專利名稱:一種對(duì)用戶設(shè)備能力進(jìn)行處理的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種對(duì)用戶設(shè)備能力進(jìn)行處理的方法和系統(tǒng)���。
背景技術(shù):
第三代合作伙伴計(jì)劃(3rdGeneration Partnership Pro ject,簡(jiǎn)稱為 3GPP)中演進(jìn)的分組系統(tǒng)(Evolved Packet System,簡(jiǎn)稱為EPS)由演進(jìn)的通用移動(dòng)通信系統(tǒng)陸地?zé)o線接入網(wǎng)(Evolved Universal Terrestrial Radio Access Network,簡(jiǎn)稱為E-UTRAN)、移動(dòng)管理單兀(Mobility Management Entity,簡(jiǎn)稱為 MME)�����、服務(wù)網(wǎng)關(guān)(Serving Gateway,簡(jiǎn)稱為S-GW)��、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(Packet Data Network Gateway���,簡(jiǎn)稱為P-GW或者PDN GW)���、歸屬用戶服務(wù)器(Home Subscriber Server,簡(jiǎn)稱為HSS)��、策略和計(jì)費(fèi)規(guī)則功能(Policy andCharging Rules Function,簡(jiǎn)稱為PCRF)實(shí)體及其他支撐節(jié)點(diǎn)組成�����。如圖1所示����,EPS系統(tǒng)支持與非3GPP系統(tǒng)的互通�����,其中���,與非3GPP系統(tǒng)的互通通過(guò)S2a/S2b/S2c接口實(shí)現(xiàn)��,3GPP與非3GPP系統(tǒng)間的錨點(diǎn)為P-GW�����。非3GPP系統(tǒng)被分為可信任非3GPP IP接入和不可信任非3GPP IP接入�����?��?尚湃畏?GPP IP接入可直接通過(guò)S2a接口與P-GW連接;不可信任非3GPP IP接入需經(jīng)過(guò)演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)(Evolved Packet DataGateway��,簡(jiǎn)稱為ePDG)與PDN GW相連�,ePDG與PDN Gff間的接口為S2b,S2c提供了 UE與P-Gff之間的用戶面相關(guān)的控制和移動(dòng)性支持�����,其支持的移動(dòng)性管理協(xié)議為支持雙棧的移動(dòng)IPv6 (Mobile IPv6 Support for Dual Stack Hosts and Routers,簡(jiǎn)稱為 DSMIPv6)�。圖1中,MME移動(dòng)管理單元負(fù)責(zé)移動(dòng)性管理���、非接入層信令的處理和用戶移動(dòng)管理上下文的管理等控制面的相關(guān)工作����;S-GW是與E-UTRAN相連的接入網(wǎng)關(guān)設(shè)備�,在E-UTRAN和P-GW之間轉(zhuǎn)發(fā)數(shù)據(jù),并且負(fù)責(zé)對(duì)尋呼等待數(shù)據(jù)進(jìn)行緩存�����;P_GW則是EPS與分組數(shù)據(jù)網(wǎng)絡(luò)(Packet Data Network,簡(jiǎn)稱為PDN)的邊界網(wǎng)關(guān)�����,負(fù)責(zé)PDN的接入及在EPS與PDN間轉(zhuǎn)發(fā)數(shù)據(jù)等功能�����;PCRF是策略和計(jì)費(fèi)規(guī)則功能實(shí)體�����,它通過(guò)接收接口 Rx和運(yùn)營(yíng)商網(wǎng)絡(luò)協(xié)議(Internet Protocol,簡(jiǎn)稱為IP)業(yè)務(wù)網(wǎng)絡(luò)相連,獲取業(yè)務(wù)信息,此外���,它通過(guò)Gx/Gxa/Gxc接口與網(wǎng)絡(luò)中的網(wǎng)關(guān)設(shè)備相連�����,負(fù)責(zé)發(fā)起IP承載的建立����,保證業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量(Quality of Service,簡(jiǎn)稱為QoS),并進(jìn)行計(jì)費(fèi)控制���。UE通過(guò)非信任的接入系統(tǒng)連接到EPS系統(tǒng)需要先選擇一個(gè)合適的ePDG�����,當(dāng)前技術(shù)UE選擇一個(gè)位置靠近UE所處接入系統(tǒng)的ePDG可以由3GPP AAA服務(wù)器根據(jù)UE的IP地址或者接入網(wǎng)系統(tǒng)的信息為UE選擇�����,這是UE和ePDG創(chuàng)建IKEv2安全聯(lián)盟建立IPSec隧道進(jìn)行認(rèn)證授權(quán)的過(guò)程中進(jìn)行的�����,要求UE和ePDG支持IETF定義的IKEv2的重定向機(jī)制(RFC5685 中 Redirect Mechanism for the IKEv2)���,此機(jī)制可以在 IKE_SA_INIT,IKE_AUTH過(guò)程中或者IKEv2會(huì)話建立完成后都可以實(shí)現(xiàn)IKEv2 Server的重定向����,在3GPP場(chǎng)景下,可以看做ePDG發(fā)起UE重定向到另外一個(gè)ePDG�。目前存在的問(wèn)題是,3GPP AAA服務(wù)器不知道UE是否有IKEv2重定向的能力(UE的這種能力不 是必選的)�����,如果3GPP AAA服務(wù)器查到離UE的更近的ePDG會(huì)通知到當(dāng)前eTOG����,當(dāng)前ePDG如果向不支持IKEv2重定向的UE通知重定向�,會(huì)導(dǎo)致UE無(wú)法識(shí)別消息內(nèi)容甚至進(jìn)行報(bào)錯(cuò)處理�����;當(dāng)前ePDG如果忽略3GPP AAA的重定向指示�,認(rèn)證授權(quán)流程也無(wú)法完成,此問(wèn)題會(huì)會(huì)導(dǎo)致整個(gè)IKEv2 Tunnel建立認(rèn)證授權(quán)流程出錯(cuò)���。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種進(jìn)行演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)重定向決策的方法及系統(tǒng)�,解決AAA服務(wù)器為不具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息選擇新的ePDG的引起的認(rèn)證授權(quán)流程出錯(cuò)問(wèn)題�����。為了解決上述技術(shù)問(wèn)題���,本發(fā)明提供了一種對(duì)用戶設(shè)備能力進(jìn)行處理的方法��,其中�,在創(chuàng)建終端與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)之間的因特網(wǎng)密鑰交換協(xié)議隧道過(guò)程中�,收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器。 進(jìn)一步,上述方法還可以具有以下特點(diǎn)所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)�����。進(jìn)一步�,上述方法還可以具有以下特點(diǎn)所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)包括所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí),所述AAA服務(wù)器為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程��,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端�;所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí),所述AAA服務(wù)器直接執(zhí)行認(rèn)證流程�����。進(jìn)一步���,上述方法還可以具有以下特點(diǎn)所述終端在與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)。進(jìn)一步�,上述方法還可以具有以下特點(diǎn)所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)向AAA服務(wù)器通知所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息的方式是以下方式的一種在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力標(biāo)識(shí)時(shí)表示終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能,不攜帶重定向能力標(biāo)識(shí)時(shí)表示終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能����;在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力,通過(guò)此重定向能力標(biāo)識(shí)的不同取值表示終端具有或者不具有因特網(wǎng)密鑰交換協(xié)議重定向功能�����。為了解決上述技術(shù)問(wèn)題,本發(fā)明還提供了一種對(duì)用戶設(shè)備能力進(jìn)行處理的系統(tǒng)����,包括終端、演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)��、認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器�����,其中��,所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)包括因特網(wǎng)密鑰交換重定向功能模塊����,所述AAA服務(wù)器包括認(rèn)證功能模塊;所述因特網(wǎng)密鑰交換重定向功能模塊�,用于在收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求后,將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述認(rèn)證功能模塊�����;所述認(rèn)證功能模塊����,用于根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)����。進(jìn)一步���,上述系統(tǒng)還可以具有以下特點(diǎn)所述認(rèn)證功能模塊�,還用于判斷所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�����,為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程���,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端����;判斷所述能力信·息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)����,直接執(zhí)行認(rèn)證流程�����。進(jìn)一步,上述系統(tǒng)還可以具有以下特點(diǎn)所述終端�����,用于在與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至此演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)����。為了解決上述技術(shù)問(wèn)題,本發(fā)明還提供了一種進(jìn)行演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)�����,包括因特網(wǎng)密鑰交換重定向功能模塊�����,其中����,所述因特網(wǎng)密鑰交換重定向功能模塊,用于在收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求后���,將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器�。為了解決上述技術(shù)問(wèn)題��,本發(fā)明還提供了一種認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器,其中�,所述認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器包括認(rèn)證功能模塊;所述認(rèn)證功能模塊�����,用于根據(jù)從演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)獲知的終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)�����;還用于判斷所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)���,為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程���,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端;判斷所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)��,直接執(zhí)行認(rèn)證流程���。本方案中將終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至3GPP AAA服務(wù)器�����,3GPP AAA服務(wù)器根據(jù)此所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)���,即3GPP AAA服務(wù)器只為具有此能力的終端選擇新的ePDG,可解決AAA服務(wù)器為不具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息選擇新的ePDG的引起的認(rèn)證授權(quán)流程出錯(cuò)問(wèn)題��。
圖1是現(xiàn)有技術(shù)中EPS系統(tǒng)支持與非3GPP系統(tǒng)的互通架構(gòu)圖���;圖2是對(duì)用戶設(shè)備能力進(jìn)行處理的方法示意圖�����;圖3是具體實(shí)施例一中對(duì)用戶設(shè)備能力進(jìn)行處理的方法流程圖���;圖4是具體實(shí)施例一中以WLAN為接入系統(tǒng)的具體流程圖;圖5是具體實(shí)施例二中對(duì)用戶設(shè)備能力進(jìn)行處理的方法流程圖����;圖6是具體實(shí)施例二中以WLAN為接入系統(tǒng)的具體流程圖。
具體實(shí)施方式
對(duì)用戶設(shè)備能力進(jìn)行處理的系統(tǒng)包括終端����、eTOG、認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器��,其中��,ePDG包括因特網(wǎng)密鑰交換重定向功能模塊。因特網(wǎng)密鑰交換重定向功能模塊���,用于在收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求后���,將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述認(rèn)證功能豐旲塊。其中���,AAA服務(wù)器包括認(rèn)證功能模塊����。所述認(rèn)證功能模塊�,用于根據(jù)所述能力信息決定是否為所述終端重新選擇ePDG。具體的���,所述認(rèn)證功能模塊判斷所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�,為所述終端選擇距離所述終端最近的ePDG并執(zhí)行認(rèn)證流程�,通過(guò)認(rèn)證流程將選擇出的ePDG的標(biāo)識(shí)通知至所述終端;判斷所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�,直接執(zhí)行認(rèn)證流程。其中�����,終端���,用于在與ePDG進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至此ePDG���。如圖2所示,應(yīng)用于上述系統(tǒng)的方法包括在創(chuàng)建終端與ePDG之間的因特網(wǎng)密鑰交換協(xié)議隧道過(guò)程中��,收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求的ePDG將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至AAA服務(wù)器�����。其中�,所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇ePDG。具體的���,AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇ePDG指所述能力信息表示所述終端具有因特 網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�,所述AAA服務(wù)器為所述終端選擇距離所述終端最近的ePDG并執(zhí)行認(rèn)證流程���,通過(guò)認(rèn)證流程將選擇出的ePDG的標(biāo)識(shí)通知至所述終端����;所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�,所述AAA服務(wù)器直接執(zhí)行認(rèn)證流程�����。其中���,終端在與ePDG進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述ePDG。ePDG向AAA服務(wù)器通知所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息的方式是以下方式的一種—����,在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力標(biāo)識(shí)時(shí)表示終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能,不攜帶重定向能力標(biāo)識(shí)時(shí)表示終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能���;二�����,在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力�,通過(guò)此重定向能力標(biāo)識(shí)的不同取值表示終端具有或者不具有因特網(wǎng)密鑰交換協(xié)議重定向功能�����。具體實(shí)施例一如圖3所示�����,此實(shí)施例中,UE通過(guò)非信任的非3GPP接入系統(tǒng)連接到EPS系統(tǒng)����,UE和ePDG在創(chuàng)建因特網(wǎng)密鑰交換協(xié)議(IKEv2)隧道過(guò)程中���,eTOG向3GPP AAA服務(wù)器通知UE具有IKEv2重定向能力信息�����,3GPP AAA服務(wù)器根據(jù)為UE重新選擇ePDG�。具體流程如下步驟301 UE連接到非3GPP接入系統(tǒng)���,可選地進(jìn)行非3GPP接入的認(rèn)證授權(quán)�,在此過(guò)程中�����,3GPP AAA服務(wù)器可以將運(yùn)營(yíng)商的相關(guān)策略信息和簽約信息發(fā)送給接入網(wǎng)絡(luò)��;步驟302 UE和ePDG交換第一對(duì)消息IKE_SA_INIT協(xié)商加密算法�����,進(jìn)行隨機(jī)數(shù)的交換等,在此流程中UE將自己支持IKEv2重定向能力通過(guò)REDIRECT_SUPPORTED消息(由RFC5685定義)通知給ePDG ��;步驟303 UE通過(guò)ePDG和AAA服務(wù)器進(jìn)行的身份認(rèn)證信息的交互�;步驟304 :UE發(fā)送包含可擴(kuò)展的身份驗(yàn)證協(xié)議(Extension AuthenticationProtocol,簡(jiǎn)稱EAP)消息的因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)請(qǐng)求消息到ePDG�����,響應(yīng)身份認(rèn)證交互過(guò)程中收到的認(rèn)證挑戰(zhàn)�,同時(shí)UE還可以將所處接入網(wǎng)絡(luò)的標(biāo)識(shí)信息作為位置信息包含在該消息中;步驟305 ePDG將EAP-Response響應(yīng)消息(帶AKA挑戰(zhàn)信息)發(fā)送給3GPP AAA服務(wù)器�����,并在此消息中攜帶UE具備IKEv2重定向能力的標(biāo)識(shí)���,或者將用于表示UE能力信息的標(biāo)志位置I ;步驟306-307 3GPP AAA服務(wù)器收到上述響應(yīng)消息后���,獲知UE具備IKEv2重定向能力,根據(jù)當(dāng)前UE的位置信息選擇一個(gè)靠近的ePDG標(biāo)識(shí)(可以是ePDG的IPv4或IPv6地·址�����,也可以是FQDN)信息包含在認(rèn)證回答消息中發(fā)送給ePDG ;步驟308 ePDG通過(guò)IKEv2向UE發(fā)送因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)響應(yīng)消息�����,IKE_AUTH響應(yīng)消息包含攜帶重定向指示信息和來(lái)自3GPP AAA Server的新的ePDG身份信息����,可以是ePDG的IPv4或IPv6地址,也可以是FQDN �;步驟309 UE根據(jù)重定向指示信息向新的ePDG發(fā)起IKEv2認(rèn)證建立IPSec隧道��。如圖4所示�����,以WLAN系統(tǒng)作為非信任的非3GPP接入系統(tǒng)的特例�����,具體說(shuō)明上述執(zhí)行流程�。WLAN系統(tǒng)包括接入點(diǎn)(Access Point,簡(jiǎn)稱AP)例如WiFi接入點(diǎn)/接入控制點(diǎn)(Access Controller,簡(jiǎn)稱 AC),家庭網(wǎng)關(guān)(Residential Gateway,簡(jiǎn)稱 RG)以及接入寬帶接入服務(wù)器(Broadband Remote Access Server,簡(jiǎn)稱 BRAS) / 寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BroadbandNetwork Gateway,簡(jiǎn)稱BNG)等主要設(shè)備網(wǎng)元�。具體流程包括步驟401 :用戶設(shè)備建立到WLAN接入系統(tǒng)的無(wú)線連接,建立三層連接��,BRAS/BNG為用戶設(shè)備分配IP地址。步驟402 UE通過(guò)WLAN接入系統(tǒng)進(jìn)行非3GPP接入的認(rèn)證授權(quán)�,這里,3GPP AAA服務(wù)器可以將運(yùn)營(yíng)商的相關(guān)策略信息和簽約信息發(fā)送給BRAS/BNG����,3GPP AAA Server在此流程中也可以從BNG/BRAS處獲取WLAN接入系統(tǒng)的位置信息。步驟403 UE和ePDG交換第一對(duì)消息IKE_SA_INIT協(xié)商加密算法�����,進(jìn)行隨機(jī)數(shù)的交換等���,在此流程中UE會(huì)將自己支持IKEv2重定向能力通過(guò)REDIRECT_SUPP0RTED(由RFC5685定義)通知給ePDG��。步驟404 :UE通過(guò)ePDG和AAA服務(wù)器進(jìn)行的身份認(rèn)證信息的交互����。步驟405 UE向ePDG發(fā)送包含EAP消息的因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)請(qǐng)求消息到eH)G�,響應(yīng)身份認(rèn)證交互過(guò)程中收到的認(rèn)證挑戰(zhàn)。步驟406 ePDG將EAP-Response響應(yīng)消息(帶AKA挑戰(zhàn)信息)發(fā)送給3GPP AAA服務(wù)器����,并在此消息中攜帶UE具備IKEv2重定向能力的標(biāo)識(shí),或者將用于表示UE能力信息的標(biāo)志位置I��。步驟407-408 3GPP AAA服務(wù)器收到上述響應(yīng)消息后,獲知UE具備IKEv2重定向能力���,根據(jù)當(dāng)前UE的位置信息選擇一個(gè)靠近的ePDG標(biāo)識(shí)(可以是ePDG的IPv4或IPv6地址�����,也可以是FQDN)信息包含在認(rèn)證回答消息中發(fā)送給ePDG����。步驟409 ePDG通過(guò)IKEv2向UE發(fā)送因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)響應(yīng)消息�����,IKE_AUTH響應(yīng)消息包含攜帶重定向指示信息和從3GPP AAA服務(wù)器收到的新的ePDG身份信
肩�、O步驟410 UE向新的ePDG發(fā)起IKEv2認(rèn)證建立IPSec隧道���。具體實(shí)施例二如圖5所示�,此實(shí)施例中����,UE通過(guò)非信任的非3GPP接入系統(tǒng)連接到EPS系統(tǒng),UE和ePDG在創(chuàng)建因特網(wǎng)密鑰交換協(xié)議(IKEv2)隧道過(guò)程中��,eTOG向3GPP AAA服務(wù)器通知UE不具有IKEv2重定向能力信息,3GPPAAA服務(wù)器不為UE重新選擇ePDG���。具體流程如下步驟501 UE連接到非3GPP接入系統(tǒng)��,可選地進(jìn)行非3GPP接入的認(rèn)證授權(quán)��,在此
過(guò)程中�,3GPP AAA服務(wù)器可以將運(yùn)營(yíng)商的相關(guān)策略信息和簽約信息發(fā)送給接入網(wǎng)絡(luò)�;步驟502 UE和ePDG交換第一對(duì)消息IKE_SA_INIT協(xié)商加密算法,進(jìn)行隨機(jī)數(shù)的交換等�����,在此流程中UE將自己不支持IKEv2重定向能力通過(guò)REDIRECT_SUPPORTED消息(由RFC5685定義)通知給ePDG �����;步驟503 UE通過(guò)ePDG和AAA服務(wù)器進(jìn)行的身份認(rèn)證信息的交互�����;步驟504 :UE發(fā)送包含可擴(kuò)展的身份驗(yàn)證協(xié)議(Extension AuthenticationProtocol����,簡(jiǎn)稱EAP)消息的因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)請(qǐng)求消息到ePDG��,響應(yīng)身份認(rèn)證交互過(guò)程中收到的認(rèn)證挑戰(zhàn)���,同時(shí)UE還可以將所處接入網(wǎng)絡(luò)的標(biāo)識(shí)信息作為位置信息包含在該消息中;步驟505 ePDG將EAP-Response響應(yīng)消息(帶AKA挑戰(zhàn)信息)發(fā)送給3GPP AAA服務(wù)器�����,并在此消息中不攜帶UE的IKEv2重定向能力標(biāo)識(shí)��,或者將用于表示UE能力信息的標(biāo)志位置0 ;步驟506-507 3GPP AAA服務(wù)器收到上述響應(yīng)消息后���,獲知UE不具備IKEv2重定向能力����,繼續(xù)后續(xù)認(rèn)證授權(quán)���;步驟508 ePDG通過(guò)IKEv2向UE發(fā)送因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)響應(yīng)消息。步驟509 UE和ePDG完成后續(xù)IKEv2認(rèn)證流程建立IPSec隧道�。如圖6所示,以WLAN系統(tǒng)作為非信任的非3GPP接入系統(tǒng)的特例�,具體說(shuō)明上述執(zhí)行流程,具體流程包括步驟601 :用戶設(shè)備建立到WLAN接入系統(tǒng)的無(wú)線連接�����,建立三層連接,BRAS/BNG為用戶設(shè)備分配IP地址����。步驟602 UE通過(guò)WLAN接入系統(tǒng)進(jìn)行非3GPP接入的認(rèn)證授權(quán),這里��,3GPP AAA服務(wù)器可以將運(yùn)營(yíng)商的相關(guān)策略信息和簽約信息發(fā)送給BRAS/BNG��,3GPP AAA Server在此流程中也可以從BNG/BRAS處獲取WLAN接入系統(tǒng)的位置信息��。步驟603 UE和ePDG交換第一對(duì)消息IKE_SA_INIT協(xié)商加密算法�,進(jìn)行隨機(jī)數(shù)的交換等,在此流程中UE會(huì)將自己支持IKEv2重定向能力通過(guò)REDIRECT_SUPP0RTED(由RFC5685定義)通知給ePDG���。步驟604 UE向ePDG發(fā)送包含EAP消息的因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)請(qǐng)求消息到eH)G���,響應(yīng)身份認(rèn)證交互過(guò)程中收到的認(rèn)證挑戰(zhàn)。步驟605 ePDG將EAP-Response響應(yīng)消息(帶AKA挑戰(zhàn)信息)發(fā)送給3GPP AAA服務(wù)器���,在此消息中不攜帶UE的IKEv2重定向能力標(biāo)識(shí)����,或者將用于表示UE能力信息的標(biāo)志位置0 ;
步驟606-607 3GPP AAA服務(wù)器收到上述響應(yīng)消息后,獲知UE不具備IKEv2重定向能力�����,繼續(xù)后續(xù)的認(rèn)證授權(quán)流程���。步驟608 ePDG通過(guò)IKEv2向UE發(fā)送因特網(wǎng)密鑰交換認(rèn)證(IKE_AUTH)響應(yīng)消息��。步驟609 UE和ePDG完成后續(xù)IKEv2認(rèn)證流程建立IPSec隧道�。本方案中ePDG將UE的能力通知至3GPP AAA服務(wù)器�����,不限于UE的IKEv2重定向能力����,還可以是UE是否具有網(wǎng)關(guān)能力,3GPP AAA服務(wù)器根據(jù)UE的能力來(lái)決定是否執(zhí)行相應(yīng)的操作���。需要說(shuō)明的是�����,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相
互任意組合��。 當(dāng)然���,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形��,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過(guò)程序來(lái)指令相關(guān)硬件完成,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���,如只讀存儲(chǔ)器�、磁盤(pán)或光盤(pán)等�。可選地�,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來(lái)實(shí)現(xiàn)。相應(yīng)地�,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合��。
權(quán)利要求
1.一種對(duì)用戶設(shè)備能力進(jìn)行處理的方法���,其中��,在創(chuàng)建終端與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)之間的因特網(wǎng)密鑰交換協(xié)議隧道過(guò)程中����,收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器�����。
2.如權(quán)利要求1所述的方法����,其特征在于,所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)���。
3.如權(quán)利要求2所述的方法���,其特征在于,所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)包括所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)���,所述AAA服務(wù)器為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程���,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端;所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�����,所述AAA服務(wù)器直接執(zhí)行認(rèn)證流程�����。
4.如權(quán)利要求1��、2或3所述的方法��,其特征在于���,所述終端在與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)���。
5.如權(quán)利要求1、2或3所述的方法�����,其特征在于,所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)向AAA服務(wù)器通知所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息的方式是以下方式的一種在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力標(biāo)識(shí)時(shí)表示終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能��,不攜帶重定向能力標(biāo)識(shí)時(shí)表示終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能��;在向所述AAA服務(wù)器發(fā)送的擴(kuò)展認(rèn)證協(xié)議響應(yīng)消息中攜帶重定向能力����,通過(guò)此重定向能力標(biāo)識(shí)的不同取值表示終端具有或者不具有因特網(wǎng)密鑰交換協(xié)議重定向功能。
6.一種對(duì)用戶設(shè)備能力進(jìn)行處理的系統(tǒng)�����,包括終端����、演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)、認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器�,其中,所述演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)包括因特網(wǎng)密鑰交換重定向功能模塊�;所述因特網(wǎng)密鑰交換重定向功能模塊,用于在收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求后��,將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至所述AAA服務(wù)器�。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于����,所述AAA服務(wù)器包括認(rèn)證功能模塊����;所述認(rèn)證功能模塊�,用于根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān);具體的�,判斷所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)���,為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程���,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端;判斷所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)�,直接執(zhí)行認(rèn)證流程。
8.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于���,所述終端��,用于在與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)密鑰交換安全聯(lián)盟初始化程序中將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至此演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)��。
9.一種進(jìn)行演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)��,包括因特網(wǎng)密鑰交換重定向功能模塊�,其中,所述因特網(wǎng)密鑰交換重定向功能模塊��,用于在收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求后�,將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器。
10.一種認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����,其中,所述認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器包括認(rèn)證功能模塊�����;所述認(rèn)證功能模塊����,用于根據(jù)從演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)獲知的終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān);具體的����,判斷所述能力信息表示所述終端具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí),為所述終端選擇距離所述終端最近的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)并執(zhí)行認(rèn)證流程�����,通過(guò)認(rèn)證流程將選擇出的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)的標(biāo)識(shí)通知至所述終端;判斷所述能力信息表示所述終端不具有因特網(wǎng)密鑰交換協(xié)議重定向功能時(shí)����,直接執(zhí)行認(rèn)證流程。
全文摘要
本發(fā)明公開(kāi)了一種對(duì)用戶設(shè)備能力進(jìn)行處理的方法和系統(tǒng)���,其中�����,在創(chuàng)建終端與演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)之間的因特網(wǎng)密鑰交換協(xié)議隧道過(guò)程中,收到終端發(fā)送的因特網(wǎng)密鑰交換認(rèn)證請(qǐng)求的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)將所述終端是否具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息通知至認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器即AAA服務(wù)器�,所述AAA服務(wù)器根據(jù)所述能力信息決定是否為所述終端重新選擇演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)。本方案中3GPP AAA服務(wù)器只為具有此能力的終端選擇新的ePDG���,可解決AAA服務(wù)器為不具有因特網(wǎng)密鑰交換協(xié)議重定向功能的能力信息選擇新的ePDG的引起的認(rèn)證授權(quán)流程出錯(cuò)問(wèn)題�����。
文檔編號(hào)H04W8/24GK103002429SQ201110269720
公開(kāi)日2013年3月27日 申請(qǐng)日期2011年9月13日 優(yōu)先權(quán)日2011年9月13日
發(fā)明者周星月, 朱春暉 申請(qǐng)人:中興通訊股份有限公司