国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種數(shù)據(jù)安全通道的處理方法及設(shè)備的制作方法

      文檔序號:7823852閱讀:577來源:國知局
      一種數(shù)據(jù)安全通道的處理方法及設(shè)備的制作方法
      【專利摘要】本發(fā)明實(shí)施例提供一種隧道數(shù)據(jù)安全通道的處理方法和設(shè)備,其中方法包括:接收接入側(cè)的鑒權(quán)認(rèn)證請求,確定用戶設(shè)備接入的可信關(guān)系;當(dāng)已有該用戶設(shè)備的S6b接口會話存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述用戶設(shè)備接入可信關(guān)系信息的消息,以便所述分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道。本發(fā)明實(shí)施例在用戶設(shè)備通過S2c接口接入EPS網(wǎng)絡(luò)時,當(dāng)接收到接入側(cè)的鑒權(quán)認(rèn)證請求時,如果已有接入的用戶設(shè)備的S6b接口會話存在,則發(fā)送包含用戶設(shè)備接入可信關(guān)系信息的消息給分組數(shù)據(jù)網(wǎng)關(guān),從而使分組數(shù)據(jù)網(wǎng)關(guān)能夠獲得用戶設(shè)備通過S2c接口接入EPS網(wǎng)絡(luò)時的可信關(guān)系,保障正確的建立或更新S2c隧道數(shù)據(jù)安全通道。
      【專利說明】一種數(shù)據(jù)安全通道的處理方法及設(shè)備

      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明實(shí)施例涉及通信【技術(shù)領(lǐng)域】,并且更具體地,涉及數(shù)據(jù)安全通道的處理方法及設(shè)備。

      【背景技術(shù)】
      [0002]隨著移動寬帶時代的到來,用戶需要隨時隨地的使用寬帶接入服務(wù),這對移動通信網(wǎng)絡(luò)提出了更高的要求,如更高的傳輸速率、更小的時延和更高的系統(tǒng)容量等。為了保持3GPP網(wǎng)絡(luò)的優(yōu)勢,3GPP標(biāo)準(zhǔn)組織于2004年底啟動了 SAE (System ArchitectureEvolut1n,系統(tǒng)架構(gòu)演進(jìn))計(jì)劃的研宄和標(biāo)準(zhǔn)化工作,定義了一個新的移動通信網(wǎng)絡(luò)框架,稱為演進(jìn)的分組系統(tǒng)EPS (Evolved Packet System,演進(jìn)的分組系統(tǒng))。隨著核心網(wǎng)融合統(tǒng)一的趨勢,3GPP在EPS系統(tǒng)中的核心網(wǎng)EPC (Evolved Packet Core,演進(jìn)的分組系統(tǒng)的核心部分)中也提供了非3GPP接入網(wǎng)絡(luò)接入的可能,如WLAN、Wimax等接入EPC。
      [0003]S2c接口米用 DSMIPv6 (Mobile IPv6Support for Dual Stack Hosts,雙棧主機(jī)的移動IPv6支持)協(xié)議,可用于可信非3GPP接入網(wǎng)絡(luò)、非可信非3GPP接入網(wǎng)絡(luò)、3GPP接入網(wǎng)絡(luò)接入EPS網(wǎng)絡(luò)。UE(User Equipment,用戶設(shè)備)從非3GPP接入網(wǎng)絡(luò)通過S2c接口接入EPC 時,UE 與 F1DN-GW(Packet Data Network Gateway,分組數(shù)據(jù)網(wǎng)關(guān),也可簡稱為 PGW)之間將建立SA (Security Associat1n,安全聯(lián)盟)保護(hù)DSMIPv6信令。當(dāng)UE通過S2c接口接入 EPC 的時候,PDN-GW 通過與 AAA (Authenticat1n Authorizat1n Accounting,鑒權(quán)認(rèn)證和計(jì)費(fèi))服務(wù)器之間S6b接口上傳遞鑒權(quán)和認(rèn)證請求以及響應(yīng)消息,從而使得TON-GW完成對UE的鑒權(quán)和認(rèn)證,從AAA服務(wù)器中獲得移動性參數(shù)、簽約數(shù)據(jù)等信息,當(dāng)然,在漫游場景下TON-GW與AAA服務(wù)器之間還要經(jīng)過AAA代理。
      [0004]當(dāng)UE從S2c接口由可信非3GPP接入網(wǎng)絡(luò)接入EPC時,3GPP定義了在UE與TON-GW之間建立DSMIPv6隧道之后,UE與I3DN-GW之間建立安全聯(lián)盟SA保護(hù)DSMIPv6信令,PDN-GW可以與UE之間發(fā)起建立子安全聯(lián)盟Child SA(Child Security Associat1n,子安全聯(lián)盟)對數(shù)據(jù)面進(jìn)行保護(hù);但當(dāng)UE從非可信非3GPP接入網(wǎng)絡(luò)接入EPC的時候,UE與非3GPP接入網(wǎng)關(guān)ePDG (evolved H)G,演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān))之間會建立IPSec安全通道,通過IPSec安全通道對UE與TON-GW之間的數(shù)據(jù)包進(jìn)行安全保護(hù)。S卩,當(dāng)UE從非3GPP網(wǎng)絡(luò)以可信方式接AEPS的時候,S2c隧道上可以建立Child SA對數(shù)據(jù)面的完整性和機(jī)密性進(jìn)行保護(hù);從非3GPP網(wǎng)絡(luò)以非可信方式接入的時候,將由UE與ePDG之間的IPSec安全通道提供數(shù)據(jù)的完整性保護(hù)和機(jī)密性保護(hù);而當(dāng)UE通過S2c接口從3GPP接入網(wǎng)絡(luò)接入EPC時,UE與TON-GW之間將通過3GPP自身的鑒權(quán)加密機(jī)制提供數(shù)據(jù)安全保護(hù)。所以,UE通過S2c接口接入EPC的時候,PDN-Gff需要區(qū)分接入場景是可信非3GPP接入網(wǎng)絡(luò)接入、非可信非3GPP接入網(wǎng)絡(luò)接入或3GPP接入網(wǎng)絡(luò)接入,完成不同的數(shù)據(jù)安全通道的建立或更新過程。
      [0005]在UE從3GPP接入網(wǎng)絡(luò)接入EPC的時候,可以先建立UE與TON-GW之間的安全聯(lián)盟SA,這是為了之后切換到非3GPP接入網(wǎng)絡(luò)接入時,節(jié)約SA建立的時間。而UE從非3GPP接入網(wǎng)絡(luò)切換到3GPP接入網(wǎng)絡(luò)的時候,UE與TON-GW之間的安全聯(lián)盟SA也可以不立即釋放,而是保留一段時間至SA超時自動釋放。在這樣的情況下,UE在可信非3GPP接入網(wǎng)絡(luò)、非可信非3GPP接入網(wǎng)絡(luò)以及3GPP接入網(wǎng)絡(luò)之間切換并通過S2c接口接入EPC時,SA可能已經(jīng)存在,但之前建立SA時TON-GW獲得的當(dāng)時的接入網(wǎng)絡(luò)的可信關(guān)系,即當(dāng)時的接入網(wǎng)絡(luò)是可信或非可信非3GPP接入還是3GPP接入的信息并不一定與現(xiàn)在的接入網(wǎng)絡(luò)的可信關(guān)系一致,因此,需要根據(jù)切換后的接入場景建立或更新數(shù)據(jù)安全通道。
      [0006]如上所述,UE在可信非3GPP接入網(wǎng)絡(luò)、3GPP接入網(wǎng)絡(luò)以及非可信非3GPP接入網(wǎng)絡(luò)之間切換通過S2c接口接入EPC的時候,PDN-Gff需要區(qū)分接入場景,以完成不同方式的數(shù)據(jù)安全通道的建立或更新。但I(xiàn)3DN-GW并不能夠判斷當(dāng)前UE接入方式,也就無法正確的建立或更新數(shù)據(jù)安全通道。


      【發(fā)明內(nèi)容】

      [0007]本發(fā)明實(shí)施例提供了一種隧道數(shù)據(jù)安全通道的處理方法和設(shè)備,能夠保障正確的建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0008]一方面,提供了一種隧道數(shù)據(jù)安全通道的處理方法,包括:接收接入側(cè)的鑒權(quán)認(rèn)證請求,確定用戶設(shè)備接入的可信關(guān)系;當(dāng)該用戶設(shè)備的S6b接口會話存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含可信關(guān)系信息的消息,以便分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)該可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0009]另一方面,提供了一種隧道數(shù)據(jù)安全通道的處理方法,包括:接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,當(dāng)所述用戶設(shè)備的S6b接口會話存在或者與所述用戶設(shè)備之間已有安全聯(lián)盟時,發(fā)送認(rèn)證請求消息到鑒權(quán)認(rèn)證設(shè)備,接收所述鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,所述認(rèn)證響應(yīng)消息中包括所述用戶設(shè)備接入的可信關(guān)系信息,根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0010]另一方面,提供了一種鑒權(quán)認(rèn)證設(shè)備,包括:接收單元,用于接收接入側(cè)的鑒權(quán)認(rèn)證請求;鑒權(quán)單元,用于對所述鑒權(quán)認(rèn)證請求進(jìn)行鑒權(quán),確定用戶設(shè)備接入的可信關(guān)系,當(dāng)所述用戶設(shè)備的S6b會話存在時,通知發(fā)送單元向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息;發(fā)送單元,用于向所述分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送消息,所述消息中包含所述可信關(guān)系信息。
      [0011]另一方面,提供了一種網(wǎng)關(guān)設(shè)備,包括:接收單元,用于接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,以及用于接收鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,所述認(rèn)證響應(yīng)消息中包括該用戶設(shè)備接入的可信關(guān)系信息;確認(rèn)單元,用于當(dāng)所述接收單元接收到所述分組數(shù)據(jù)網(wǎng)連接建立請求時,確認(rèn)若存在所述用戶設(shè)備的S6b會話或者與所述用戶設(shè)備之間已有安全聯(lián)盟,則通知發(fā)送單元向鑒權(quán)認(rèn)證設(shè)備發(fā)送認(rèn)證請求消息;發(fā)送單元,用于向所述鑒權(quán)認(rèn)證設(shè)備發(fā)送所述認(rèn)證請求消息;建立單元,用于根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0012]本發(fā)明實(shí)施例在UE從S2c接口接入EPC時,由鑒權(quán)認(rèn)證設(shè)備發(fā)送包含用戶設(shè)備接入的可信關(guān)系信息的消息,或在認(rèn)證響應(yīng)消息中包含用戶設(shè)備接入的可信關(guān)系信息,網(wǎng)關(guān)設(shè)備根據(jù)消息中包含的可信關(guān)系信息,建立或更新數(shù)據(jù)安全通道,保障建立正確的數(shù)據(jù)安全通道。

      【專利附圖】

      【附圖說明】
      [0013]圖1是3GPP規(guī)定的非漫游場景下采用S2c接口接入EPS網(wǎng)絡(luò)的系統(tǒng)架構(gòu)圖。
      [0014]圖2是根據(jù)本發(fā)明一個實(shí)施例的非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法。
      [0015]圖3是本發(fā)明一個實(shí)施例的可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0016]圖4是本發(fā)明一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0017]圖5是本發(fā)明一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0018]圖6是根據(jù)本發(fā)明另一個實(shí)施例的采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法。
      [0019]圖7是本發(fā)明另一個實(shí)施例的可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0020]圖8是本發(fā)明另一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0021]圖9是本發(fā)明另一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0022]圖10是本發(fā)明又一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0023]圖11是本發(fā)明又一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0024]圖12是根據(jù)本發(fā)明一個實(shí)施例的鑒權(quán)認(rèn)證設(shè)備的框圖。
      [0025]圖13是根據(jù)本發(fā)明另一個實(shí)施例的網(wǎng)關(guān)設(shè)備的框圖。
      [0026]圖14是根據(jù)本發(fā)明又一個實(shí)施例的網(wǎng)關(guān)設(shè)備的框圖。

      【具體實(shí)施方式】
      [0027]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
      [0028]圖1是3GPP規(guī)定的采用S2c接口接入EPS網(wǎng)絡(luò)的系統(tǒng)架構(gòu)圖。本發(fā)明實(shí)施例可應(yīng)用于圖1所示的EPS網(wǎng)絡(luò)架構(gòu)。
      [0029]如圖1所示,S2c接口可以用于非3GPP接入網(wǎng)絡(luò)、3GPP網(wǎng)絡(luò)接入EPS網(wǎng)絡(luò)。對于可信非3GPP接入網(wǎng)絡(luò),UE將直接通過非3GPP接入網(wǎng)絡(luò)連接到PDN-GW ;而對于非可信非3GPP接入網(wǎng)絡(luò),UE則需要通過歸屬網(wǎng)絡(luò)可信任的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG,再連接到TON-GW網(wǎng)元上。對于3GPP接入網(wǎng)絡(luò),UE則通過S-GW(Serving Gateway,服務(wù)網(wǎng)關(guān))連接到PDN-GW網(wǎng)元上。
      [0030]當(dāng)UE從S2c接口通過TON-GW接入EPC時,如果是由可信非3GPP接入網(wǎng)絡(luò)接入EPC的,PDN-Gff需要發(fā)起建立子安全聯(lián)盟child SA對數(shù)據(jù)面進(jìn)行保護(hù);如果UE是從非可信非3GPP接入網(wǎng)絡(luò)接入EPC的,PDN-GW通過UE與ePDG之間的IPSec通道建立DSMIPv6安全通道對數(shù)據(jù)進(jìn)行完整性保護(hù)和機(jī)密性保護(hù);如果是由3GPP接入網(wǎng)絡(luò)接入EPC的,UE與TON-GW之間將通過3GPP自身的鑒權(quán)加密機(jī)制提供數(shù)據(jù)安全保護(hù)。
      [0031]由上述描述可以看到,PDN-Gff需要知道當(dāng)前UE是從可信非3GPP接入網(wǎng)絡(luò)、非可信非3GPP接入網(wǎng)絡(luò)還是3GPP接入網(wǎng)絡(luò)接入的,這是正確的建立或更新S2c隧道數(shù)據(jù)安全通道的前提。尤其是UE在可信非3GPP接入網(wǎng)絡(luò)、3GPP接入網(wǎng)絡(luò)以及非可信非3GPP接入網(wǎng)絡(luò)之間切換后通過S2c接口接入EPC的時候,PDN-Gff需要區(qū)分接入場景,以完成正確的數(shù)據(jù)安全通道的建立或更新。
      [0032]本發(fā)明實(shí)施例在圖1所述的網(wǎng)絡(luò)架構(gòu)上,在UE從S2c接口接入EPC時,由鑒權(quán)認(rèn)證設(shè)備確定UE接入的可信關(guān)系,給roN-GW發(fā)送包含UE接入可信關(guān)系指示的消息,或在發(fā)給roN-GW的認(rèn)證響應(yīng)消息中包含UE接入可信關(guān)系的指示,PDN-Gff根據(jù)消息中指示的UE接入的可信關(guān)系,建立或更新數(shù)據(jù)安全通道,保證建立正確的數(shù)據(jù)安全通道。發(fā)明實(shí)施例中的鑒權(quán)認(rèn)證設(shè)備均以AAA服務(wù)器來舉例說明,具體實(shí)施時也可能是HSS (Home SubscriberServer,歸屬用戶服務(wù)器)等其他設(shè)備作為實(shí)施例中的鑒權(quán)認(rèn)證設(shè)備。
      [0033]圖2是本發(fā)明一個實(shí)施例的采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法。由鑒權(quán)認(rèn)證設(shè)備確定用戶設(shè)備接入的可信關(guān)系,發(fā)送包含用戶設(shè)備接入可信關(guān)系指示的消息給roN-GW,PDN-Gff根據(jù)消息中指示的用戶接入的可信關(guān)系,建立或更新數(shù)據(jù)安全通道,保證建立正確的數(shù)據(jù)安全通道。
      [0034]201,接收接入側(cè)的鑒權(quán)認(rèn)證請求。
      [0035]UE從S2c接口接入EPC網(wǎng)絡(luò)時,AAA服務(wù)器會接收到接入側(cè)的鑒權(quán)認(rèn)證請求,申請對接入的UE進(jìn)行鑒權(quán)認(rèn)證。因?yàn)閁E接入EPC的方式不同,當(dāng)UE從可信非3GPP接入網(wǎng)絡(luò)接入時,此處的接入側(cè)指可信非3GPP接入網(wǎng)絡(luò),當(dāng)UE從非可信非3GPP接入網(wǎng)絡(luò)接入時,此處的接入側(cè)是指非可信非3GPP接入網(wǎng)絡(luò)或ePDG。
      [0036]202,確定用戶設(shè)備接入的可信關(guān)系。
      [0037]AAA服務(wù)器根據(jù)接入側(cè)鑒權(quán)認(rèn)證請求中攜帶的參數(shù)判斷用戶設(shè)備接入為可信接入還是非可信接入,參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識ANID,拜訪地網(wǎng)絡(luò)標(biāo)識VisitedNetwork Identity (該標(biāo)識僅在漫游場景下需要),接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等。
      [0038]203,當(dāng)該用戶設(shè)備的S6b接口會話存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含可信關(guān)系信息的消息,以便分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)該可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0039]AAA服務(wù)器判斷是否已經(jīng)存在該UE的S6b接口會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。若已存在S6b接口會話,則說明I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,本次UE接入應(yīng)該是切換場景。此時,AAA服務(wù)器發(fā)送消息給TON-GW,其中包含指示該UE接入可信關(guān)系的信息,即該UE接入是可信非3GPP接入還是非可信非3GPP接入。TON-GW根據(jù)接收到的UE接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0040]本發(fā)明實(shí)施例在收到接入側(cè)的鑒權(quán)認(rèn)證請求時,如果已有UE的S6b接口會話存在,則發(fā)送包含UE接入可信關(guān)系信息的消息給roN-GW,使roN-GW可以正確建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0041]下面結(jié)合具體例子,更加詳細(xì)地描述本發(fā)明的實(shí)施例。圖3是根據(jù)本發(fā)明一個實(shí)施例的可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的示意流程圖。
      [0042]301,UE發(fā)送EAP-RSP鑒權(quán)請求消息到可信非3GPP接入網(wǎng)絡(luò)。
      [0043]302,可信非3GPP接入網(wǎng)絡(luò)發(fā)送鑒權(quán)認(rèn)證請求到AAA服務(wù)器,鑒權(quán)認(rèn)證請求中包括接入網(wǎng)標(biāo)識ANID,接入類型,還可能包括接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等參數(shù)。在漫游場景下,此鑒權(quán)認(rèn)證請求要通過AAA服務(wù)器代理從接入網(wǎng)絡(luò)轉(zhuǎn)發(fā)給AAA服務(wù)器,而且鑒權(quán)認(rèn)證請求中還包括拜訪地網(wǎng)絡(luò)標(biāo)識,即Visited Network Identity。
      [0044]AAA服務(wù)器根據(jù)接收到的請求中的參數(shù)判斷UE接入為可信接入還是非可信接入,此處確定為可信接入,即UE由可信非3GPP接入網(wǎng)絡(luò)接入。參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識ANID,拜訪地網(wǎng)絡(luò)標(biāo)識Visited Network Identity (該標(biāo)識僅在漫游場景下需要),接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等。
      [0045]303,AAA服務(wù)器發(fā)送鑒權(quán)認(rèn)證響應(yīng)消息給可信非3GPP接入網(wǎng)絡(luò),其中包括上述可信接入結(jié)果。
      [0046]304,可信非3GPP接入網(wǎng)絡(luò)發(fā)送EAP-REQ鑒權(quán)響應(yīng)消息給UE,其中包括可信接入結(jié)果O
      [0047]305,AAA服務(wù)器判斷是否已經(jīng)存在該UE的S6b接口會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。若已有S6b接口會話,則說明原來I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證請求,本次接入應(yīng)該是切換場景。AAA服務(wù)器發(fā)送可信關(guān)系給TON-GW,即AAA服務(wù)器發(fā)送可信關(guān)系消息到TON-GW,其中包括可信關(guān)系信元,取值為“可信”或“非可信”,此時指示為“可信”,表示當(dāng)前為可信接入。
      [0048]306,PDN-Gff接收到可信關(guān)系消息指示為可信接入后,在任意時間可發(fā)起與UE間的Child SA建立過程。若接收到UE發(fā)起的Child SA建立請求,則接受請求,建立ChildSAo
      [0049]在實(shí)際實(shí)現(xiàn)過程中,AAA服務(wù)器接收到可信非3GPP接入網(wǎng)絡(luò)發(fā)送的鑒權(quán)認(rèn)證請求,判斷本次用戶設(shè)備接入為可信接入,如果已經(jīng)存在該UE的S6b接口會話,即可向I3DN-GW發(fā)送可信關(guān)系消息。也就是說,步驟305在步驟302之后執(zhí)行就可以,與步驟303、304并沒有嚴(yán)格的先后執(zhí)行順序。同樣的,TON-GW接收到可信關(guān)系消息指示為可信接入后,可以在任意時間發(fā)起與UE間的Child SA建立過程,即步驟306可在步驟305之后任意時間執(zhí)行,與303、304也沒有嚴(yán)格的先后執(zhí)行順序。而步驟301至304則按照示意流程圖中的先后順序執(zhí)行。
      [0050]本發(fā)明實(shí)施例在收到可信非3GPP接入網(wǎng)絡(luò)的鑒權(quán)認(rèn)證請求時,確定用戶設(shè)備接入的可信關(guān)系為可信接入,當(dāng)已有該UE的S6b接口會話存在時,發(fā)送包含UE接入可信關(guān)系信息的消息給H)N-GW,使I3DN-GW可以區(qū)分接入場景,完成正確的數(shù)據(jù)安全通道的建立或更新。
      [0051]圖4是根據(jù)本發(fā)明一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。
      [0052]401,UE發(fā)送EAP-RSP鑒權(quán)請求消息到非可信非3GPP接入網(wǎng)絡(luò)。
      [0053]402,非可信非3GPP接入網(wǎng)絡(luò)發(fā)送鑒權(quán)認(rèn)證請求到AAA服務(wù)器,鑒權(quán)認(rèn)證請求中包括接入網(wǎng)標(biāo)識ANID、接入類型,還可能包括接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制參數(shù)等。在漫游場景下,接入網(wǎng)絡(luò)提交的鑒權(quán)認(rèn)證請求需要通過AAA服務(wù)器代理轉(zhuǎn)發(fā)給AAA服務(wù)器,且上述請求中包括拜訪地網(wǎng)絡(luò)標(biāo)識,即Visited Network Identity。
      [0054]AAA服務(wù)器根據(jù)鑒權(quán)認(rèn)證請求中的參數(shù)判斷本次用戶設(shè)備接入為可信接入還是非可信接入,確定為非可信接入,即UE由非可信非3GPP接入網(wǎng)絡(luò)接入。參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識ANID,拜訪地網(wǎng)絡(luò)標(biāo)識Visited Network Identity (該標(biāo)識僅在漫游場景下需要),接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等。
      [0055]403,AAA服務(wù)器發(fā)送鑒權(quán)認(rèn)證響應(yīng)消息給非可信非3GPP接入網(wǎng)絡(luò),其中包括上述非可信接入結(jié)果。
      [0056]404,非可信非3GPP接入網(wǎng)絡(luò)發(fā)送EAP-REQ鑒權(quán)響應(yīng)消息給UE,其中包括上述非可信接入結(jié)果。
      [0057]405,AAA服務(wù)器判斷是否已經(jīng)存在該UE的S6b接口會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。若已有S6b接口會話,則說明原來I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證請求,本次接入應(yīng)該是切換場景。AAA服務(wù)器發(fā)送可信關(guān)系消息到TON-GW,其中包括可信關(guān)系信元,取值為“可信”或“非可信”,此時指示為“非可信”,表示當(dāng)前為非可信接入。
      [0058]I3DN-GW接收到指示UE接入為非可信接入的消息后,不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“NO_ADDIT1NAL_SAS”,或“N0_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果I3DN-GW與UE之間已經(jīng)有ChildSA存在,則TON-GW發(fā)起刪除Child SA的過程。
      [0059]在實(shí)際實(shí)現(xiàn)過程中,AAA服務(wù)器接收到非可信非3GPP接入網(wǎng)絡(luò)發(fā)送的鑒權(quán)認(rèn)證請求,判斷本次UE接入為非可信接入,如果已經(jīng)存在該UE的S6b接口會話,即可向PDN-GW發(fā)送可信關(guān)系消息。也就是說,步驟405在步驟402之后執(zhí)行就可以,與步驟403、404并沒有嚴(yán)格的先后執(zhí)行順序。而步驟401至404則按照示意流程圖中的先后順序執(zhí)行。
      [0060]本發(fā)明實(shí)施例在收到非可信非3GPP接入網(wǎng)絡(luò)的鑒權(quán)認(rèn)證請求時,確定UE接入的可信關(guān)系為非可信接入,當(dāng)已有該UE相關(guān)的S6b接口會話存在時,發(fā)送包含UE接入可信關(guān)系信息的消息給TON-GW,使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0061]圖5是根據(jù)本發(fā)明一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理的過程的示意流程圖。
      [0062]501,UE發(fā)送IKE鑒權(quán)請求到演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG,請求建立UE與ePDG之間的IPSec隧道。
      [0063]502,ePDG發(fā)送鑒權(quán)認(rèn)證請求到AAA服務(wù)器,鑒權(quán)認(rèn)證請求中包括接入網(wǎng)標(biāo)識ANID,接入類型,還可能包括接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制參數(shù)等。漫游場景下此鑒權(quán)認(rèn)證請求通過AAA服務(wù)器代理轉(zhuǎn)發(fā),且上述請求中包括拜訪地網(wǎng)絡(luò)標(biāo)識,即Visited NetworkIdentity。
      [0064]AAA服務(wù)器根據(jù)鑒權(quán)請求中的參數(shù)判斷UE接入為可信接入還是非可信接入,確定為非可信接入,即UE由非可信非3GPP接入網(wǎng)絡(luò)接入。參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識ANID,拜訪地網(wǎng)絡(luò)標(biāo)識Visited Network Identity (該標(biāo)識僅在漫游場景下需要),接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等。
      [0065]503,AAA服務(wù)器發(fā)送鑒權(quán)認(rèn)證響應(yīng)消息給ePDG。
      [0066]504,ePDG發(fā)送IKE鑒權(quán)響應(yīng)消息給UE。
      [0067]505,AAA服務(wù)器判斷是否已經(jīng)存在該UE的S6b接口會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。若已有S6b接口會話,則說明原來I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證請求,本次接入應(yīng)該是切換場景。AAA服務(wù)器發(fā)送可信關(guān)系消息到TON-GW,其中包括可信關(guān)系信元,取值為“可信”或“非可信”,此時指示為“非可信”,表示當(dāng)前為非可信接入。
      [0068]I3DN-GW接收到指示UE接入為非可信接入的消息后,不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“NO_ADDIT1NAL_SAS”,或“N0_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果I3DN-GW與UE之間已經(jīng)有ChildSA存在,則TON-GW發(fā)起刪除Child SA的過程。
      [0069]在實(shí)際實(shí)現(xiàn)過程中,AAA服務(wù)器接收到演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG發(fā)送的鑒權(quán)認(rèn)證請求,判斷UE接入為非可信接入,如果已經(jīng)存在該UE的S6b接口會話,即可向PDN-GW發(fā)送可信關(guān)系消息。也就是說,步驟505在步驟502之后執(zhí)行就可以,與步驟503、504并沒有嚴(yán)格的先后執(zhí)行順序。而步驟501至504則按照示意流程圖中的先后順序執(zhí)行。
      [0070]本發(fā)明實(shí)施例在收到演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG的鑒權(quán)認(rèn)證請求時,確定UE接入的可信關(guān)系為非可信接入,當(dāng)已有該UE的S6b接口會話存在時,發(fā)送包含UE接入可信關(guān)系信息的消息給H)N-GW,使I3DN-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0071]圖6是根據(jù)本發(fā)明另一個實(shí)施例的采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法。PDN-GW接收分組數(shù)據(jù)網(wǎng)連接建立請求,發(fā)送認(rèn)證請求給鑒權(quán)認(rèn)證設(shè)備,根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的當(dāng)前接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0072]601,接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求。
      [0073]當(dāng)UE從非3GPP接入網(wǎng)絡(luò)由S2c接口接入EPC時,所接收的分組數(shù)據(jù)網(wǎng)連接建立請求是UE發(fā)送的綁定更新Binding Update消息;當(dāng)UE從3GPP接入網(wǎng)絡(luò)由S2c接口接入EPC時,所接收的分組數(shù)據(jù)網(wǎng)連接建立請求是MME(Mobility Management Entity,移動性管理網(wǎng)元)發(fā)送的會話建立消息,該會話建立消息是移動性管理網(wǎng)元接收到用戶設(shè)備發(fā)送的分組數(shù)據(jù)網(wǎng)連接請求后發(fā)送的。
      [0074]602,當(dāng)該用戶設(shè)備的S6b接口會話存在或者與該用戶設(shè)備之間已有安全聯(lián)盟時,發(fā)送認(rèn)證請求消息到鑒權(quán)認(rèn)證設(shè)備。
      [0075]PDN-Gff判斷是否已經(jīng)存在接入U(xiǎn)E的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。或者TON-GW判斷是否與該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在,或者與該UE之間已有安全聯(lián)盟建立時,則說明原來TON-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,此時,PDN-Gff發(fā)送認(rèn)證請求給AAA服務(wù)器。
      [0076]603,接收鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,認(rèn)證響應(yīng)消息中包括該用戶設(shè)備接入的可信關(guān)系信息,根據(jù)可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0077]接收AAA服務(wù)器返回的認(rèn)證響應(yīng)消息,其中包含指示用戶設(shè)備接入可信關(guān)系的信息,即用戶設(shè)備接入是可信非3GPP接入、非可信非3GPP接入還是3GPP接入。TON-GW根據(jù)接收到的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0078]本發(fā)明實(shí)施例在收到用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求時,如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則發(fā)送認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中所指示的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0079]下面結(jié)合具體例子,更加詳細(xì)地描述本發(fā)明的另一個實(shí)施例。圖7是根據(jù)本發(fā)明另一個實(shí)施例的可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的示意流程圖。
      [0080]701,UE發(fā)送綁定更新請求Binding Update消息到TON-GW,使得PDN-GW將UE的本地地址和家鄉(xiāng)地址綁定,建立UE與TON-GW之間的數(shù)據(jù)連接。
      [0081]702,PDN-Gff接收到綁定更新請求消息后,PDN-Gff判斷是否已經(jīng)存在該UE的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1nID和用戶設(shè)備標(biāo)識?;蛘逿ON-GW判斷是否與該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在,或者與該UE之間已有安全聯(lián)盟建立時,則說明原來I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,此時,則TON-GW發(fā)送認(rèn)證請求給AAA服務(wù)器。認(rèn)證請求消息中包括UE標(biāo)識,還包括網(wǎng)絡(luò)標(biāo)識。網(wǎng)絡(luò)標(biāo)識包括如下信息的一種或幾種:接入網(wǎng)標(biāo)識、接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制、接入類型,如果是漫游場景,還包括拜訪地網(wǎng)絡(luò)標(biāo)識。
      [0082]703,AAA服務(wù)器根據(jù)配置的策略判定用戶設(shè)備接入是否為可信接入,并發(fā)送認(rèn)證響應(yīng)消息到roN-GW,消息中包括可信關(guān)系信元,取值為“可信”或“非可信”或“3GPP”,指示用戶設(shè)備接入為可信非3GPP接入或非可信非3GPP接入或3GPP接入,此處取值為“可信”,指示為可信非3GPP接入。
      [0083]AAA服務(wù)器判定用戶設(shè)備接入是否為可信接入的方法可以為:在策略中包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,AAA服務(wù)器根據(jù)認(rèn)證請求消息中的網(wǎng)絡(luò)標(biāo)識,查詢配置的策略確定用戶設(shè)備接入的可信關(guān)系。若策略中需要根據(jù)接入網(wǎng)標(biāo)識進(jìn)行可信關(guān)系的判斷,而認(rèn)證請求消息中不包括接入網(wǎng)標(biāo)識,但包含接入類型時,AAA服務(wù)器也可以根據(jù)接入類型構(gòu)造接入網(wǎng)標(biāo)識。具體方法為:接入類型一般是整數(shù)類型的表示方法,如O表示W(wǎng)LAN,2001表示HRH)等。因此,AAA服務(wù)器根據(jù)接入類型,查表得知接入類型的整數(shù)對應(yīng)的具體接入類型描述,用字符串表示,作為接入網(wǎng)標(biāo)識的前綴,接入網(wǎng)前綴即為“WLAN”,“HRPD”這樣的字符串,接入網(wǎng)標(biāo)識除前綴之外的附加字符串可以沒有,或者由AAA服務(wù)器自己決定生成規(guī)則。
      [0084]判定方法可以采用如下方式實(shí)現(xiàn):策略中包含可信關(guān)系與網(wǎng)絡(luò)標(biāo)識對應(yīng)的記錄,查詢配置的策略數(shù)據(jù)表,如與網(wǎng)絡(luò)標(biāo)識對應(yīng)的可信關(guān)系為可信接入則判定本次UE接入為可信接入,可信關(guān)系為非可信接入則判定本次UE接入為非可信接入。
      [0085]704,PDN-Gff發(fā)送綁定更新確認(rèn)消息給UE。
      [0086]705, PDN-Gff接收到AAA服務(wù)器指示用戶設(shè)備接入為可信接入的認(rèn)證響應(yīng)信息后,在任意時間可發(fā)起與UE間的Child SA建立過程。若接收到UE發(fā)起的Child SA建立請求,則接受請求,建立Child SA。
      [0087]本發(fā)明實(shí)施例在UE通過S2c接口從可信非3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,PDN-GW收到UE的綁定更新請求Binding Update消息時,如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則發(fā)送認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,此處為可信接入,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0088]圖8是根據(jù)本發(fā)明另一個實(shí)施例的非可信非3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的示意流程圖。圖8的方法與圖7的方法相對應(yīng),因此適當(dāng)省略部分詳細(xì)描述。
      [0089]801,UE發(fā)送綁定更新請求Binding Update消息到TON-GW,使得PDN-GW將UE的本地地址和家鄉(xiāng)地址綁定,建立UE與TON-GW之間的數(shù)據(jù)連接。
      [0090]802,PDN-Gff接收到綁定更新請求消息后,PDN-Gff判斷是否已經(jīng)存在該UE的S6b會話或者與該UE之間已有安全聯(lián)盟建立。如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則說明原來I3DN-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,此時,PDN-Gff發(fā)送認(rèn)證請求消息到AAA服務(wù)器。認(rèn)證請求消息中包括UE標(biāo)識,還包括網(wǎng)絡(luò)標(biāo)識。網(wǎng)絡(luò)標(biāo)識包括如下信息的一種或幾種:接入網(wǎng)標(biāo)識、接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制、接入類型,如果是漫游場景,還包括拜訪地網(wǎng)絡(luò)標(biāo)識。
      [0091]803,AAA服務(wù)器根據(jù)配置的策略判定該用戶設(shè)備接入是否為可信接入,并發(fā)送認(rèn)證響應(yīng)消息到roN-GW,消息中包括可信關(guān)系信元,取值為“可信”或“非可信”或“3GPP”,指示當(dāng)前接入為可信非3GPP接入或非可信非3GPP接入或3GPP接入,此處取值為“非可信”,指示為非可信非3GPP接入。TON-GW接收到指示用戶設(shè)備接入為非可信接入的消息后,不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“N0_ADDIT1NAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果TON-GW與UE之間已經(jīng)有Child SA存在,則TON-GW發(fā)起刪除Child SA的過程。
      [0092]804,PDN-Gff發(fā)送綁定更新確認(rèn)消息給UE。
      [0093]本發(fā)明實(shí)施例在UE通過S2c接口從非可信非3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,PDN-Gff收到UE的綁定更新請求Binding Update消息時,如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則發(fā)送認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的認(rèn)證響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,此處為非可信接入,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0094]圖9是根據(jù)本發(fā)明另一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理的方法的示意流程圖。
      [0095]901,UE 發(fā)送 F1DN (Packet Data Network,分組數(shù)據(jù)網(wǎng))連接請求給 MME。
      [0096]902,MME發(fā)送會話建立請求給H)N-GW,為該UE建立PDN連接。會話建立請求中包括UE標(biāo)識,PDN類型,無線接入類型等。其中PDN類型指示本PDN連接為UE分配的IP地址的類型,如IPv4、IPv6、或IPv4v6。無線接入類型指示此時為3GPP接入,如E_UTRAN、UTRAN等。如果是切換場景,則在請求消息中還包括切換指示。
      [0097]903,H)N-GW接收到會話建立請求消息后,判斷是否已經(jīng)存在該UE的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識?;蛘吲袛嗍欠衽c該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在,或者與該UE之間已有安全聯(lián)盟建立時,則說明原來TON-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,此時,PDN-Gff發(fā)送認(rèn)證請求給AAA服務(wù)器。認(rèn)證請求消息中包括UE標(biāo)識,還包括網(wǎng)絡(luò)標(biāo)識,網(wǎng)絡(luò)標(biāo)識包括如下信息的一種或幾種:接入網(wǎng)標(biāo)識、無線接入類型。
      [0098]904,AAA服務(wù)器根據(jù)配置的策略判定用戶設(shè)備接入是否為可信接入,并發(fā)送認(rèn)證響應(yīng)消息到roN-GW,消息中包括可信關(guān)系信元,取值為“可信”或“非可信”或“3GPP”,指示用戶設(shè)備接入為可信非3GPP接入或非可信非3GPP接入或3GPP接入,此處取值為“3GPP”,指示為3GPP接入。TON-GW接收到指示當(dāng)前接入為3GPP接入的消息后,不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在ChildSA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“NO_ADDIT1NAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果TON-GW與UE之間已經(jīng)有Child SA存在,則PDN-GW發(fā)起刪除Child SA的過程。
      [0099]AAA服務(wù)器判定用戶設(shè)備接入是否為可信接入的方法可以為:在策略中包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,AAA服務(wù)器根據(jù)認(rèn)證請求消息中的網(wǎng)絡(luò)標(biāo)識,查詢配置的策略確定用戶設(shè)備接入的可信關(guān)系。若策略中需要根據(jù)接入網(wǎng)標(biāo)識進(jìn)行可信關(guān)系的判斷,而認(rèn)證請求消息中不包括接入網(wǎng)標(biāo)識,但包含無線接入類型時,AAA服務(wù)器也可以根據(jù)無線接入類型構(gòu)造接入網(wǎng)標(biāo)識。具體方法為:無線接入類型一般是整數(shù)類型的表示方法,如3表示W(wǎng)LAN,6表示E-UTRAN等。因此,AAA服務(wù)器根據(jù)無線接入類型,查表得知無線接入類型的整數(shù)對應(yīng)的具體接入類型描述,用字符串表示,作為接入網(wǎng)標(biāo)識的前綴。接入網(wǎng)標(biāo)識前綴即為“WLAN”,“E-UTRAN”這樣的字符串,接入網(wǎng)標(biāo)識除前綴之外的附加字符串可以沒有,或者由AAA服務(wù)器自己決定生成規(guī)則。
      [0100]判定方法可以采用如下方式實(shí)現(xiàn):策略中包含可信關(guān)系與網(wǎng)絡(luò)標(biāo)識對應(yīng)的記錄,查詢配置的策略數(shù)據(jù)表,如與網(wǎng)絡(luò)標(biāo)識對應(yīng)的可信關(guān)系為可信接入則判定用戶設(shè)備接入為可信接入,可信關(guān)系為非可信接入則判定用戶設(shè)備接入為非可信接入,可信關(guān)系為3GPP接入則判定為3GPP接入。
      [0101]905,PDN-Gff發(fā)送會話建立確認(rèn)消息給MME。
      [0102]906,MME給UE發(fā)送PDN連接請求的響應(yīng)消息。
      [0103]本發(fā)明實(shí)施例在UE通過S2c接口由3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,MME根據(jù)UE的PDN連接請求發(fā)送會話建立請求消息給TON-GW,如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則TON-GW發(fā)送認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,此處為3GPP接入,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0104]圖10是本發(fā)明又一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。roN-GW接收分組數(shù)據(jù)網(wǎng)連接建立請求,根據(jù)建立請求消息中的信息判斷用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0105]1001,UE發(fā)送PDN連接請求給MME。
      [0106]1002,MME發(fā)送會話建立請求給H)N-GW,為此UE建立PDN連接。會話建立請求中包括UE標(biāo)識,PDN類型,無線接入類型等信息。無線接入類型指示此時為3GPP接入,如E-UTRAN、UTRAN等。PDN類型指示本PDN連接為UE分配的IP地址的類型,如IPv4、IPv6、或IPv4v6。如果是切換場景,則在請求消息中還包括切換指示。
      [0107]PDN-Gff判斷是否已經(jīng)存在該UE的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識?;蛘逨1DN-GW判斷是否與該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,則說明原來TON-GW已經(jīng)向AAA服務(wù)器申請過針對該UE的鑒權(quán)認(rèn)證,此時,TON-GW根據(jù)會話建立請求中的無線接入類型信息判定用戶設(shè)備接入的可信關(guān)系,確定此時為3GPP接入。TON-GW不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“NO_ADDIT1NAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果I3DN-GW與UE之間已經(jīng)有Child SA存在,則PDN-GW發(fā)起刪除ChildSA的過程。
      [0108]1003,PDN-Gff發(fā)送會話建立確認(rèn)消息給MME。
      [0109]1004,MME給UE發(fā)送PDN連接請求的響應(yīng)消息。
      [0110]本發(fā)明實(shí)施例在UE通過S2c接口由3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,MME根據(jù)UE的PDN連接請求發(fā)送會話建立請求消息給H)N-GW,PDN-Gff判斷若已經(jīng)存在該UE的S6b接口會話或者與該UE之間已有安全聯(lián)盟建立,則根據(jù)會話建立請求消息中的信息確定用戶設(shè)備接入的可信關(guān)系,此處為3GPP接入,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使I3DN-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0111]圖11是本發(fā)明又一個實(shí)施例的3GPP接入網(wǎng)絡(luò)采用S2c接口接入EPS網(wǎng)絡(luò)的數(shù)據(jù)安全通道的處理方法的過程的示意流程圖。roN-GW接收到UE的安全聯(lián)盟建立請求,發(fā)送鑒權(quán)認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,建立或更新S2C隧道數(shù)據(jù)安全通道。
      [0112]1101,UE發(fā)送PDN連接請求給MME。
      [0113]1102,MME發(fā)送會話建立請求給H)N-GW,為此UE建立PDN連接。會話建立請求中包括UE標(biāo)識,PDN類型,無線接入類型等。其中PDN類型指示本PDN連接為UE分配的IP地址的類型,如IPv4、IPv6、或IPv4v6。無線接入類型指示此時為3GPP接入,如E-UTRAN、UTRAN等。如果是切換場景,則在請求消息中還包括切換指示。
      [0114]1103,PDN-Gff發(fā)送會話建立確認(rèn)消息給MME。
      [0115]1104,MME給UE發(fā)送PDN連接請求的響應(yīng)消息。
      [0116]1105,UE發(fā)送安全聯(lián)盟建立請求給PDN-GW在UE和PDN-GW之間建立DSMIPv6的的SA,此安全聯(lián)盟建立請求具體可以為IKE鑒權(quán)請求等安全聯(lián)盟建立請求消息,其中包括APN(Access Point Name,接入點(diǎn)名稱)信息。
      [0117]1106,PDN-Gff發(fā)送鑒權(quán)認(rèn)證請求消息到AAA服務(wù)器,注冊APN和PDN-GW信息,上述請求消息中包括UE標(biāo)識。還可以包括網(wǎng)絡(luò)標(biāo)識,網(wǎng)絡(luò)標(biāo)識包括如下信息的一種或幾種:接入網(wǎng)標(biāo)識、無線接入類型。
      [0118]1107,AAA服務(wù)器根據(jù)配置的策略判定用戶設(shè)備接入的可信關(guān)系,發(fā)送鑒權(quán)認(rèn)證響應(yīng)消息到PDN-GW,其中包括可信關(guān)系信元,取值為“可信”或“非可信”或“ 3GPP ”或“UNKNOWN”,此時指示為“3GPP”或“UNKNOWN”,取值為“3GPP”表示當(dāng)前為3GPP接入,取值為“UNKNOWN”表示AAA服務(wù)器無法給出該用戶設(shè)備接入的可信關(guān)系。當(dāng)TON-GW收到指示可信關(guān)系為“UNKNOWN”的消息后,根據(jù)步驟1102中收到的會話建立請求中的無線接入類型信息判定用戶設(shè)備接入的可信關(guān)系,此時為3GPP接入。
      [0119]PDN-Gff接收到AAA發(fā)送的指示用戶設(shè)備接入為3GPP接入的消息,或接收到指示用戶設(shè)備接入的可信關(guān)系為“UNKNOWN”的消息后自行判定該用戶設(shè)備接入為3GPP接入,則不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“N0_ADDIT1NAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果TON-GW與UE之間已經(jīng)有Child SA存在,則TON-GW發(fā)起刪除Child SA的過程。
      [0120]AAA服務(wù)器判定用戶設(shè)備接入是否為可信接入的方法可以為:在策略中包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,AAA服務(wù)器根據(jù)認(rèn)證請求消息中的網(wǎng)絡(luò)標(biāo)識,查詢配置的策略確定用戶設(shè)備接入的可信關(guān)系。若策略中需要根據(jù)接入網(wǎng)標(biāo)識進(jìn)行可信關(guān)系的判斷,而認(rèn)證請求消息中不包括接入網(wǎng)標(biāo)識,但包含無線接入類型時,AAA服務(wù)器也可以根據(jù)無線接入類型構(gòu)造接入網(wǎng)標(biāo)識。具體方法為:無線接入類型一般是整數(shù)類型的表示方法,如3表示W(wǎng)LAN,6表示E-UTRAN等。因此,AAA服務(wù)器根據(jù)無線接入類型,查表得知無線接入類型的整數(shù)對應(yīng)的具體接入類型描述,用字符串表示,作為接入網(wǎng)標(biāo)識的前綴。接入網(wǎng)標(biāo)識前綴即為“WLAN”,“E-UTRAN”這樣的字符串,接入網(wǎng)標(biāo)識除前綴之外的附加字符串可以沒有,或者由AAA服務(wù)器自己決定生成規(guī)則。
      [0121]判定方法可以采用如下方式實(shí)現(xiàn):策略中包含可信關(guān)系與網(wǎng)絡(luò)標(biāo)識對應(yīng)的記錄,查詢配置的策略數(shù)據(jù)表,如與網(wǎng)絡(luò)標(biāo)識對應(yīng)的可信關(guān)系為可信接入則判定用戶設(shè)備接入為可信接入,可信關(guān)系為非可信接入則判定用戶設(shè)備接入為非可信接入,可信關(guān)系為3GPP接入則判定為3GPP接入,如果查找不到相應(yīng)記錄則返回“UNKNOWN”,表明無法判斷用戶設(shè)備接入的可信關(guān)系。
      [0122]1108, PDN-Gff發(fā)送安全聯(lián)盟建立響應(yīng)消息到UE,其中包括I3DN-GW給UE分配的IP地址。
      [0123]本發(fā)明實(shí)施例在UE通過S2c接口由3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,PDN-GW接收到UE的安全聯(lián)盟建立請求,則發(fā)送鑒權(quán)認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,并根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,此處指示為3GPP接入或無法確定,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0124]圖12是根據(jù)本發(fā)明一個實(shí)施例的鑒權(quán)認(rèn)證設(shè)備的框圖。圖12的鑒權(quán)認(rèn)證設(shè)備120的非限制性例子是圖3-圖5、圖7-圖9中所示的歸屬用戶服務(wù)器/鑒權(quán)認(rèn)證和計(jì)費(fèi)服務(wù)器設(shè)備,包括接收單元1201、鑒權(quán)單元1202和發(fā)送單元1203。
      [0125]接收單元1201用于接收接入側(cè)的鑒權(quán)認(rèn)證請求。鑒權(quán)單元1202用于對所接收的鑒權(quán)認(rèn)證請求進(jìn)行鑒權(quán),確定用戶設(shè)備接入的可信關(guān)系。當(dāng)已經(jīng)存在該UE的S6b會話時,通知發(fā)送單元向I3DN-GW發(fā)送包含可信關(guān)系指示信息的消息。發(fā)送單元1203,用于向TON-GW發(fā)送包含可信關(guān)系指示信息的消息。
      [0126]本發(fā)明實(shí)施例在收到接入側(cè)的鑒權(quán)認(rèn)證請求時,確認(rèn)本次用戶設(shè)備接入的可信關(guān)系,如果已有該UE的S6b接口會話存在則發(fā)送包含用戶設(shè)備接入可信關(guān)系信息的消息給roN-GW,使roN-GW可以正確建立和更新S2c隧道數(shù)據(jù)安全通道。
      [0127]接收單元1201接收接入側(cè)發(fā)送的鑒權(quán)認(rèn)證請求。UE從S2c接口接入EPC網(wǎng)絡(luò)時,接收單元會接收到接入側(cè)的鑒權(quán)認(rèn)證請求,申請對本次接入進(jìn)行鑒權(quán)認(rèn)證。因?yàn)榻尤氲姆绞讲煌?,?dāng)UE從可信非3GPP接入網(wǎng)絡(luò)接入時,此處的接入側(cè)指可信非3GPP接入網(wǎng)絡(luò),當(dāng)UE從非可信非3GPP接入網(wǎng)絡(luò)接入時,此處的接入側(cè)是指非可信非3GPP接入網(wǎng)絡(luò)或ePDG。
      [0128]鑒權(quán)單元1202根據(jù)所接收的鑒權(quán)認(rèn)證請求中攜帶的參數(shù)判斷本次的用戶設(shè)備接入為可信接入還是非可信接入,參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識ANID,拜訪地網(wǎng)絡(luò)標(biāo)識Visited Network Identity (該標(biāo)識僅在漫游場景下需要),接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制等。鑒權(quán)單元根據(jù)配置的策略判定用戶設(shè)備接入是否為可信接入,策略中包括接入網(wǎng)標(biāo)識(漫游場景下還需要拜訪地網(wǎng)絡(luò)標(biāo)識)與可信關(guān)系的對應(yīng)關(guān)系。判定的方法可以為:根據(jù)鑒權(quán)認(rèn)證請求消息中的接入網(wǎng)絡(luò)標(biāo)識(漫游場景下還需要拜訪地網(wǎng)絡(luò)標(biāo)識),查詢配置的策略確定用戶設(shè)備接入的可信關(guān)系。若鑒權(quán)認(rèn)證請求消息中不包括接入網(wǎng)標(biāo)識,需要根據(jù)接入類型標(biāo)識構(gòu)造接入網(wǎng)絡(luò)標(biāo)識。具體為:接入類型一般是整數(shù)類型的表示方法,如O表示W(wǎng)LAN,2001表示HRPD等。接入網(wǎng)絡(luò)前綴即為“WLAN”,“HRPD”這樣的字符串,鑒權(quán)單元1202根據(jù)接入類型,查表得知接入類型的整數(shù)對應(yīng)的具體接入類型描述,用字符串表示,作為接入網(wǎng)絡(luò)標(biāo)識的前綴。接入網(wǎng)絡(luò)標(biāo)識除前綴之外的附加字符串可以沒有,或者生成規(guī)則由鑒權(quán)認(rèn)證設(shè)備自己決定。
      [0129]判定方法可以采用如下方式:查詢配置的策略數(shù)據(jù)表,找到與接入網(wǎng)絡(luò)標(biāo)識(漫游場景下還需要拜訪地網(wǎng)絡(luò)標(biāo)識)對應(yīng)的可信關(guān)系,如可信關(guān)系為可信接入則判定當(dāng)前接入為可信接入,可信關(guān)系為非可信接入則判定當(dāng)前接入為非可信接入。
      [0130]鑒權(quán)單元判斷是否已經(jīng)存在該接入U(xiǎn)E的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。如果已有該UE的S6b接口會話存在,則說明原來PDN-GW已經(jīng)向鑒權(quán)認(rèn)證設(shè)備申請過針對該UE的鑒權(quán)認(rèn)證。此時,鑒權(quán)單元通知發(fā)送單元發(fā)送消息給TON-GW,其中包含指示用戶設(shè)備接入可信關(guān)系的信息,即該用戶設(shè)備接入是可信非3GPP接入還是非可信非3GPP接入。
      [0131]發(fā)送單元1203發(fā)送消息給TON-GW,其中包括可信關(guān)系信元,取值為“可信”或“非可信”,“可信”表示為可信接入,“非可信”表示為非可信接入。roN-GW根據(jù)接收到的用戶設(shè)備接入的可信關(guān)系,建立或更新S2C隧道數(shù)據(jù)安全通道。
      [0132]因此,本發(fā)明實(shí)施例在接收單元收到接入側(cè)的鑒權(quán)認(rèn)證請求時,鑒權(quán)單元確定用戶設(shè)備接入的可信關(guān)系,當(dāng)已有該用戶設(shè)備的S6b接口會話存在時,發(fā)送單元發(fā)送包含用戶設(shè)備接入可信關(guān)系信息的消息給TON-GW,使TON-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0133]圖13是根據(jù)本發(fā)明另一個實(shí)施例的網(wǎng)關(guān)設(shè)備的框圖。圖13的網(wǎng)關(guān)設(shè)備130的非限制性例子是圖3-圖5、圖7-圖11所示的分組數(shù)據(jù)網(wǎng)關(guān),包括接收單元1301、確認(rèn)單元1302、發(fā)送單元1303和建立單元1304。
      [0134]接收單元1301接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,以及接收鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,認(rèn)證響應(yīng)消息中包括用戶設(shè)備接入的可信關(guān)系信息;確認(rèn)單元1302在接收單元接收到分組數(shù)據(jù)網(wǎng)連接建立請求時,確認(rèn)若存在該用戶設(shè)備的S6b會話或者與該用戶設(shè)備之間已有安全聯(lián)盟,則通知發(fā)送單元向鑒權(quán)認(rèn)證設(shè)備發(fā)送認(rèn)證請求消息;發(fā)送單元1303向鑒權(quán)認(rèn)證設(shè)備發(fā)送所述認(rèn)證請求消息;建立單元1304根據(jù)認(rèn)證響應(yīng)消息中的可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0135]本實(shí)施例在網(wǎng)關(guān)設(shè)備接收到分組數(shù)據(jù)網(wǎng)連接建立請求時,發(fā)送認(rèn)證請求消息給鑒權(quán)認(rèn)證設(shè)備,根據(jù)鑒權(quán)認(rèn)證設(shè)備的認(rèn)證響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0136]接收單元1301接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求。當(dāng)UE從非3GPP接入網(wǎng)絡(luò)由S2c接口接入EPC時,所接收的分組數(shù)據(jù)網(wǎng)連接建立請求是UE發(fā)送的綁定更新Binding Update消息;當(dāng)UE從3GPP接入網(wǎng)絡(luò)由S2c接口接入EPC時,所接收的分組數(shù)據(jù)網(wǎng)連接建立請求是MME發(fā)送的會話建立消息,該會話建立消息是移動性管理網(wǎng)元接收到用戶設(shè)備發(fā)送的分組數(shù)據(jù)網(wǎng)連接請求后發(fā)送的。
      [0137]確認(rèn)單元1302確認(rèn)是否已經(jīng)存在本次接入U(xiǎn)E的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識?;蛘叽_認(rèn)單元確認(rèn)是否與該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立,則說明原來網(wǎng)關(guān)設(shè)備已經(jīng)向鑒權(quán)認(rèn)證設(shè)備申請過針對該UE的鑒權(quán)認(rèn)證。此時,通知發(fā)送單元1303向鑒權(quán)認(rèn)證設(shè)備發(fā)送認(rèn)證請求。
      [0138]接收單元1301接收鑒權(quán)認(rèn)證設(shè)備返回的認(rèn)證響應(yīng)消息,消息中包含指示當(dāng)前接入可信關(guān)系的信息,即當(dāng)前接入是可信非3GPP接入、非可信非3GPP接入或3GPP接入。具體方式為消息中包括可信關(guān)系信元,取值為“可信”或“非可信”或“3GPP”,指示當(dāng)前接入為可信3GPP接入或非可信3GPP接入或3GPP接入。
      [0139]建立單元1304根據(jù)接收到的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。當(dāng)消息中指示該用戶設(shè)備接入為可信接入,則建立單元在任意時間可發(fā)起與UE間的Child SA建立過程。若接收到UE發(fā)起的Child SA建立請求,則接受請求,建立Child SA。當(dāng)消息中指示該用戶設(shè)備接入為非可信接入或3GPP接入,則不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“N0_ADDIT1NAL_SAS”,或“NO_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果網(wǎng)關(guān)設(shè)備與UE之間已經(jīng)有Child SA存在,則建立單元發(fā)起刪除Child SA的過程。
      [0140]因此,本發(fā)明實(shí)施例的網(wǎng)關(guān)設(shè)備在接收到分組數(shù)據(jù)網(wǎng)連接建立請求時,如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立,則發(fā)送認(rèn)證請求給鑒權(quán)認(rèn)證設(shè)備,根據(jù)鑒權(quán)認(rèn)證設(shè)備的響應(yīng)消息中指示的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道,使得在UE通過S2c接口接入EPS網(wǎng)絡(luò)時,保障正確的建立或更新S2c隧道數(shù)據(jù)安全通道。
      [0141]圖14是根據(jù)本發(fā)明又一個實(shí)施例的網(wǎng)關(guān)設(shè)備的框圖。圖14的網(wǎng)關(guān)設(shè)備140的非限制性例子是圖10、圖11所示的分組數(shù)據(jù)網(wǎng)關(guān),包括接收單元1401、確認(rèn)單元1402和建立單元1403。
      [0142]接收單元1401接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求。確認(rèn)單元1402在接收單元接收到分組數(shù)據(jù)網(wǎng)連接建立請求時,確認(rèn)若存在該用戶設(shè)備的S6b會話或者與該用戶設(shè)備之間已有安全聯(lián)盟,則根據(jù)請求中的無線接入類型信息確定本次用戶設(shè)備接入的可信關(guān)系。建立單元1403根據(jù)確認(rèn)單元確定的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道的數(shù)據(jù)安全通道。
      [0143]接收單元1401接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,該分組數(shù)據(jù)網(wǎng)連接建立請求是MME發(fā)送的會話建立消息,該會話建立消息是移動性管理網(wǎng)元接收到用戶設(shè)備發(fā)送的分組數(shù)據(jù)網(wǎng)連接請求后發(fā)送的。會話建立請求中包括UE標(biāo)識,PDN類型,無線接入類型等信息。無線接入類型指示此時為3GPP接入,如E-UTRAN、UTRAN等。PDN類型指示本I3DN連接為UE分配的IP地址的類型,如IPv4、IPv6、或IPv4v6。如果是切換場景,則在請求消息中還包括切換指示。
      [0144]確認(rèn)單元1402確認(rèn)是否已經(jīng)存在該UE的S6b會話,即是否已有該UE的S6b接口的會話上下文存在,會話上下文包括會話標(biāo)識Sess1n ID和用戶設(shè)備標(biāo)識。或者確認(rèn)單元1402確認(rèn)是否與該UE之間已有安全聯(lián)盟建立,即此UE是否已有安全上下文存在,安全上下文包括安全參數(shù)索引SPI和UE標(biāo)識。如果已有該UE的S6b接口會話存在或者與該UE之間已有安全聯(lián)盟建立時,說明原來網(wǎng)關(guān)設(shè)備已經(jīng)向鑒權(quán)認(rèn)證設(shè)備申請過針對該UE的鑒權(quán)認(rèn)證。此時,確認(rèn)單元根據(jù)接收單元接收的分組數(shù)據(jù)網(wǎng)連接建立請求中的無線接入類型信息判定本次用戶設(shè)備接入的可信關(guān)系,確定此時為3GPP接入。
      [0145]建立單元1403根據(jù)確認(rèn)單元確定的用戶設(shè)備接入的可信關(guān)系,建立或更新S2c隧道數(shù)據(jù)安全通道。該用戶設(shè)備接入為3GPP接入,則建立單元不再發(fā)起Child SA建立過程,若接收到UE發(fā)送的Child SA建立請求,則拒絕。拒絕的方式可以為:在Child SA建立請求的響應(yīng)消息中的Notify Payload中的原因值指示“NO_ADDIT1NAL_SAS”,或“N0_Child_SAS”,或其它原因值,表示不再接收Child SA的建立。如果網(wǎng)關(guān)設(shè)備與UE之間已經(jīng)有Child SA存在,則建立單元發(fā)起刪除Child SA的過程。
      [0146]本發(fā)明實(shí)施例在UE通過S2c接口由3GPP接入網(wǎng)絡(luò)接入EPC網(wǎng)絡(luò)時,MME根據(jù)UE的PDN連接請求發(fā)送會話建立請求消息給網(wǎng)關(guān)設(shè)備,網(wǎng)關(guān)設(shè)備確認(rèn)是否已經(jīng)存在該UE的S6b接口會話或者與該UE之間已有安全聯(lián)盟建立,若已有S6b接口會話或與該UE之間已有安全聯(lián)盟建立,則根據(jù)會話建立請求消息中的信息確定本次用戶設(shè)備接入的可信關(guān)系,此處為3GPP接入,建立或更新S2c隧道數(shù)據(jù)安全通道。從而使I3DN-GW可以區(qū)分接入場景,完成數(shù)據(jù)安全通道的建立或更新。
      [0147]根據(jù)本發(fā)明實(shí)施例的通信系統(tǒng)可包括上述鑒權(quán)認(rèn)證設(shè)備120和/或網(wǎng)關(guān)設(shè)備130。
      [0148]根據(jù)本發(fā)明實(shí)施例的通信系統(tǒng)也可包括上述鑒權(quán)認(rèn)證設(shè)備120和/或網(wǎng)關(guān)設(shè)備140。
      [0149]本領(lǐng)域普通技術(shù)人員可以意識到,結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟,能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn),為了清楚地說明硬件和軟件的可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能宄竟以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。
      [0150]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng)、設(shè)備和單元的具體工作過程,可以參考前述方法實(shí)施例中的對應(yīng)過程,在此不再贅述。
      [0151]在本申請所提供的幾個實(shí)施例中,應(yīng)該理解到,所揭露的系統(tǒng)、設(shè)備和方法,可以通過其它的方式實(shí)現(xiàn)。例如,以上所描述的設(shè)備實(shí)施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,設(shè)備或單元的間接耦合或通信連接,可以是電性,機(jī)械或其它的形式。
      [0152]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。
      [0153]另外,在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨(dú)物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。
      [0154]所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時,可以存儲在一個計(jì)算機(jī)可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括:U盤、移動硬盤、只讀存儲器(ROM,Read-OnlyMemory)、隨機(jī)存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
      [0155]以上所述,僅為本發(fā)明的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
      【權(quán)利要求】
      1.一種隧道數(shù)據(jù)安全通道的處理方法,其特征在于,包括, 接收接入側(cè)的鑒權(quán)認(rèn)證請求,確定用戶設(shè)備接入的可信關(guān)系; 當(dāng)所述用戶設(shè)備的S6b接口會話存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,以便所述分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道; 當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,則向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,以便所述分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述可信關(guān)系建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,以便所述分組數(shù)據(jù)網(wǎng)關(guān)接受所述用戶設(shè)備發(fā)起的子安全聯(lián)盟Child SA建立請求。
      2.如權(quán)利要求1所述的方法,其特征在于,所述接入側(cè)為可信非3GPP接入網(wǎng)絡(luò)或非可信非3GPP接入網(wǎng)絡(luò)或演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)。
      3.如權(quán)利要求1所述的方法,其特征在于,當(dāng)所述用戶設(shè)備的S6b接口會話存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,包括:當(dāng)所述用戶設(shè)備的S6b接口的會話上下文存在時,向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息。
      4.如權(quán)利要求1所述的方法,其特征在于,所述向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,包括:向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含攜帶可信關(guān)系信元的消息,所述可信關(guān)系信元取值為可信或非可信,指示所述用戶設(shè)備接入為可信接入或非可信接入。
      5.如權(quán)利要求1-4任一所述的方法,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,則所述分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 所述分組數(shù)據(jù)網(wǎng)關(guān)發(fā)起與所述用戶設(shè)備之間的子安全聯(lián)盟Child SA建立過程。
      6.如權(quán)利要求1-4任一所述的方法,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為非可信接入,則所述分組數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 拒絕所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求。
      7.如權(quán)利要求6所述的方法,其特征在于,所述拒絕用戶設(shè)備發(fā)送的子安全聯(lián)盟ChildSA建立請求包括:在子安全聯(lián)盟Child SA建立請求的響應(yīng)消息中指示不接受所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求。
      8.如權(quán)利要求1所述的方法,其特征在于,所述確定所述用戶設(shè)備接入的可信關(guān)系,包括: 根據(jù)接收到的所述鑒權(quán)認(rèn)證請求中的參數(shù)確定用戶設(shè)備接入為可信接入還是非可信接入,所述參數(shù)包括以下的一種或幾種:接入網(wǎng)標(biāo)識,拜訪地網(wǎng)絡(luò)標(biāo)識,接入類型,接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制。
      9.一種隧道數(shù)據(jù)安全通道的處理方法,其特征在于,包括, 接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,當(dāng)所述用戶設(shè)備的S6b接口會話存在或者與所述用戶設(shè)備之間已有安全聯(lián)盟時,發(fā)送認(rèn)證請求消息到鑒權(quán)認(rèn)證設(shè)備, 接收所述鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,所述認(rèn)證響應(yīng)消息中包括所述用戶設(shè)備接入的可信關(guān)系信息, 根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道; 當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,所述根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 接收所述用戶設(shè)備發(fā)起的子安全聯(lián)盟Child SA建立請求。
      10.如權(quán)利要求9所述的方法,其特征在于,所述接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求包括: 接收所述用戶設(shè)備發(fā)送的綁定更新請求消息;或者 接收移動性管理網(wǎng)元發(fā)送的會話建立消息,所述會話建立消息是所述移動性管理網(wǎng)元收到所述用戶設(shè)備發(fā)送的分組數(shù)據(jù)網(wǎng)連接請求消息后發(fā)送的。
      11.如權(quán)利要求9所述的方法,其特征在于,當(dāng)所述用戶設(shè)備的S6b接口會話存在或者與所述用戶設(shè)備之間已有安全聯(lián)盟時,發(fā)送認(rèn)證請求消息到鑒權(quán)認(rèn)證設(shè)備,包括:當(dāng)所述用戶設(shè)備的S6b接口的會話上下文存在或者所述用戶設(shè)備的安全上下文存在時,發(fā)送認(rèn)證請求消息到鑒權(quán)認(rèn)證設(shè)備。
      12.如權(quán)利要求9所述的方法,其特征在于,所述認(rèn)證響應(yīng)消息中包括可信關(guān)系信元,所述可信關(guān)系信元取值為可信或非可信或3GPP,指示所述用戶設(shè)備接入為可信接入或非可信接入或3GPP接入。
      13.如權(quán)利要求9-12任一所述的方法,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,所述根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 發(fā)起與所述用戶設(shè)備之間的子安全聯(lián)盟Child SA建立過程。
      14.如權(quán)利要求9-12任一所述的方法,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為非可信接入,所述根據(jù)所述可信關(guān)系信息建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 拒絕所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求。
      15.如權(quán)利要求14所述的方法,其特征在于,所述拒絕所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求包括:在子安全聯(lián)盟Child SA建立請求的響應(yīng)消息中指示不接受所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求。
      16.如權(quán)利要求9-15任一所述的方法,其特征在于,所述接收所述鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息之前,還包括:所述鑒權(quán)認(rèn)證設(shè)備根據(jù)配置的策略確定所述用戶設(shè)備接入的可?目關(guān)系。
      17.如權(quán)利要求16所述的方法,其特征在于,所述配置的策略包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,所述網(wǎng)絡(luò)標(biāo)識包括接入網(wǎng)標(biāo)識、接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制、接入類型以及拜訪地網(wǎng)絡(luò)標(biāo)識中的一種或者多種。
      18.如權(quán)利要求16所述的方法,其特征在于,所述配置的策略包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,所述網(wǎng)絡(luò)標(biāo)識包括接入網(wǎng)標(biāo)識、無線接入類型中的一種或者多種。
      19.一種鑒權(quán)認(rèn)證設(shè)備,其特征在于,包括: 接收單元,用于接收接入側(cè)的鑒權(quán)認(rèn)證請求; 鑒權(quán)單元,用于對所述鑒權(quán)認(rèn)證請求進(jìn)行鑒權(quán),確定用戶設(shè)備接入的可信關(guān)系,當(dāng)所述用戶設(shè)備的S6b會話存在時,通知發(fā)送單元向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息; 發(fā)送單元,用于向所述分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送消息,所述消息中包含所述可信關(guān)系信息;當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,則所述發(fā)送單元用于向所述分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送消息,所述消息中包含所述可信關(guān)系信息,包括: 所述發(fā)送單元用于向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,以便所述分組數(shù)據(jù)網(wǎng)關(guān)接受所述用戶設(shè)備發(fā)起的子安全聯(lián)盟Child SA建立請求。
      20.如權(quán)利要求19所述的鑒權(quán)認(rèn)證設(shè)備,其特征在于,所述接入側(cè)為可信非3GPP接入網(wǎng)絡(luò)或非可信非3GPP接入網(wǎng)絡(luò)或演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)。
      21.如權(quán)利要求19-20任一所述的鑒權(quán)認(rèn)證設(shè)備,其特征在于,當(dāng)所述用戶設(shè)備的S6b會話存在時,鑒權(quán)單元通知發(fā)送單元向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息,包括:當(dāng)所述用戶設(shè)備的S6b接口的會話上下文存在時,所述鑒權(quán)單元通知發(fā)送單元向分組數(shù)據(jù)網(wǎng)關(guān)發(fā)送包含所述可信關(guān)系信息的消息。
      22.如權(quán)利要求19-21任一所述的鑒權(quán)認(rèn)證設(shè)備,其特征在于,根據(jù)配置的策略確定所述用戶設(shè)備接入的可信關(guān)系,具體包括:鑒權(quán)單元根據(jù)所述鑒權(quán)認(rèn)證請求中的信息查詢所述配置的策略確定所述可信關(guān)系,所述配置的策略包括網(wǎng)絡(luò)標(biāo)識與可信關(guān)系的對應(yīng)關(guān)系,所述網(wǎng)絡(luò)標(biāo)識包括接入網(wǎng)標(biāo)識、接入網(wǎng)絡(luò)內(nèi)使用的安全機(jī)制、接入類型以及拜訪地網(wǎng)絡(luò)標(biāo)識中的至少一種或者多種。
      23.如權(quán)利要求19-22任一所述的鑒權(quán)認(rèn)證設(shè)備,其特征在于,所述消息中包含所述可信關(guān)系信息,具體包括:所述消息中包含可信關(guān)系信元,所述可信關(guān)系信元取值為可信或非可信,指示所述用戶設(shè)備接入為可信接入或非可信接入。
      24.一種網(wǎng)關(guān)設(shè)備,其特征在于,包括: 接收單元,用于接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,以及用于接收鑒權(quán)認(rèn)證設(shè)備發(fā)送的認(rèn)證響應(yīng)消息,所述認(rèn)證響應(yīng)消息中包括所述用戶設(shè)備接入的可信關(guān)系信息; 確認(rèn)單元,用于當(dāng)所述接收單元接收到所述分組數(shù)據(jù)網(wǎng)連接建立請求時,確認(rèn)若存在所述用戶設(shè)備的S6b會話或者與所述用戶設(shè)備之間已有安全聯(lián)盟,則通知發(fā)送單元向鑒權(quán)認(rèn)證設(shè)備發(fā)送認(rèn)證請求消息; 所述發(fā)送單元,用于向所述鑒權(quán)認(rèn)證設(shè)備發(fā)送所述認(rèn)證請求消息; 建立單元,用于根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道; 當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,所述建立單元用于所述根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 接收所述用戶設(shè)備發(fā)起的子安全聯(lián)盟Child SA建立請求。
      25.如權(quán)利要求24所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述接收單元用于接收用戶設(shè)備的分組數(shù)據(jù)網(wǎng)連接建立請求,包括: 所述接收單元用于接收所述用戶設(shè)備發(fā)送的綁定更新請求消息; 或者用于接收移動性管理網(wǎng)元發(fā)送的會話建立消息,所述會話建立消息是所述移動性管理網(wǎng)元收到所述用戶設(shè)備發(fā)送的分組數(shù)據(jù)網(wǎng)連接請求消息后發(fā)送的。
      26.如權(quán)利要求24所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述確認(rèn)單元用于確認(rèn)存在所述用戶設(shè)備的S6b會話或者與所述用戶設(shè)備之間已有安全聯(lián)盟,具體包括: 所述確認(rèn)單元用于確認(rèn)存在所述用戶設(shè)備的S6b接口的會話上下文或者存在所述用戶設(shè)備的安全上下文。
      27.如權(quán)利要求24-26任一所述的網(wǎng)關(guān)設(shè)備,其特征在于,所述認(rèn)證響應(yīng)消息中包括可信關(guān)系信元用來指示所述用戶設(shè)備接入的可信關(guān)系,其中可信關(guān)系信元取值為可信指示當(dāng)前接入為可信3GPP網(wǎng)絡(luò)接入,取值為非可信指示當(dāng)前接入為非可信3GPP網(wǎng)絡(luò)接入,取值為3GPP指示當(dāng)前接入為3GPP網(wǎng)絡(luò)接入。
      28.如權(quán)利要求24-27任一所述的網(wǎng)關(guān)設(shè)備,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為可信接入,所述建立單元用于所述根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道,包括:, 所述建立單元發(fā)起與所述用戶設(shè)備之間的子安全聯(lián)盟Child SA建立過程。
      29.如權(quán)利要求24-27任一所述的網(wǎng)關(guān)設(shè)備,其特征在于,當(dāng)所述可信關(guān)系信息指示所述用戶設(shè)備接入為非可信接入或3GPP接入,所述建立單元用于所述根據(jù)所述可信關(guān)系信息,建立或更新S2c隧道數(shù)據(jù)安全通道,包括: 拒絕所述用戶設(shè)備發(fā)送的子安全聯(lián)盟Child SA建立請求;或者 刪除與所述用戶設(shè)備之間的子安全聯(lián)盟Child SA。
      【文檔編號】H04W12/02GK104506406SQ201410816594
      【公開日】2015年4月8日 申請日期:2011年11月3日 優(yōu)先權(quán)日:2011年11月3日
      【發(fā)明者】李歡, 時書鋒 申請人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1