括接入网标识ANID,接入类型,还可能包括接入网络内使用的安全机制参数等。在漫游场景下,此鉴权认证请求要通过AAA proxy从接入网络转发给AAA服务器,而且鉴权认证请求中还包括拜访地网络标识VisitedNetwork Identity。
AAA服务器根据接收到的参数判断当前的接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。并将可信接入的结果与UE标识、网络标识或两者一并存储下来。
也可以采用下面的方法:AAA服务器判断当前接入为非3GPP接入网络接入或为可信接入,不存储可信接入的结果与UE标识和/或网络标识的对应关系。
上述过程中保存的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
403,AAA服务器发送鉴权认证响应消息给可信非3GPP接入网络,其中包括上述可信接入结果。
404,可信非3GPP接入网络发送EAP-REQ鉴权响应消息给UE,其中包括可信接入结果。
405,UE触发L3(Level 3,层3)接入过程。UE与可信非3GPP接入网络之间建立L3连接,从接入网络获得一个本地IP地址CoA。
406,UE发送安全联盟建立请求给PDN-GW为UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,消息中包括APN信息。
407,PGW发送鉴权认证请求消息到AAA服务器,注册APN(AccessPoint Name,接入点名称)和PGW信息,上述请求消息中包括UE标识、接入类型、可能还包括接入网标识,接入网络内使用的安全机制等。如果是漫游场景,上述请求消息中还需要包括拜访地网络标识。AAA服务器根据UE标识和/或网络标识和存储的是否可信接入信息进行比较,如存储的信息为可信接入则判定当前接入为可信接入。
进一步的,如果AAA服务器中没有存储当前接入是否可信接入的信息,则认为当前接入为可信接入。
当然,具体实施时也可以采用下面的方法:AAA服务器也可以在接收到鉴权认证请求后,直接根据UE标识和/或网络标识与所存储的是否可信接入信息进行比较,如没有存储当前接入是否可信接入的信息,则认为当前接入为可信接入,否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
408,AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“可信”,表示当前为可信接入。
409,PGW发送安全联盟建立响应消息到UE,其中包括PGW给UE分配的IP地址。
410,PGW接收到可信关系信元,指示为可信接入后,在任意时间可发起与UE间的Child SA建立过程。若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA。
图5是根据本发明一个实施例的可信非3GPP接入网络采用S2c接口接入EPS网络的数据安全通道建立的方法的示意流程图。
501,UE触发L3接入过程。UE与可信非3GPP接入网络之间建立L3连接,从接入网络获得一个本地IP地址CoA。
502,UE发送安全联盟建立请求给PDN-GW为UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,消息中包括APN信息。
503,PGW发送鉴权认证请求消息到AAA服务器,注册APN和PGW信息,上述请求消息中包括UE标识、接入类型、可能还包括接入网标识等。如果是漫游场景,上述请求消息中还需要包括拜访地网络标识。AAA服务器根据UE标识和/或网络标识没有找到存储的当前接入是否为可信接入的信息,认为当前接入为可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
504,AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“可信”,表示当前为可信接入。
505,PGW发送安全联盟建立响应消息到UE,其中包括PGW给UE分配的IP地址。
506,PGW接收到可信关系信元,指示为可信接入后,在任意时间可发起与UE间的Child SA建立过程。若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA。
图6是根据本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
601.终端发送EAP-RSP鉴权请求消息到非可信非3GPP接入网络。
602,非可信非3GPP接入网络发送鉴权认证请求到AAA服务器,鉴权请求中包括接入网标识ANID,接入类型,还可能包括接入网络内使用的安全机制参数等。在漫游场景下,接入网络提交的鉴权认证请求需要通过AAA proxy转发给AAA服务器,且上述请求中包括拜访地网络标识VisitedNetwork Identity。
AAA服务器根据鉴权请求中的参数判断当前的接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等。并将非可信接入的结果与UE标识和/或网络标识及对应关系一并存储下来。
也可以采用下面的方法:AAA服务器判断当前接入为非3GPP接入网络接入,不存储非可信接入的结果与UE标识和/或网络标识及对应关系。
上述过程中保存的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识等信息。
603,AAA服务器发送鉴权认证响应消息给非可信非3GPP接入网络,其中包括上述非可信接入结果。
604,非可信非3GPP接入网络发送EAP-REQ鉴权响应消息给UE,其中包括上述非可信接入结果。
605,UE发送IKE鉴权请求到ePDG,请求建立UE与ePDG之间的IPSec隧道。
606,ePDG发送鉴权认证请求到AAA服务器,漫游场景下此鉴权认证请求通过AAA proxy转发。如果AAA服务器中还没有存储当前接入的非可信接入与UE标识和/或网络标识的对应关系,则此时存储上述接入的非可信接入结果与UE标识和/或网络标的对应关系,否则不保存上述信息。
当然,也可以采用下面的方法:AAA服务器不管是否已有当前接入的非可信接入结果与UE标识和/或网络标识的对应关系的存储信息,均存储当前接入的非可信接入结果与UE标识和/或网络标识的对应关系。
上述过程中保存的网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。
607,AAA服务器发送鉴权认证响应消息给ePDG。
608,ePDG发送IKE鉴权响应消息给UE。
609,UE发送安全联盟建立请求给PDN-GW在UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,其中包括APN信息。
610,PGW发送鉴权认证请求消息到AAA服务器,注册APN和PGW信息,上述请求消息中包括UE标识。还可以包括网络标识,网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。AAA服务器根据UE标识和/或网络标识和存储的可信接入对应关系,判定当前为非可信接入。
611,AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“非可信”,表示当前为非可信接入。PGW接收到指示为非可信接入的消息后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。
612,PGW发送安全联盟建立响应消息到UE,其中包括PGW给UE分配的IP地址。
图7是根据本发明一个实施例的非可信非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
701,UE发送IKE鉴权请求到ePDG,请求建立UE与ePDG之间的IPSec隧道。
702,ePDG发送鉴权认证请求到AAA服务器,漫游场景下此鉴权认证请求通过AAA proxy转发。AAA服务器中发现还没有存储当前接入的非可信接入与UE标识和/或网络标识的对应关系,存储上述接入的非可信接入结果与UE标识和/或网络标的对应关系。
当然,也可以采用下面的方法:AAA服务器不管是否已有当前接入的非可信接入结果与UE标识和/或网络标识的对应关系的存储信息,均存储当前接入的非可信接入结果与UE标识和/或网络标识的对应关系。
703,AAA服务器发送鉴权认证响应消息给ePDG。
704,ePDG发送IKE鉴权响应消息给UE。
705,UE发送安全联盟建立请求给PDN-GW在UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,其中包括APN信息。
706,PDN-GW发送鉴权认证请求消息到AAA服务器,注册APN和PDN-GW信息,请求消息中包括UE标识。还可以包括网络标识,网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。AAA服务器根据UE标识和/或网络标识和存储的可信接入对应关系,判定当前为非可信接入。
707,AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“非可信”,表示当前为非可信接入。PGW接收到指示为非可信接入的消息后,不再发起Child SA建立过程,若接收到UE发送的Child SA建立请求,则拒绝。拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。
708,PGW发送安全联盟建立响应消息到UE,其中包括PGW给UE分配的IP地址。
图8是根据本发明另一个实施例的非3GPP接入网络采用S2c接口接入EPS网络的安全通道建立过程的示意流程图。
801,UE发送安全联盟建立请求给PGW在UE和PDN-GW之间建立DSMIPv6的的SA,此安全联盟建立请求具体可以为IKE鉴权请求等安全联盟建立请求消息,其中包括APN信息。
802,PGW发送鉴权认证请求消息到AAA服务器,注册APN和PGW信息,上述请求消息中包括UE标识。还可以包括网络标识,网络标识包括如下信息的一种或几种:接入网标识、接入网络内使用的安全机制、接入类型,如果是漫游场景,还包括拜访地网络标识。
AAA服务器根据配置的策略判定当前接入是否为可信接入,策略中包括网络标识与可信关系的对应关系。判定方法可以为:AAA服务器根据鉴权认证请求消息中的网络标识,查询配置的策略确定当前接入网络的可信关系。若鉴权认证请求消息中不包括接入网标识,AAA服务器业也可以需要根据接入类型标识构造接入网络标识。具体方法为:接入类型一般是整数类型的表示方法,如0表示WLAN,2001表示HRPD等。接入网前缀即为“WLAN”,“HRPD”这样的字符串,因此,AAA服务器根据接入类型,查表得知接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网标识的前缀。接入网标识除前缀之外的附加字符串可以没有,或者生成规则由AAA服务器自己决定。
判定方法可以采用如下方式实现:策略中包含可信关系与非可信关系的记录,查询配置的策略数据表,如与网络标识对应的可信关系为可信接入则判定当前接入为可信接入,可信关系为非可信接入则判定当前接入为非可信接入。也可以在策略中仅设置可信接入或非可信接入中的一种,如:仅设置可信接入的记录,查询不到相关信息的则为非可信接入。
803,AAA服务器发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,指示当前接入为可信接入或非可信接入。PGW接收到当前接入的可信关系消息,确定S2c隧道安全联盟建立方式。如为可信接入,则在任意时间可发起与UE间的Child SA建立过程,若接收到UE发起的Child SA建立请求,则接受请求,建立Child SA;如为非可信接入后,不再发起Child SA建立过程,若接收到UE发送的ChildSA建立请求,则拒绝,拒绝的方式可以为:在Child SA建立请求的响应消息中的Notify Payload中的原因值指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。
804,PGW发送安全联盟建立响应消息到UE,其中包括PGW给UE分配的IP地址。
图9是根据本发明一个实施例的鉴权认证装置的框图。图9的鉴权认证装置90的非限制性例子是图4-图8中所示的HSS/AAA设备,包括接收单元91、鉴权单元92和发送单元93。
接收单元91接收非3GPP接入侧(非3GPP接入网络或ePDG)或PDN-GW在UE通过S2c接口接入EPS网络时发送的鉴权认证请求。鉴权单元92对上述接入进行鉴权认证:针对非3GPP接入侧发送的鉴权认证请求,鉴权单元判断当前接入是否为可信接入,并记录可信接入结果与UE标识或网络标识或两者一并的对应关系;针对PDN-GW发送的鉴权认证请求,鉴权单元根据配置的策略或接入侧鉴权认证时记录的可信接入结果对应关系,判断当前接入是否为可信接入。发送单元93,用于根据鉴权单元确定的是否可信接入结果,向PDN-GW发送可信接入信元,指示是否为可信接入。
本发明实施例在UE通过S2c接口由非3GPP接入网络接入EPS网络时,接收PDN-GW发送的鉴权认证请求,根据配置的策略或之前对接入侧(非3GPP接入网络或ePDG)发起的鉴权请求进行鉴权认证时记录的是否可信接入的对应关系,判断当前接入是否为可信接入,并将可信接入结果发送给PDN-GW,从而使得PDN-GW能够获得当前接入是否为可信接入的信息,实现UE从非3GPP接入网通过S2c接口接入EPS网络时,正确建立S2c隧道数据安全通道。
在一个实施例中,鉴权单元92根据配置的策略判定当前接入是否为可信接入时,判定的方法可以为:根据鉴权认证请求消息中的接入网络标识(漫游场景下还需要拜访地网络标识),查询配置的策略确定当前接入网络的可信关系。若鉴权认证请求消息中不包括接入网标识,需要根据接入类型标识构造接入网络标识。具体为:接入类型一般是整数类型的表示方法,如0表示WLAN,2001表示HRPD等。接入网络前缀即为“WLAN”,“HRPD”这样的字符串,鉴权单元92根据接入类型,查表得知接入类型的整数对应的具体接入类型描述,用字符串表示,作为接入网络标识的前缀。接入网络标识除前缀之外的附加字符串可以没有,或者生成规则由AAA服务器自己决定。上述策略中包括接入网标识(漫游场景下还需要拜访地网络标识)与可信关系的对应关系。
判定方法可以采用如下方式:查询配置的策略数据表,找到与接入网络标识(漫游场景下还需要拜访地网络标识)对应的可信关系,如可信关系为可信接入则判定当前接入为可信接入,可信关系为非可信接入则判定当前接入为非可信接入。具体实现时,也可以采用在策略中仅设置可信接入或非可信接入中的一种,如仅设置可信接入的记录,查询不到相关信息的则为非可信接入。
在另一个实施例中,鉴权单元92对非3GPP接入侧的鉴权认证请求进行认证鉴权。此处的非3GPP接入侧,可以是非3GPP接入网络,也可以是ePDG。
当鉴权单元92对非3GPP接入网络的鉴权认证请求进行鉴权时,根据请求中的参数判断当前的接入为可信接入还是非可信接入,参数包括以下的一种或几种:接入网标识ANID,拜访地网络标识Visited Network Identity(该标识仅在漫游场景下需要),接入类型,接入网络内使用的安全机制等,将是否为可信接入的结果及UE标识的对应关系存储下来,也可以把网络标识及对应关系一并存储。
也可以采用下面的存储方法:判断当前接入为非3GPP接入网络接入或为可信接入,不存储是否为可信接入的结果与UE标识、和/或网络标识的对应关系。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。
当鉴权单元92对ePDG的鉴权认证申请进行鉴权时,如果没有查询到当前接入的非可信接入结果与UE标识和/或网络标识的存储信息,则此时存储上述接入的非可信接入结果与UE标识和/或网络标识等信息,否则不保存上述信息。当然,也可以采用下面的方法:不管是否已有当前接入的非可信接入结果与UE标识和/或网络标识的存储信息,均存储当前接入的非可信接入结果与UE标识和/或网络标识。
进一步的,当鉴权单元92对接收到的PDN-GW发送的鉴权认证请求进行鉴权认证时,根据请求中的UE标识和/或网络标识,与前面所述的对非3GPP接入侧的鉴权认证申请进行鉴权时存储的UE标识和/或网络标识与是否可信接入的对应关系进行比较,如存储的信息表明为可信接入则判定当前接入为可信接入,相反的,如存储的信息为非可信接入则判定当前接入为非可信接入。
进一步的,如果没有存储当前接入是否可信接入的信息,则认为当前接入为可信接入。
当然,具体实施时也可以采用下面的方法:鉴权单元92也可以在接收到鉴权认证请求后,直接根据请求中的UE标识和/或网络标识与所存储的是否可信接入对应关系信息进行比较,如没有存储当前接入是否可信接入的信息,则认为当前接入为可信接入,否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需要),或接入类型,或接入网标识,或接入网络内使用的安全机制等信息。。
发送单元93发送鉴权认证响应消息到PGW,其中包括可信关系信元,取值为“可信”或“非可信”,此时指示为“可信”,表示当前为可信接入。
因此,本发明实施例的鉴权认证装置在UE通过S2c接口由非3GPP接入接入EPS网络时,扩展了鉴权认证的方法,判定当前接入是否为可信接入,并将可信接入结果发送给PDN-GW,从而使得PDN-GW能够在UE从非3GPP接入通过S2c接口接入EPS网络时,正确建立S2c隧道数据安全通道。
图10是根据本发明一个实施例的网关的框图。图10的网关100的非限制性例子是图4-图8所示的PDN-GW,包括发送单元1001、接收单元1002和安全联盟SA建立单元1003。
发送单元1001发送鉴权认证请求消息,接收单元1002接收鉴权认证装置对鉴权认证请求的响应消息。安全联盟SA建立单元1003根据接收单元1002接收的响应消息中指示的本次非3GPP接入的可信关系,建立S2c隧道的数据安全通道。
本发明实施例在非3GPP接入通过S2c接口接入到EPS网络时,接收到鉴权认证装置的鉴权认证请求响应消息中包含有指示本次非3GPP接入的可信关系的信息,安全联盟SA建立单元1003根据可信关系消息,确定S2c隧道安全联盟建立方式。如为可信接入,则在任意时间可发起与UE间的子安全联盟Child SA的建立过程,若接收到UE发起的子安全联盟ChildSA建立请求,则接受请求,建立子安全联盟Child SA;如为非可信接入,不再发起子安全联盟Child SA建立过程,若接收到UE发送的在安全联盟Child SA建立请求,则拒绝,拒绝的方式可以为:在子安全联盟Child SA建立请求的响应消息中的Notify Payload中指示“NO_ADDITIONAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收子安全联盟Child SA的建立。从而正确建立S2c隧道数据安全通道。
因此,本发明实施例的网关装置在UE通过S2c接口由非3GPP接入接入EPS网络时,通过接收的鉴权认证消息中包含当前接入可信关系的指示信息,从而根据获取的指示信息内容正确建立S2c隧道数据安全联盟,使得在UE从非3GPP接入通过S2c接口接入EPS网络时,能够保障正确建立S2c隧道数据安全通道。
根据本发明实施例的通信系统可包括上述鉴权认证装置90和/或网关100。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (26)
1.一种建立数据安全通道的方法,其特征在于,包括,
分组数据网关PDN-GW发送鉴权认证请求消息到鉴权认证设备;
所述PDN-GW接收所述鉴权认证设备发送的鉴权认证响应消息,所述鉴权认证响应消息包括用于指示当前接入的可信关系的可信关系信元,其中,所述当前接入的可信关系是由所述鉴权认证设备根据非3GPP接入侧发起鉴权认证请求时所存储的可信关系信息确定的;
所述PDN-GW根据所述当前接入的可信关系,建立S2c隧道安全联盟。
2.如权利要求1所述的方法,其特征在于,所述可信关系为是否为可信接入或是否为非可信接入。
3.如权利要求1所述的方法,其特征在于,所述可信关系信元取值为可信,指示当前接入为可信接入,则
所述PDN-GW发起与UE间的子安全联盟Child SA建立过程;
或者,所述PDN-GW接收到UE发起的子安全联盟Child SA建立请求,则接受请求。
4.如权利要求1所述的方法,其特征在于,所述可信关系信元取值为非可信,指示当前接入为非可信接入,则
所述PDN-GW不发起与UE间的子安全联盟Child SA建立过程;或者
所述PDN-GW接收到UE发送的子安全联盟Child SA建立请求,则拒绝请求。
5.如权利要求4所述的方法,其特征在于,所述PDN-GW接收到UE发送的子安全联盟Child SA建立请求,拒绝的方式为在子安全联盟Child SA建立请求的响应消息中指示不接受所述UE发送的子安全联盟Child SA建立请求。
6.如权利要求1所述的方法,其特征在于,所述存储的可信关系信息包括UE标识与可信关系的对应关系。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述鉴权认证设备为AAA服务器或AAA代理。
8.一种建立数据安全通道的方法,其特征在于,包括,
鉴权认证设备接收分组数据网关PDN-GW的鉴权认证请求消息;
所述鉴权认证设备根据非3GPP接入侧发起鉴权认证请求时所存储的可信关系信息确定当前接入的可信关系;
所述鉴权认证设备向所述PDN-GW发送鉴权认证响应消息,所述鉴权认证响应消息中包含用于指示所述当前接入的可信关系的可信接入信元,以便所述PDN-GW根据该指示建立S2c隧道数据安全通道。
9.如权利要求8所述的方法,其特征在于,所述可信关系为是否为可信接入或是否为非可信接入。
10.如权利要求8所述的方法,其特征在于,所述可信关系信元取值为可信或非可信,指示当前接入为可信接入或非可信接入。
11.如权利要求8所述的方法,其特征在于,所述存储的可信关系信息包括UE标识与可信关系的对应关系。
12.如权利要求8所述的方法,其特征在于,所述鉴权认证设备接收到演进分组数据网关ePDG发送的所述鉴权认证请求时,存储UE标识与非可信关系的对应关系。
13.如权利要求12所述的方法,其特征在于,所述鉴权认证设备存储所述UE标识与非可信关系的对应关系前,判断没有已存储的当前接入的非可信接入对应关系,则保存所述与非可信接入的对应关系,否则不保存。
14.如权利要求8所述的方法,其特征在于,所述鉴权认证设备接收到所述非3GPP接入网络发送的所述鉴权认证请求时,存储UE标识与当前接入可信关系的对应关系。
15.根据权利要求8-14任一项所述的方法,其特征在于,所述鉴权认证设备为AAA服务器或AAA代理。
16.一种鉴权认证设备,其特征在于,包括:
接收单元,用于接收分组数据网关PDN-GW的鉴权认证请求消息;
鉴权单元,用于对所述接收单元接收的所述鉴权认证请求消息进行鉴权,根据非3GPP接入侧发起鉴权认证请求时所存储的可信关系信息确定当前接入的可信关系,
发送单元,用于向所述PDN-GW发送鉴权认证响应消息,所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入的可信关系,以便所述PDN-GW根据所述当前接入的可信关系建立S2c隧道安全联盟。
17.如权利要求16所述的鉴权认证设备,其特征在于,所述鉴权单元根据所述鉴权认证请求消息的信息查询所述存储的可信关系信息确定所述当前接入的可信关系,所述存储的可信关系信息包括UE标识与可信关系的对应关系。
18.如权利要求16所述的鉴权认证设备,其特征在于,所述鉴权单元接收到演进分组数据网关ePDG发送的所述鉴权认证请求时,存储UE标识与非可信关系的对应关系。
19.如权利要求18所述的鉴权认证设备,其特征在于,所述鉴权单元存储所述与非可信接入对应关系前,判断没有已存储的当前接入的非可信接入对应关系,则保存所述与非可信接入的对应关系,否则不保存。
20.如权利要求16所述的鉴权认证设备,其特征在于,所述鉴权单元接收到所述非3GPP接入网络发送的所述鉴权认证请求时,存储UE标识与是否为可信接入的对应关系。
21.如权利要求16所述的鉴权认证设备,其特征在于,所述可信关系为是否为可信接入或是否为非可信接入。
22.如权利要求16所述的鉴权认证设备,其特征在于,所述可信接入信元取值为可信或非可信,指示当前接入为可信接入或非可信接入。
23.一种分组数据网关PDN-GW,其特征在于,包括:
发送单元,用于发送鉴权认证请求消息到鉴权认证设备;
接收单元,用于接收所述鉴权认证设备的鉴权认证请求响应消息,所述鉴权认证请求响应消息中包括用于指示当前接入的可信关系的可信关系信元,所述当前接入的可信关系是由所述鉴权认证设备根据非3GPP接入侧发起鉴权认证请求时所存储的可信关系信息确定的;
安全联盟SA建立单元,用于根据所述接收单元接收的所述认证请求响应消息中指示的当前接入的可信关系,建立S2c隧道的数据安全通道。
24.如权利要求23所述的PDN-GW,其特征在于,当所述接收单元接收的所述认证请求响应消息中指示当前接入为可信接入时,则所述安全联盟SA建立单元发起与UE间的子安全联盟Child SA建立过程;或者,
接收到UE发起的子安全联盟Child SA建立请求时,则接受请求。
25.如权利要求23所述的PDN-GW,其特征在于,当所述接收单元接收的认证请求响应消息中指示当前接入为非可信接入时,则安全联盟SA建立单元不发起与UE间的子安全联盟Child SA建立过程;
或者,接收到UE发送的子安全联盟Child SA建立请求时,则拒绝请求。
26.如权利要求25所述的PDN-GW,其特征在于,所述安全联盟SA建立单元接收到所述UE发送的子安全联盟Child SA建立请求,拒绝的方式为在所述子安全联盟Child SA建立请求的响应消息中指示不再接收子安全联盟Child SA建立请求。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/078083 WO2012167500A1 (zh) | 2011-08-05 | 2011-08-05 | 一种隧道数据安全通道的建立方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103039097A CN103039097A (zh) | 2013-04-10 |
| CN103039097B true CN103039097B (zh) | 2015-06-03 |
Family
ID=47295383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180001519.6A Active CN103039097B (zh) | 2011-08-05 | 2011-08-05 | 一种隧道数据安全通道的建立方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9438594B2 (zh) |
| CN (1) | CN103039097B (zh) |
| BR (1) | BR112014002742B8 (zh) |
| WO (1) | WO2012167500A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8528059B1 (en) | 2008-10-06 | 2013-09-03 | Goldman, Sachs & Co. | Apparatuses, methods and systems for a secure resource access and placement platform |
| CN104471912A (zh) * | 2012-03-23 | 2015-03-25 | 诺基亚通信公司 | 针对wlan接入网络的信任指示 |
| WO2013183971A1 (en) * | 2012-06-08 | 2013-12-12 | Samsung Electronics Co., Ltd. | Method and system for selective protection of data exchanged between user equipment and network |
| EP3295763B1 (en) * | 2015-05-11 | 2020-12-09 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods and nodes for handling access to a service via an untrusted non-3gpp network |
| EP3509381B1 (en) * | 2015-05-12 | 2020-02-12 | Telefonaktiebolaget LM Ericsson (publ) | Method and nodes for handling access to epc services via a non-3gpp network |
| FR3039954A1 (fr) | 2015-08-05 | 2017-02-10 | Orange | Procede et dispositif d'identification de serveurs d'authentification visite et de domicile |
| CN105120462B (zh) * | 2015-09-11 | 2018-10-02 | 中国联合网络通信集团有限公司 | 网络接入方法及装置 |
| WO2017141175A1 (en) * | 2016-02-16 | 2017-08-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Roaming management in communication systems |
| WO2017159970A1 (ko) * | 2016-03-17 | 2017-09-21 | 엘지전자(주) | 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치 |
| CN107820234B (zh) | 2016-09-14 | 2021-02-23 | 华为技术有限公司 | 一种网络漫游保护方法、相关设备及系统 |
| CN109819440B (zh) * | 2017-11-20 | 2022-08-26 | 华为技术有限公司 | 鉴权的方法和装置 |
| GB2586222A (en) | 2019-08-05 | 2021-02-17 | British Telecomm | Classifier-based message routing in a telecommunications network |
| GB2586223A (en) * | 2019-08-05 | 2021-02-17 | British Telecomm | Conditional message routing in a telecommunications network |
| CN113987560A (zh) * | 2021-12-29 | 2022-01-28 | 北京交研智慧科技有限公司 | 一种数据的零信任认证方法、装置及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267319A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种下发策略计费控制规则的方法 |
| WO2010076044A1 (en) * | 2009-01-05 | 2010-07-08 | Nokia Siemens Networks Oy | Trustworthiness decision making for access authentication |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
| CN101459952B (zh) * | 2008-03-27 | 2011-09-21 | 中兴通讯股份有限公司 | 分组数据系统及其p-gw获取无线接入技术类型的方法 |
| US8295289B2 (en) * | 2009-07-29 | 2012-10-23 | Telefonaktiebolaget L M Ericsson (Publ.) | Method and system for simultaneous local and EPC connectivity |
| WO2011053201A1 (en) * | 2009-10-27 | 2011-05-05 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for exchanging data between a user equipment and a core network via a security gateway |
| US8885471B2 (en) * | 2010-10-07 | 2014-11-11 | Qualcomm Incorporated | Methods and apparatus for providing uplink traffic differentiation support for ciphered tunnels |
| EP2702701A4 (en) * | 2011-04-29 | 2015-12-09 | Intel Corp | SYSTEM AND METHOD FOR ACQUISITION ADAPTION IN A MIMO COMMUNICATION SYSTEM |
| US20130121322A1 (en) * | 2011-11-10 | 2013-05-16 | Motorola Mobility, Inc. | Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communicatin system |
-
2011
- 2011-08-05 CN CN201180001519.6A patent/CN103039097B/zh active Active
- 2011-08-05 BR BR112014002742A patent/BR112014002742B8/pt not_active IP Right Cessation
- 2011-08-05 WO PCT/CN2011/078083 patent/WO2012167500A1/zh active Application Filing
-
2014
- 2014-02-05 US US14/173,073 patent/US9438594B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267319A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种下发策略计费控制规则的方法 |
| WO2010076044A1 (en) * | 2009-01-05 | 2010-07-08 | Nokia Siemens Networks Oy | Trustworthiness decision making for access authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012167500A1 (zh) | 2012-12-13 |
| US9438594B2 (en) | 2016-09-06 |
| BR112014002742B1 (pt) | 2021-10-05 |
| BR112014002742A8 (pt) | 2021-03-09 |
| BR112014002742A2 (pt) | 2017-06-13 |
| CN103039097A (zh) | 2013-04-10 |
| BR112014002742B8 (pt) | 2023-01-17 |
| US20140157395A1 (en) | 2014-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103039097B (zh) | 一种隧道数据安全通道的建立方法 | |
| CN103201986B (zh) | 一种数据安全通道的处理方法及设备 | |
| US10356619B2 (en) | Access through non-3GPP access networks | |
| EP3629613B1 (en) | Network verification method, and relevant device and system | |
| US10432632B2 (en) | Method for establishing network connection, gateway, and terminal | |
| JP6628295B2 (ja) | 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート | |
| EP3324681B1 (en) | Processing method and device for accessing to 3gpp network by terminal | |
| CN111726228B (zh) | 使用互联网密钥交换消息来配置活动性检查 | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| US20230275883A1 (en) | Parameter exchange during emergency access using extensible authentication protocol messaging | |
| US11729164B2 (en) | Support of IMEI checking for WLAN access to a packet core of a mobile network | |
| WO2016169003A1 (zh) | 接入点名称授权的方法、装置及系统 | |
| KR102103320B1 (ko) | 이동 단말기, 네트워크 노드 서버, 방법 및 컴퓨터 프로그램 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| JP6151819B2 (ja) | データセキュリティチャネル処理方法およびデバイス |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: Nokia Technologies |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190225 Address after: Espoo, Finland Patentee after: Nokia Technologies Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |