專利名稱:通過非3gpp接入網(wǎng)的接入的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在UE (用戶設(shè)備)(也稱作終端、用戶終端或用戶站)與網(wǎng)絡(luò)節(jié)點之間建立通信的方法,并且還涉及一種包括至少UE和網(wǎng)絡(luò)節(jié)點的系統(tǒng)。
背景技術(shù):
3GPP (第3代合作伙伴計劃)正在為數(shù)據(jù)分組轉(zhuǎn)發(fā)制定一個稱為EPS (演進(jìn)分組系統(tǒng))的擴(kuò)展標(biāo)準(zhǔn)。在EPS中,除諸如WCMDA (寬帶碼分多址接入)、LTE (長期演進(jìn))之類的原生3GPP接入技術(shù)之外,也將支持通過非3GPP接入方式接入數(shù)據(jù)通信服務(wù)和/或互聯(lián)網(wǎng)服務(wù),具體包括經(jīng)由非3GPP接入方法/技術(shù)/網(wǎng)絡(luò)/標(biāo)準(zhǔn)(例如,根據(jù)標(biāo)準(zhǔn)IEEE802. 16的 WiMAX、例如根據(jù)標(biāo)準(zhǔn)IEEE 802. llg/n的WLAN(無線局域網(wǎng))、以及xDSL(數(shù)字訂戶系統(tǒng)) 等)通過諸如HPLMN(本地公用陸地移動網(wǎng)絡(luò))之類的本地網(wǎng)絡(luò)進(jìn)行接入。這里,為了進(jìn)行討論,“本地網(wǎng)絡(luò)”應(yīng)當(dāng)被理解為與終端用戶具有針對網(wǎng)絡(luò)接入或服務(wù)接入的商業(yè)協(xié)議(通常采取預(yù)訂的形式)的實體,并且因此包括傳統(tǒng)的電信運營商網(wǎng)絡(luò)和虛擬運營商等。接入網(wǎng)絡(luò)可以由本地網(wǎng)絡(luò)以外的其他實體來運營和/或管理,在這種情況下,兩個網(wǎng)絡(luò)之間通常已經(jīng)存在商業(yè)協(xié)議。非3GPP接入方法可以被歸為兩類中的一類-可信的非3GPP接入,以及-非可信的非3GPP接入,也被稱為非可信的非3GPP接入。這兩類非3GPP接入方法如圖Ia所示,圖Ia是標(biāo)準(zhǔn)文檔3GPPTS23. 402,“非3GPP 接入的架構(gòu)增強(qiáng)”中所定義的“演進(jìn)分組系統(tǒng)”的概述。目前,針對EPS接入的術(shù)語“可信”與“非可信”的確切定義還在討論中。由于技術(shù)方面和商業(yè)方面存在的問題,該討論非常復(fù)雜,例如,從技術(shù)方面考慮到下列問題接入是否由于充足的技術(shù)保護(hù)手段就能安全/可信,以及從商業(yè)方面考慮到下列問題本地運營商,即本地網(wǎng)絡(luò)的運營商與接入網(wǎng)運營商之間是否存在足夠有力的“協(xié)商”,由此使得從本地運營商的角度接入網(wǎng)是可信的。因此,由訂戶利益(比如隱私)和運營商利益(比如 商業(yè))來共同確定某一接入過程是否可信。清楚的是可信與非可信的非3GPP接入網(wǎng)通常是使用接入技術(shù)的IP (互聯(lián)網(wǎng)協(xié)議) 接入網(wǎng),該接入技術(shù)的規(guī)范在3GPP范圍之外。日前,3GPP SA2為了在這一方面其作用所采用的“假設(shè)”在于非3GPP IP接入網(wǎng)是否可信并不作為接入網(wǎng)自身的特性。在非漫游的場景中,由HPLMN的運營商(也就是本地運營商)來決定特定的非3GPP IP接入網(wǎng)是否被用作可信或非可信的非3GPP接入網(wǎng),并且運營商能夠在各種情況下實現(xiàn)適當(dāng)?shù)陌踩胧?,例如根?jù)下文中背景描述的討論。
顯然,不同類型的非3GPP接入將在本地網(wǎng)絡(luò)與終端/UE之間使用不同的保護(hù)手段,例如-在非可信接入中建立連接性時,很可能建立終端與接入“之上”的“網(wǎng)關(guān)”節(jié)點 (即,如圖Ia中所示的ePDG(演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)))之間的Psec (互聯(lián)網(wǎng)協(xié)議安全)隧道。 這里采用“連接性”來表示“正在連接的狀態(tài)”。msec隧道的建立另外通過根據(jù)IKE (互聯(lián)網(wǎng)密鑰交換)協(xié)議所執(zhí)行的過程來進(jìn)行,具體是IKE協(xié)議的版本2。這將使安全性或多或少地獨立于所使用的接入網(wǎng)的安全性特征。然而,可信的接入將不具備或者不需要這種特征。-在可信接入中建立連接性時,很可能使用EAP(可擴(kuò)展認(rèn)證協(xié)議),并且它可以包括用于接入認(rèn)證的EAP AKA(認(rèn)證和密鑰協(xié)商)方法,但不是必須的,而非可信接入可以使用或可以不使用ΕΑΡ。-根據(jù)不同方法建立的接入,可以使用不同的移動性解決方案,例如客戶端 MIP (移動IP)或者PMIP (代理MIP)。設(shè)想UE例如為了通過非3GPP接入網(wǎng)附著到某些服務(wù)而打算建立連接。假設(shè)UE 通常不知道本地網(wǎng)絡(luò)將該接入認(rèn)作視為可信還是非可信的。然后,問題在于,UE是否應(yīng)建立到ePDG的IPsec隧道,這是需要相對大量的資源/成本/時間的過程,如果可能的話應(yīng)當(dāng)避免。具體來說,如果UE嘗試使用IKE/Psec,而實際上網(wǎng)絡(luò)并不支持,那么將會浪費信令,或者產(chǎn)生錯誤案例。在可以利用適當(dāng)?shù)男畔E進(jìn)行靜態(tài)預(yù)配置時,不存在通用的方法來動態(tài)地信號通知UE該接入被視為可信與否。通常,UE可以根據(jù)正使用的技術(shù)(例如,WiMAX或者 WLAN)推導(dǎo)出一些“技術(shù)”方面,但是UE無法獲得信息并理解所有的技術(shù)方面,例如,ePDG的存在或者要使用哪一種移動性協(xié)議。從更高的層面看,UE無法獲知“商業(yè)”驅(qū)動的方面。例如,考慮給定的非3GPP接入網(wǎng)絡(luò),例如由某一方或運營商A提供的WiMAX網(wǎng)絡(luò)。兩個不同的本地網(wǎng)絡(luò)運營商B和C由于其安全性策略和商業(yè)協(xié)定而可以關(guān)于運營商A以及所提供的網(wǎng)絡(luò)是否可信存在不同觀點。因此,使用運營商B的預(yù)訂的UE也許應(yīng)該認(rèn)為運營商A及其接入網(wǎng)是可信的,而使用運營商C的預(yù)訂的UE應(yīng)該認(rèn)為運營商A及其接入網(wǎng)絡(luò)是非可信的。 如果考慮到3GPP網(wǎng)絡(luò)中的“傳統(tǒng)”接入,例如根據(jù)標(biāo)準(zhǔn)文檔3GPP TS 33. 234的I-WLAN(互聯(lián)無線局域網(wǎng)),情況會變得更復(fù)雜。在通過I-WLAN接入網(wǎng)的接入中,采取PDG (分組數(shù)據(jù)網(wǎng)關(guān),一種根據(jù)通用及更早的3GPP協(xié)議的網(wǎng)關(guān),以區(qū)別于上文提到的特定ePDG)形式出現(xiàn)的網(wǎng)關(guān)可以用于終止去往/來自UE的IPsec隧道,并且因此將該WLAN網(wǎng)絡(luò)視為“非可信的”。然而,在未來,例如由于使用了根據(jù)IEEE 802. Ili標(biāo)準(zhǔn)的安全性增強(qiáng)措施,通過與EPS 相連的WLAN的接入可能是可信的,并且因而可以不使用或包含IPsec/PDG。這(再一次) 表明,給定接入技術(shù)可以視為可信的或者可以視為不可信的,并且視情況對UE采用不同的安全手段??偠灾枰环N向UE通知接入網(wǎng)的至少某些“屬性”的方式,這些屬性包括接入是否是可信的,應(yīng)當(dāng)使用哪種移動性和安全性功能等。此外,進(jìn)行這一通知的方法應(yīng)該足夠安全以避免攻擊,當(dāng)然它通常也應(yīng)該提供魯棒性。
發(fā)明內(nèi)容
本發(fā)明的目的是允許UE按照至少在一方面或者更多方面是有效和/或安全的方式來建立到網(wǎng)絡(luò)的連接、或者通過網(wǎng)絡(luò)建立連接。例如,這些方面可以包括帶寬/信令/計算開銷和對抗惡意攻擊的強(qiáng)度。因此,例如,可以允許UE依據(jù)它應(yīng)該通過其進(jìn)行連接的網(wǎng)絡(luò)的屬性來選擇一種通信方式。通常,當(dāng)建立來自UE的連接時,例如用于提供針對UE的IP連接以允許UE使用某些服務(wù),將與第一網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)屬性從第二網(wǎng)絡(luò)中的節(jié)點發(fā)送至UE。第一網(wǎng)絡(luò)可以包括接入網(wǎng),第二網(wǎng)絡(luò)例如可以與第一網(wǎng)絡(luò)相同,或者可以是UE/訂戶的本地網(wǎng)絡(luò)。因此,在第二種情況下,節(jié)點可以駐留于或者被連接到本地網(wǎng)絡(luò)。UE使用網(wǎng)絡(luò)屬性來選擇接入第一網(wǎng)絡(luò)的適當(dāng)方式。第一網(wǎng)絡(luò)可以是上面已經(jīng)提及的接入網(wǎng),例如WLAN,包括WLAN的無線接入部分和到接入點的固定線路連接,也可以是核心網(wǎng),或者核心網(wǎng)中位于接入網(wǎng)之后的所選擇部分。可以在建立通信的初始階段轉(zhuǎn)發(fā)至UE的消息中或內(nèi),具體是在認(rèn)證過程(例如在認(rèn)證過程的第一階段)發(fā)送的消息內(nèi),對關(guān)于網(wǎng)絡(luò)屬性的信息或者網(wǎng)絡(luò)屬性的指示進(jìn)行發(fā)送。因此,UE可以以安全的方式獲悉至少一種必要的接入“屬性”,而不需要增加新的信令往來或協(xié)議。具體地,網(wǎng)絡(luò)屬性可以向UE指示與該網(wǎng)絡(luò)屬性相關(guān)的第一網(wǎng)絡(luò)是否可信。該屬性也可以或備選地與UE應(yīng)使用的特定協(xié)議有關(guān),具體是要使用的移動性和/或安全性協(xié)議。例如,與網(wǎng)絡(luò)屬性相關(guān)的第一網(wǎng)絡(luò)可以是上述提及的接入網(wǎng)。第二網(wǎng)絡(luò)中的節(jié)點可以包括AAA(認(rèn)證、授權(quán)和記賬)服務(wù)器。因此,網(wǎng)絡(luò)屬性可以指示接入網(wǎng)是否可信,并且該指示可以被包括在EAP消息中而從AAA服務(wù)器發(fā)送。具體地,該屬性可以被包括在EAP 請求/AKA挑戰(zhàn)消息內(nèi)、在EAP請求/AKA-通知消息內(nèi)、或者在EAP成功消息內(nèi)而進(jìn)行發(fā)送。備選地,第二網(wǎng)絡(luò)中的節(jié)點還可以包括HSS(歸屬用戶服務(wù)器)。為了執(zhí)行相應(yīng)的過程步驟,這里所描述的接入方法的表示通常包括一個或多個計算機(jī)程序或計算機(jī)例程,亦即,通常是計算機(jī)(這里也稱為處理器或者電子處理器)可讀的程序代碼的部分。程序代碼的部分可以被寫入一個或多個計算機(jī)程序產(chǎn)品(即,程序代碼載體,例如硬盤、光盤(CD)、存儲卡或者軟盤)中,或者從一個或者多個計算機(jī)程序產(chǎn)品讀出。程序代碼的部分可以例如存儲在UE和/或網(wǎng)路節(jié)點或者服務(wù)器的存儲器中,例如閃存、 EEPROM(電可擦寫可編程只讀存儲器)、硬盤或者R0M(只讀存儲器)。
通過下列結(jié)合附圖進(jìn)行理解的本發(fā)明的示例性實施例的詳細(xì)描述,將更好地理解本發(fā)明的目的、優(yōu)點、效果以及特點,在附圖中-圖Ia是根據(jù)現(xiàn)有技術(shù)的EPS的示意圖,-圖Ib是包括VPLMN(被訪問的公用陸地移動網(wǎng)絡(luò))的EPS的另一示意圖,-圖2是在根據(jù)EAP的認(rèn)證過程中所涉及的節(jié)點之間傳送的信令的圖示,-圖3是在用戶設(shè)備的接入過程中所涉及的節(jié)點之間傳送的信令的圖示,-圖如是用戶設(shè)備的框圖,示意了取回接收消息中的特定信息或者對接收消息中的特定信息進(jìn)行解釋、以及使用該特定信息所需要的單元或模塊,-圖4b是用戶設(shè)備的框圖,示意了其典型內(nèi)部組件,
-圖如是用戶設(shè)備所使用的保存或承載程序代碼的存儲器單元的示意圖,_圖如是節(jié)點或服務(wù)器的圖如類似的框圖,示意了取回消息中的特定信息和在消息中插入特定信息所需要的單元,-圖恥是與圖fe類似的框圖,其中所述消息是認(rèn)證過程中包括的消息,-圖5c是與節(jié)點或服務(wù)器的圖4b類似的框圖,示意了其典型的內(nèi)部組件,以及-圖5d是服務(wù)器所使用的保存或承載程序代碼的存儲器單元的示意圖。
具體實施例方式盡管本發(fā)明覆蓋了各種修改和備選架構(gòu),然而附圖中對本發(fā)明的實施例進(jìn)行說明,下面將對這些實施例進(jìn)行詳細(xì)描述。然而,應(yīng)理解,特定描述和附圖并不旨在將本發(fā)明局限于所描述的特定方式。相反,本發(fā)明的范圍旨在包括落入本發(fā)明的思想和范圍內(nèi)的所有修改和備選架構(gòu)?,F(xiàn)在將對涉及將接入本地網(wǎng)路的UE的過程進(jìn)行描述。具體地,將描述UE如何建立網(wǎng)絡(luò)連接。例如,該目的可以是UE期望通過本地網(wǎng)絡(luò)建立通往諸如客戶端或服務(wù)器(未示出)的、與本地網(wǎng)絡(luò)或可通過本地網(wǎng)絡(luò)接入的服務(wù)相連的一方的連接。然而,這里所描述的過程僅僅專注于網(wǎng)絡(luò)連接的建立,如何或者為何種目的使用連接不是該過程的一部分。在圖Ib中,示意了所涉及的大多數(shù)重要組件。UEl (通常是諸如移動電話或移動臺之類的終端)將通過非3GPP接入網(wǎng)建立連接,從本地網(wǎng)絡(luò)HPLMN 5的角度看,非3GPP接入網(wǎng)可以是諸如以3表示的可信網(wǎng)絡(luò),也可以是諸如以3’表示的非可信網(wǎng)絡(luò)。此外,在所示意的情況中,UEl也處于漫游中,S卩,它將通過VPLMN 7經(jīng)由相應(yīng)的接入網(wǎng)接入到其HPLMN中。這里, HPLMN和VPLMN都被假設(shè)是根據(jù)EPS標(biāo)準(zhǔn)進(jìn)行工作的。同時,假設(shè)UEl擁有根據(jù)相同標(biāo)準(zhǔn)進(jìn)行工作的配套設(shè)施??梢约僭O(shè)正在經(jīng)由非3GPP接入網(wǎng)使用標(biāo)準(zhǔn)EPS來建立連接的、與本地網(wǎng)絡(luò)5相關(guān)聯(lián)的UEl擁有USIM(全球用戶識別卡模)(圖中未示出)。即使接入認(rèn)證不需要USIM,典型地,建立到VPLMN中的ePDG 9的安全I(xiàn)I^sec連接和/或建立安全移動性信令(例如,MIP) 也需要USIM。UE 1通過啟動建立過程來發(fā)起連接建立。首先,UE 1發(fā)送請求信號或消息,以請求到非3GPP接入網(wǎng)3,3’的連接,參見圖3中示意接入的建立過程中的步驟的信號圖。該請求可以包含UE 1的基本/物理接入的特定標(biāo)識符,比如MAC(媒體接入控制)地址等。相應(yīng)接入網(wǎng)中的接入節(jié)點(AN) 11接收請求信號或消息,分析請求信號或消息,并通過啟動UE 標(biāo)識交換過程來進(jìn)行響應(yīng),例如,這是根據(jù)EAP的認(rèn)證過程的第一階段。該標(biāo)識典型地是可以包括與UE 1的本地網(wǎng)路相關(guān)的信息在內(nèi)的邏輯標(biāo)識,通常不依賴于某種特定的接入技術(shù)。在這樣一個UE標(biāo)識交換過程中,相應(yīng)接入網(wǎng)3,3’中的AN 11首先向UE 1發(fā)送EAP請求標(biāo)識消息,參見圖2中的更詳細(xì)的信號圖。UE 1接收EAP請求標(biāo)識消息,并響應(yīng)于此而發(fā)送EAP響應(yīng)標(biāo)識消息,該EAP響應(yīng)標(biāo)識消息包含關(guān)于UE標(biāo)識的信息,并由相應(yīng)接入網(wǎng)中的 AN 11接收。AN將該消息識別為EAP響應(yīng)標(biāo)識消息,并將它轉(zhuǎn)發(fā)到HPLMN5中針對UE 1或與UEl相關(guān)聯(lián)的相應(yīng)服務(wù)器13,對于圖Ib中示意的情況,該轉(zhuǎn)發(fā)過程是通過VPLMN 7發(fā)生的。當(dāng)通過諸如802. Ix之類的接入特定協(xié)議承載UE 1與AN 11之間的認(rèn)證/EAP信令時, 典型地通過基于IP的AAA協(xié)議(例如,Diameter或者Radius)來承載轉(zhuǎn)發(fā)到服務(wù)器13的認(rèn)證/ΕΑΡ。因此,ANll可以在通過AAA協(xié)議轉(zhuǎn)發(fā)EAP消息時添加附加信息元素,例如接入網(wǎng)3,3’或者AN 11的標(biāo)識符。當(dāng)HPLMN中的服務(wù)器接收到EAP響應(yīng)標(biāo)識消息時,服務(wù)器可以從該EAP響應(yīng)標(biāo)識消息中獲得或推導(dǎo)出接入網(wǎng)3,3’的標(biāo)識,通過接入網(wǎng)3,3’,例如經(jīng)由 AAA協(xié)議中所攜帶的網(wǎng)絡(luò)標(biāo)識符來轉(zhuǎn)發(fā)該消息。HPLMN 5中的服務(wù)器13可以是AAA服務(wù)器或者HSS?,F(xiàn)在,該認(rèn)證過程開始,這個過程也可以例如根據(jù)EAP來執(zhí)行。在認(rèn)證過程中,在服務(wù)器13與UE 1之間發(fā)送適當(dāng)?shù)南ⅲ@些消息實質(zhì)上沒有改變地通過接入網(wǎng)3,3’轉(zhuǎn)發(fā),經(jīng)過接入節(jié)點11 (AN 11)和VPLMN 7。因此,除了執(zhí)行AAA協(xié)議與接入特定信令協(xié)議之間的轉(zhuǎn)換之外,AN 11典型地僅在UE與服務(wù)器之間中繼所有這些消息。如從圖2中所能看到的,這些與認(rèn)證過程相關(guān)聯(lián)的消息可以包括(按照時間順序)從服務(wù)器發(fā)送的EAP請求AKA挑戰(zhàn)消息;從UE發(fā)送的EAP響應(yīng)AKA挑戰(zhàn)消息;從服務(wù)器發(fā)送的EAP請求AKA通知消息;從UE發(fā)送的EAP請求AKA通知消息;以及在假設(shè)認(rèn)證成功的情況下從服務(wù)器發(fā)送的EAP成功消息。基于這一點,接入網(wǎng)可以給UE分配本地IP地址。然而,UE可能仍然不可達(dá),并且可能還需要采取進(jìn)一步的步驟來建立與其他各方的連接。具體而言,當(dāng)UE可能需要建立與網(wǎng)關(guān)節(jié)點的連接時,例如,前面提到的在非可信接入中使用的ePDG 9。所討論的節(jié)點另外/ 備選地是提供移動性支持的節(jié)點,比如MIP本地代理(HA)。這給UE提供了必要的安全性和 /或“全球的”可達(dá)性。因此,在成功完成的認(rèn)證過程之后,可以執(zhí)行第四過程,包括接入網(wǎng)專用步驟以及針對UE 1建立通用IP連接的步驟。這完成了連接建立。至此,UE 1將能夠接收/發(fā)送數(shù)據(jù),例如發(fā)起與其他各方的通信會話。因此,UE與其他各方之間的通信數(shù)據(jù)可能發(fā)生在第五過程中,第五過程在這里所描述的過程之中。在認(rèn)證過程中,從服務(wù)器13發(fā)送的消息之一可以修改為包含特定信息或指示特定條件。特定信息或者特定條件可以與所使用的接入網(wǎng)3,3’的屬性或特性有關(guān)。具體地, 從HPLMN 5看來,它可以表示接入網(wǎng)是否可信。UE 1適于從消息中取回特定信息或?qū)υ撓⒅兴甘镜奶囟l件進(jìn)行解釋,以便在通過相應(yīng)的接入網(wǎng)3,3’建立連接時分別使用該信息或其中的解釋。為了執(zhí)行上述過程,修改服務(wù)器13以使其能夠收集特定信息并將其插入到選定的消息中,或者能夠修改選定的消息,使其指示特定條件,從例如服務(wù)器中或連接到服務(wù)器的列表或數(shù)據(jù)庫中取得相關(guān)信息。該列表或者數(shù)據(jù)庫可以例如至少包括所有可信接入網(wǎng)。 如果需要,該列表或數(shù)據(jù)庫當(dāng)然也可以包括非可信接入網(wǎng)。該列表或數(shù)據(jù)庫中的查找可以基于接入網(wǎng)標(biāo)識符,該接入網(wǎng)標(biāo)識符的接收是如上所述的根據(jù)AAA協(xié)議所執(zhí)行的過程中的一部分。該列表或數(shù)據(jù)庫可以持續(xù)更新。由于例如新商業(yè)協(xié)議,先前非可信的網(wǎng)絡(luò)可以“升級”而變?yōu)榭尚诺?,反之亦然。因此,通常來講,只要在接入過程中使用EAP(AKA),則從例如本地網(wǎng)絡(luò)5中的采取 AAA服務(wù)器形式的服務(wù)器13到UE 1的、關(guān)于相應(yīng)接入網(wǎng)3,3’的屬性的指示可以包括于EAP 信令中。EAP(AKA)的一個有用特征在于,它可以是服務(wù)器與UE之間的端到端(e2e)安全, 由此保護(hù)所包括的網(wǎng)絡(luò)屬性不被例如第三方偽造。然而,在不使用EAP(AKA)時,該指示也可以包括在其他認(rèn)證協(xié)議的信令中。
為了能執(zhí)行這些任務(wù),必須修改UE 1以包括如圖如所示的單元或者模塊所執(zhí)行的功能。因此,必須提供單元或者模塊15,以從一個或多個消息中取回特定信息,或?qū)σ粋€或多個消息中所指示的特定條件進(jìn)行解釋。可以存在單元或模塊16,用于將特定信息或關(guān)于特定條件的信息分別存儲在UE 1的存儲單元17中。最后,UE可以包括單元或模塊19, 用于分別使用接收到的和/或存儲的特定信息或關(guān)于特定條件的信息,例如用于選擇通過接入網(wǎng)建立連接的適當(dāng)方式。這些單元或模塊中的每一個都可以如傳統(tǒng)所認(rèn)為的那樣,包括處理器以及對應(yīng)的程序代碼段。通常,UE 1可以具有實質(zhì)傳統(tǒng)的結(jié)構(gòu),并且包括例如如圖4b中的框圖所示意性地說明地組織的組件。因此,它可以包括處理器21、存儲器23、無線電通信電路25、用于驅(qū)動顯示器(未示出)的電路27、用于鍵盤(未示出)的電路四、音頻輸出電路31和音頻輸入電路32。存儲器23可以是電子存儲器,例如閃存、EEPR0M(電可擦寫可編程只讀存儲器)、 硬盤或R0M(只讀存儲器),同時它可以包括一個或多個分離的物理單元。處理器通過執(zhí)行存儲于存儲器的程序存儲部分33中的程序代碼,來控制UE 1的操作。處理器21可以使用存儲在例如存儲器23的數(shù)據(jù)存儲部分35中的數(shù)據(jù)。在程序存儲器33中,存儲處理器21所執(zhí)行的、針對各個過程具有不同例程或部分的程序代碼。因而,用于基礎(chǔ)電話服務(wù)的程序代碼部分存儲于存儲段37中,這類服務(wù)包括建立并使用與其他UE的音頻連接。也有程序代碼存儲在存儲段39中,用于涉及數(shù)據(jù)交換的過程,例如用于建立IP連接。因此,該程序存儲部分(segment)可以包括存儲針對如圖 2與3所示的過程的程序代碼部分的存儲部分。因此,這些存儲部分包括處理器21可以讀取的程序代碼,并且該程序代碼在被處理器讀取時使得UE執(zhí)行相應(yīng)的過程??赡艽嬖诖鎯Σ糠?1,用于存儲針對基本連接建立的程序代碼;存儲部分43,用于存儲針對UE標(biāo)識交換的程序代碼;存儲部分45,用于存儲針對認(rèn)證過程的程序代碼;以及存儲部分47,用于存儲針對特定接入和IP連接建立的程序代碼。在程序存儲器33中,可能還存在存儲段49,用于存儲針對IP連接/服務(wù)的程序代碼,例如,用于處理IP移動性(MIP、多宿,IP安全性(IKE/ IPsec)等的程序代碼部分。在用于存儲針對認(rèn)證過程的程序代碼的存儲部分45,可以提供存儲空間51,用于存儲用以從認(rèn)證過程中接收到的消息中提取特定信息、或者對該消息中所指示的特定條件進(jìn)行解釋的程序代碼。如前文所提及的,這種特定信息或條件例如可以與關(guān)聯(lián)于建立針對數(shù)據(jù)交換的連接的連接性的至少一種網(wǎng)絡(luò)屬性(例如所使用的接入網(wǎng)3,3’的屬性)相關(guān)。 該特定信息或與特定條件相關(guān)的信息可以存儲在存儲器23的存儲單元53中,并且可以用于例如特定接入和IP連接的建立過程中,針對該建立過程的程序代碼存儲在程序存儲部分49中。用于該用途的程序代碼部分可以存儲在所述存儲器部分的存儲空間55中。這些程序代碼部分可以是已經(jīng)被寫入到一個或多個計算機(jī)程序產(chǎn)品(即程序代碼載體,例如硬盤、光盤(CD)、存儲卡或軟盤),或者從一個或多個計算機(jī)程序產(chǎn)品讀出。這類計算機(jī)程序產(chǎn)品通常是可以便攜或固定的存儲單元33’,如圖如中的示意圖所示。它可以實質(zhì)上如UE 1的程序存儲器33中的那樣來布置存儲段、存儲單元以及存儲空間,或者程序代碼可以例如以適當(dāng)?shù)姆绞綁嚎s。通常,存儲單元33’由此包括計算機(jī)可讀代碼,即,可以由電子處理器讀取的代碼,當(dāng)上述代碼被UE 1執(zhí)行時,會使UE執(zhí)行用于實行UE根據(jù)上述描述所執(zhí)行的一個或多個過程的步驟。存儲單元33’所承載的程序代碼可以通過任何適
9當(dāng)?shù)姆绞捷斎氲経E的存儲器23中,例如通過從具有該存儲單元或與該存儲單元相連的服務(wù)器(未示出)下載。在其他實施例中,存儲單元33’可以直接用作UE 1的存儲器33的一部分。按照與UE 1相同的方式,為了能夠執(zhí)行上述過程,服務(wù)器13必須修改,以便如圖如所示地包括單元或模塊61,用于收集或查找特定信息或與特定條件相關(guān)的信息。該單元或模塊能夠例如從服務(wù)器13中的或與服務(wù)器13相連的存儲單元63中取得這類信息。另一個單元或模塊65能夠?qū)⒃撎囟ㄐ畔⒉迦氲揭粋€或多個選定消息中,或者能夠修改一個或多個消息以指示該特定條件。如圖恥中所示,針對如前文所述的示例,服務(wù)器13能夠修改為包括模塊或者單元 67,用于獲得或者推導(dǎo)出訂戶所使用的接入網(wǎng),對于該接入網(wǎng),正在進(jìn)行訂戶的UE 1與服務(wù)器之間的通信。因此,該服務(wù)器也包括單元或模塊69,用于收集或查找與所使用的接入網(wǎng)相關(guān)的屬性或特性的信息。該單元或模塊能夠從數(shù)據(jù)庫或列表或網(wǎng)絡(luò)中取回這類信息,數(shù)據(jù)庫或列表包括例如針對多個網(wǎng)絡(luò)的特定信息,并且存儲在存儲空間71中。另一單元或模塊73能夠在認(rèn)證過程中將與屬性或特性相關(guān)的信息插入到發(fā)送至訂戶的消息中。服務(wù)器13可以實現(xiàn)為計算機(jī)、計算機(jī)集群或計算機(jī)中適于連接到網(wǎng)絡(luò)的部分。因此,如圖5c所示,它可以按照傳統(tǒng)方式包括處理器77、存儲器79和網(wǎng)絡(luò)端口 81。存儲器79 可以是電子存儲器,例如閃存、EEPROM、EPROM(可擦寫可編程只讀存儲器)、硬盤或者ROM。 存儲器可以具有分別用于程序代碼和數(shù)據(jù)的空間83和85。在程序存儲器中,程序代碼部分存儲在存儲段87中,用于執(zhí)行例如根據(jù)如上所述的EAP的認(rèn)證過程。在數(shù)據(jù)存儲空間85 中,訂戶數(shù)據(jù)存儲在存儲存儲空間89中,與接入網(wǎng)相關(guān)的數(shù)據(jù)存儲在存儲空間91中。與接入網(wǎng)相關(guān)的數(shù)據(jù)可以包括每一個接入網(wǎng)的記錄,并且在每一個記錄中,具體可能會存在一個字段用來存儲指示接入網(wǎng)是否可信的信息。在存儲用于認(rèn)證過程的程序代碼部分的存儲段87中存在存儲部分93、95、97,在存儲部分93、95、97中,分別存儲用于獲得或推導(dǎo)所使用的接入網(wǎng)標(biāo)識的程序代碼部分、用于收集或查找與接入網(wǎng)的特定屬性或特性相關(guān)的信息的程序代碼部分、以及用于將所收集或查找的信息插入到認(rèn)證消息(即,認(rèn)證過程期間發(fā)送至訂戶的UE的消息之一)中的程序代碼部分。這些程序代碼部分可以是已經(jīng)被寫入到一種或多個計算機(jī)程序產(chǎn)品(即程序代碼載體,例如硬盤、光盤(CD)、存儲卡或軟盤),或者從一個或多個計算機(jī)程序產(chǎn)品讀出。這類計算機(jī)程序產(chǎn)品通常是可以便攜或固定的存儲單元83’,如圖5d中的示意圖所示。它可以實質(zhì)上如服務(wù)器13的程序存儲器83中的那樣來布置存儲段、存儲單元以及存儲空間。 程序代碼可以例如以適當(dāng)?shù)姆绞綁嚎s。通常,存儲單元83’由此包括計算機(jī)可讀代碼,即, 可以由諸如77這類的電子處理器讀取的代碼,當(dāng)上述代碼被服務(wù)器13執(zhí)行時,會使服務(wù)器執(zhí)行用于實行服務(wù)器根據(jù)上述描述所執(zhí)行的一個或多個過程或過程步驟的步驟。存儲單元 83 ’所承載的程序代碼可以通過任何適當(dāng)?shù)姆绞捷斎氲経E的存儲器23中,例如通過從包括該存儲單元或與該存儲單元相連的服務(wù)器(未示出)下載。如果適當(dāng),存儲單元83’可以直接用作服務(wù)器13的存儲器83的一部分。上面已經(jīng)假設(shè)在建立連接中使用ΕΑΡ。如所提及的,在非可信接入的情況下,不能認(rèn)為是理所當(dāng)然的,并且因此也需要處理通常情況。下列更通用的過程可以用于接入包括 3GPP本地網(wǎng)絡(luò)5和非3GPP接入網(wǎng)3,3’在內(nèi)的系統(tǒng),并且其中可以使用或可以不使用EAP
1
1.UE 1請求接入2.進(jìn)行基本的標(biāo)識交換3.如果相應(yīng)的接入網(wǎng)3,3’沒有發(fā)起根據(jù)EAP的接入認(rèn)證,則UEl —般情況下可以假設(shè)接入網(wǎng)是非可信的。將需要通向ePDG 9的隧道,例如該隧道利用根據(jù)IPSec所執(zhí)行的過程創(chuàng)建。如果需要,可以提供計時器,用以檢查EAP接入認(rèn)證過程是否已在預(yù)定時間內(nèi)發(fā)起。在另一備選中,由UE來確定如果從相應(yīng)的接入網(wǎng)3,3’經(jīng)由諸如DHCP (動態(tài)主機(jī)配置協(xié)議)服務(wù)器(未示出)給UE 1提供用于連接的IP地址,則將不發(fā)起EAP通信。具體地, 如果使用EAP認(rèn)證,則在IP地址分配之前進(jìn)行EAP認(rèn)證。4.否則,如果接入網(wǎng)3,3’不發(fā)起EAP接入認(rèn)證,則接入網(wǎng)可以是可信的或非可信的。5.針對步驟2的情況,已知接入是否可信的本地AAA服務(wù)器13在一些EAP消息中包括用于向UE 1通知接入網(wǎng)是否可信的參數(shù)。該參數(shù)可以上文所述為本地AAA服務(wù)器與 UE之間的Ue安全,即,加密和/或完整性保護(hù)。6. UE 1驗證指示的真實性,然后相應(yīng)地行動,例如嘗試或不嘗試試圖建立通往 ePDG 9的隧道等。在不嘗試建立IPsec隧道的情況下,它將會試圖諸如建立普通的無保護(hù) IP通信信道。7.執(zhí)行作為建立連接的一部分的其他過程,例如配置IP移動性等,這可能也依賴于上述指示。8.此時UE能夠進(jìn)行通信和/或使用其他業(yè)務(wù)。如上所述,圖2中以斜體字標(biāo)出的編號為1、2和3的消息可以用于特定信息和指示,例如承載“接入性態(tài)屬性”。例如,AKA挑戰(zhàn)消息可以包含(受保護(hù)的)EAP假名,并且可以擴(kuò)展以包括更多屬性,在這種情況下為與接入網(wǎng)屬性相關(guān)的屬性。應(yīng)該注意到,1號消息與2號消息是AKA方法特定的消息,而AKS成功消息的3號消息不是AKA方法特定的消息。 當(dāng)前,IETF (互聯(lián)網(wǎng)工程任務(wù)組)正在制定一個EAPAKA的新版本,表示為EAP AKA’。以上討論的適用于承載屬性的特定消息也存在于EAP AKA'中,因而可以以類似的方式使用。因此,UE 1中執(zhí)行的用于確定接入網(wǎng)可信性(或者其他屬性)的算法可以根據(jù)下
列通用邏輯代碼來執(zhí)行If access network does not use EAP then
"access is tntrusted" /*e.g. need to set up IPSec tunnel*/
else
run EAP (如上所述)
extract trust value and possibly other network properties from the EAP signalling
run (security/mobility/...) procedure(s) according to extracted trust value and possibly
other/network properties
endif然而,還有一個問題與該算法相關(guān)聯(lián)。UE 1將在任何可能的EAP執(zhí)行之前,執(zhí)行一些基本的“網(wǎng)絡(luò)附著”,即,執(zhí)行某些意圖連接到相應(yīng)接入網(wǎng)的第一操作信令。在該附著之后,UE需要“等待” EAP多久?例如,UE 1可以假設(shè)在等待2秒之后,將不執(zhí)行根據(jù)EAP的認(rèn)證過程,但是也可能UE再多等1秒,認(rèn)證過程就已經(jīng)被執(zhí)行了。然而,與上文中的步驟1相比,由于在這種情況中目標(biāo)是為UE 1提供IP接入,并且由于UE在被分配IP地址后才能夠建立IPsec,這表明只要給UE分配了 IP地址,UE就可以假設(shè)如果基于EAP的過程在例如通過DHCP進(jìn)行的IP地址分配之前還沒有被執(zhí)行,則根本不會執(zhí)行根據(jù)EAP的用于實現(xiàn)接入認(rèn)證的過程。在使用根據(jù)(EAP) AKA的過程的特定情況下,信令可以利用“AMF”(認(rèn)證管理字段) 的字段(未示出)來完成。該字段是AKA的原生部分,并且承載于EAP請求AKA挑戰(zhàn)消息中,參見圖2,1號消息對于EAP層完全透明。如果“可信性”屬性要由本地網(wǎng)絡(luò)(即例如AAA服務(wù)器的本地網(wǎng)絡(luò))和所使用的接入網(wǎng)3,3,聯(lián)合確定,則這里所描述的方法和系統(tǒng)可以與國際專利申請PCT/SE2008/050063 中所公開的過程結(jié)合使用,因此該申請通過引用全部合并于此。在所述的國際專利申請中, 公開了本地網(wǎng)絡(luò)和接入網(wǎng)中的每一個如何將認(rèn)證信令內(nèi)的“安全策略”傳送給UE。UE 1可以將這兩種策略合并成“最小公分母策略”。這里的不同之處在于,所引用的國際專利申請中假設(shè)已知要使用哪種協(xié)議,而不是要向其應(yīng)用哪些策略。應(yīng)該理解,盡管從UE 1的角度來看,上文描述的實施例包括例如本地網(wǎng)絡(luò)中采取連接在接入網(wǎng)3,3’之后的核心網(wǎng)的形式的AAA服務(wù)器13,適于按照上述實施例中的類似方式發(fā)送EAP請求的任意節(jié)點也可以代替連接到接入網(wǎng),例如圖Ib中的接入VPLMN 7中的認(rèn)證服務(wù)器14。除了指示接入網(wǎng)3,3’是否可信的屬性之外,或者代替該屬性,可以從諸如服務(wù)器 13、14之類的服務(wù)器向終端或UE 1信令通知其他屬性,例如,使用什么協(xié)議、帶寬、費用和服務(wù),以決定終端應(yīng)選擇哪種接入/通信方式/信令。作為EAP請求中的附加信息元素的備選,信令可以“背負(fù)”在現(xiàn)有的EAP AKA信息元素中。例如,本地AAA服務(wù)器13可以給UE發(fā)送EAP假名,該假名中的最高比特位設(shè)置為1表示可信接入,設(shè)置為0表示非可信接入等。 盡管上述實施例使用EAP,然而,這里所描述的方法和系統(tǒng)的其他實施例可以在建立連接的過程中采用一些非EAP協(xié)議,特別是在這一過程的初始或第一階段,例如在認(rèn)證過程中,例如PPP(點到點協(xié)議)、PAP(密碼認(rèn)證協(xié)議),CHAP(挑戰(zhàn)握手認(rèn)證協(xié)議)和 SPAP (Shiva密碼認(rèn)證協(xié)議)。
權(quán)利要求
1.一種由通過接入網(wǎng)(3、3’ )進(jìn)行通信的用戶設(shè)備(1)所執(zhí)行的方法,其特征在于-在認(rèn)證過程中,從由用戶設(shè)備(1)的本地網(wǎng)絡(luò)中的AAA服務(wù)器發(fā)送至用戶設(shè)備(1)的消息中取回特定信息,或者對由用戶設(shè)備(1)的本地網(wǎng)絡(luò)中的AAA服務(wù)器發(fā)送至用戶設(shè)備 (1)的消息中所指示的特定條件進(jìn)行解譯,所述認(rèn)證過程是建立用戶設(shè)備(1)通過接入網(wǎng) (3、3’ )的連接的一部分,所述特定條件與接入網(wǎng)(3、3’ )是否可信有關(guān),以及-在建立連接過程的下一階段中,使用所取回的信息或者對特定條件的解譯結(jié)果來選擇建立通過接入網(wǎng)(3、3’ )的連接的適當(dāng)方式。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證過程基于EAP,以及所述消息是 EAP消息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認(rèn)證過程基于ΕΑΡ。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述認(rèn)證過程基于ΕΑΡΑΚΑ。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述消息是EAP請求/AKA挑戰(zhàn)信號。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述消息是EAP請求/AKA-通知信號。
7.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述消息是EAP成功信號。
8.根據(jù)權(quán)利要求1所述的方法,其中,要建立的連接是IP連接,所述方法包括以下附加步驟-給用戶設(shè)備(1)分配IP地址,其特征在于,在建立過程中,如果在可能開始根據(jù)EAP所執(zhí)行的認(rèn)證過程之前已經(jīng)給用戶設(shè)備(1)分配了 IP地址,則建立到本地網(wǎng)絡(luò)或者與其相關(guān)的網(wǎng)絡(luò)中的網(wǎng)關(guān)的msec隧道,以及如果根據(jù)EAP所執(zhí)行的認(rèn)證過程在給用戶設(shè)備(1)分配IP地址之前開始,則在信號通知接入網(wǎng)(3、3’ )為非可信的情況下建立IPsec隧道,或者在信號通知接入網(wǎng)(3、3’ ) 為可信的情況下不建立IPsec隧道,而是建立普通的通信信道。
9.一種通過接入網(wǎng)(3、3’ )進(jìn)行通信的用戶設(shè)備(1),其特征在于-取回或解譯單元(15),用于在認(rèn)證過程中,從由用戶設(shè)備的本地網(wǎng)絡(luò)中的AAA服務(wù)器發(fā)送至用戶設(shè)備⑴的消息中取回特定信息,或者對由用戶設(shè)備的本地網(wǎng)絡(luò)中的AAA服務(wù)器發(fā)送至用戶設(shè)備(1)的消息中所指示的特定條件進(jìn)行解譯,所述認(rèn)證過程是建立用戶設(shè)備通過接入網(wǎng)(3、3’ )的連接的一部分,所述特定條件與接入網(wǎng)(3、3’ )是否可信有關(guān),以及-選擇單元(19),用于在建立連接過程的下一階段中,使用所取回的信息或者對于特定條件的解譯結(jié)果來選擇建立通過接入網(wǎng)(3、3’ )的連接的適當(dāng)方式。
10.根據(jù)權(quán)利要求9所述的用戶設(shè)備,其特征在于-所述選擇單元(19)被布置用于如果所獲得的信息指示接入網(wǎng)(3、3’)是非可信的, 則建立用于通信的安全隧道,如果所獲得的信息指示接入網(wǎng)(3、3’ )是可信的,則建立普通的通信信道。
11.根據(jù)權(quán)利要求9或10所述的用戶設(shè)備(1),其特征在于所述認(rèn)證過程基于ΕΑΡ。
12.根據(jù)權(quán)利要求11所述的用戶設(shè)備(1),其特征在于,所述認(rèn)證過程基于ΕΑΡΑΚΑ。
13.根據(jù)權(quán)利要求11所述的用戶設(shè)備(1),其特征在于,所述消息是EAP請求/AKA挑戰(zhàn)信號、EAP請求/AKA-通知信號或EAP成功信號。
14.一種用戶設(shè)備(1)的本地網(wǎng)絡(luò)中的AAA服務(wù)器,所述AAA服務(wù)器被布置用于在認(rèn)證過程中向用戶設(shè)備(1)發(fā)送信息,所述認(rèn)證過程是建立用戶設(shè)備通過接入網(wǎng)(3、3’)的連接的一部分,其特征在于,所述AAA服務(wù)器被布置用于在發(fā)送至用戶設(shè)備(1)的所述信息中所包括的消息中引入特定信息,所述特定信息指示與接入網(wǎng)(3、3’ )是否可信相關(guān)的特定條件,或者將所述消息修改為指示所述特定條件。
15.根據(jù)權(quán)利要求14所述的AAA服務(wù)器,其特征在于,所述AAA服務(wù)器被布置用于在 EAP消息中引入所述特定信息。
16.根據(jù)權(quán)利要求15所述的AAA服務(wù)器,其特征在于,所述EAP消息是EAP請求/AKA 挑戰(zhàn)信號。
17.根據(jù)權(quán)利要求15所述的AAA服務(wù)器,其特征在于,所述EAP消息是EAP請求/ AKA-通知信號。
18.根據(jù)權(quán)利要求15所述的AAA服務(wù)器,其特征在于,所述EAP消息是EAP成功信號。
全文摘要
當(dāng)建立來自用戶設(shè)備UE(1)的通信(例如用于提供針對UE的IP接入以允許其使用某項服務(wù))時,將與諸如當(dāng)前接入網(wǎng)k(3,3’)之類的第一網(wǎng)絡(luò)相關(guān)的至少一種網(wǎng)絡(luò)屬性的信息或指示從諸如UE的訂戶的本地網(wǎng)絡(luò)(5)之類的第二網(wǎng)絡(luò)中的節(jié)點(13)發(fā)送至UE。所述信息或指示可以在認(rèn)證過程的第一階段中發(fā)送,認(rèn)證過程是建立來自UE的連接的一部分。具體而言,網(wǎng)路屬性可以指示接入網(wǎng)k(3,3’)是否可信。
文檔編號H04W76/02GK102448064SQ20121002168
公開日2012年5月9日 申請日期2008年11月5日 優(yōu)先權(quán)日2008年4月11日
發(fā)明者卡爾·諾曼, 斯蒂芬·羅姆, 本特·薩林, 杰瑞·亞爾科, 羅爾夫·布洛姆, 韋薩·勒托威爾塔, 馬茨·內(nèi)斯隆德 申請人:艾利森電話股份有限公司