一种进行接入认证的方法、装置及系统 【技术领域】
本发明涉及通信网络接入技术领域,尤其涉及一种进行接入认证的方法、装置及系统。
背景技术
3GPP规范中将非3GPP接入网分为两类:一类是Trusted non-3GPP IP access(可信的非3GPP接入网),如CDMA 2000(Code Division Multiple Access,码分多址)网络和Wimax(Worldwide Interoperability for Microwave Access,全球互动式微波接入)网络,另一类是Untrusted non-3GPP IP access(不可信的非3GPP接入网),如WLAN(Wireless Local Area Network,无线局域网)。其中,Trustednon-3GPP IP access可以通过S2a或S2c接口接入PLMN(Public LandMobile-communication Network,公众陆地移动通信网),Untrusted non-3GPP IPaccess可以通过S2b或S2c接口接入PLMN。
UE(User Equipment,用户设备)通过Trusted non-3GPP IP access接入EPS(Evolved Packet System,演进的分组域系统)是基于EAP-AKA(ExtensibleAuthentication Protocol-Authentication and Key Agreement,可扩展的认证协议和认证与密钥协商)或EAP-AKA’(Extensible Authentication Protocol-Authenticationand Key Agreement)协议的,且3GPP AAA(Authentication AuthorisationAccounting,认证授权计费)作为EAP-AKA的服务器。Trusted non-3GPP IP access通过S2a接口接入EPS时,接入认证基于EAP-AKA’协议。Trusted non-3GPP IPaccess通过S2c接口接入EPS时,接入认证基于IKEv2+EAP-AKA协议;Untrustednon-3GPP IP access通过S2b的认证方法是IKEv2+EAP-AKA协议。但是目前已经存在的运营商网络并不是所有的网络都支持EAP-AKA或EAP-AKA’。例如,基于DSL(Digital Subscriber Line,数字用户线路)的接入网络,由于不支持EAP(Extensible Authentication Protocol,可扩展的认证协议),所以不能执行Trusted non-3GPP IP access认证流程。这时的接入网可能会被运营商网络看作为Untrusted non-3GPP IP access,于是寻找ePDG(envoled Packet Data Gateway,演进的分组数据网关),试图通过ePDG接入网络。但是对于目前的网络,也不是所有的网络都可以支持ePDG的建设。
发明人在实现本发明的过程中,发现现有技术至少存在如下问题:
UE不知道通过非3GPP接入网接入EPS系统该使用哪种认证方式,从而导致UE接入EPS的效率低,甚至可能无法通过非3GPP网络接入到EPS中去。
【发明内容】
本发明实施例提供进行接入认证的方法、装置及系统,使得UE能够获知在通过非3GPP接入网接入EPS系统过程中该采用何种接入认证方式。
本发明实施例所要解决的技术问题在于:提供一种告知UE通过非3GPP接入网接入EPS系统采用何种接入认证方式进行接入认证的方法、装置及系统。
本发明实施例提供一种进行接入认证的方法,包括:待接入EPS系统的终端设备获知可采用的接入认证方式,以通过该接入认证方式完成接入认证;上述接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
本发明实施例还提供一种进行接入认证的方法,包括:待接入EPS系统的终端设备获知可采用的接入认证方式,以通过该接入认证方式完成接入认证;上述接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
本发明实施例还提供了一种进行接入认证的系统,包括:接入控制实体,用于与待接入EPS系统的终端设备进行通信,告知该终端设备可采用的接入认证方式,以使该终端设备通过该接入认证方式完成接入认证;该接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
本发明实施例还提供了一种接入控制实体,用于将可采用的接入认证方式告知待接入EPS系统的终端设备。该接入控制实体包括选择单元和发送单元。该选择单元用于根据待接入EPS系统的终端设备当前所在的非3GPP接入网类型选择可采用的接入认证方式,该接入认证方式与非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网;该发送单元用于向该终端设备发送消息,上述消息包括将该选择单元选择的可采用的接入认证方式告知该终端设备的消息。
本发明实施例还提供了一种终端设备,包括获取单元和执行单元。该获取单元用于获取其接入EPS系统可采用的接入认证方式的消息,该接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网;该执行单元用于根据该获取单元获取的接入认证方式执行接入认证。
由上技术方案可以看出,本发明的进行接入认证的方法、装置及系统通过选择与不同的非3GPP接入网类型相对应的可采用的接入认证方式,提高了用户终端设备接入网络的成功率,同时解决了用户终端设备通过非3GPP网络接入网络时,网络不支持EAP,也不支持ePDG建设时,无法进行接入认证的问题。
【附图说明】
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明进行接入认证的方法的第一实施例的流程示意图。
图1b为本发明进行接入认证的方法的第二实施例的流程示意图。
图1c为本发明进行接入认证的方法的第三实施例的流程示意图。
图2为本发明进行接入认证的方法的第四实施例的流程示意图。
图3为本发明进行接入认证的方法的第五实施例的流程示意图。
图4为本发明进行接入认证的方法的第六实施例的流程示意图。
图5为本发明进行接入认证的方法的第七实施例的流程示意图。
图6为本发明进行接入认证的方法第八实施例的流程示意图。
图7为本发明进行接入认证的系统的一个实施例的结构示意图。
图8为图7所示接入控制实体的一个实施例的结构示意图。
图9a为图7中的终端设备的一个实施例的结构示意图。
图9b为图7中的终端设备的另一实施例的结构示意图。
【具体实施方式】
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1a为本发明进行接入认证的方法的第一实施例的流程示意图。如图1a所示,本实施例的进行接入认证的方法包括:
步骤S101:待接入EPS系统的终端设备获知可采用的接入认证方式,以通过该接入认证方式完成接入认证;该接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
上述终端设备接入EPS可采用的接入认证方式可以通过一网络实体统一告知,也可以根据非3GPP接入网的网络特性主动判断该类型接入网可采用的接入认证方式。
然后,该终端设备即可采用获知的接入认证方式进行接入认证,步骤102。
本实施例的进行接入认证的方法通过选择与不同的非3GPP接入网类型相对应的可采用的接入认证方式,提高了用户终端设备接入网络的成功率,同时解决了用户终端设备通过非3GPP网络接入网络时,网络不支持EAP,也不支持ePDG建设时,无法进行接入认证的问题。
图1b为本发明进行接入认证的方法的第二实施例的流程示意图。如图1b所示,该进行接入认证的方法包括:
步骤S101′:接入控制实体告知待接入EPS系统的终端设备可采用的接入认证方式,上述接入认证方式与非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
当接入控制实体发现待接入的终端设备后,可以主动通过广播消息或其它底层发送的消息告知该终端设备可采用的接入认证方式,即该消息可以在网络层或数据链路层传输。更具体的,上述接入控制实体可以通过该消息中携带的参数告知该终端设备其可采用的接入认证方式。
然后,终端设备即可采用被告知的接入认证方式进行接入认证,步骤102′。
本实施例的接入EPS系统的方法可以通过构造一个新的网络实体,统一由该网络实体告知UE,即终端设备,其通过非3GGP接入网接入EPS系统需要采用的哪一种认证方式或寻找哪一个接入网网关进行认证,从而提高了终端设备的接入效率,同时避免了当接入网络即不支持EAP,也不支持ePDG建设时,UE无法与EPS系统进行接入认证的情况。接入控制实体也可以是接入网网关,如WiMAX网络中的ASN Gateway(Access Service Network Gateway,接入服务网络网关);或者是其他能够给UE信息的服务器,如DHCP server(Dynamic HostConfigure Protocol Server,动态主机配置协议服务器)等。
图1c为本发明进行接入认证的方法的第三实施例的流程示意图。如图1c所示,该进行接入认证的方法包括:
步骤101″:接入控制实体收到来自待接入EPS系统的终端设备的请求接入认证方式的消息。该消息可以在网络层或数据链路层传输。
步骤102″:接入控制实体告知上述待接入EPS系统的终端设备可采用的接入认证方式,该接入认证方式与非3GPP接入网类型相对应,其中,3GPP接入网类型包括可信的接入网、不可信的接入网和特定的接入网。该接入控制实体可以通过响应消息中携带的参数告知上述终端设备可采用的接入认证方式。
然后,上述终端设备即可采用被告知的接入认证方式进行接入认证,步骤103″。
根据本实施例的接入EPS系统的方法,可以构造一个新的网络实体,统一由该网络实体告知UE,即终端设备,其通过非3GGP接入网接入EPS系统需要采用的哪一种认证方式或寻找哪一个接入网关进行认证,从而提高了终端设备的接入效率,同时避免了当接入网络即不支持EAP,也不支持ePDG建设时,UE无法与EPS系统进行接入认证的情况。
图2为本发明进行接入认证的方法的第四实施例的流程示意图。在本实施例中,以接入控制实体为非3GPP接入网内的网络实体为例,说明本发明的进行接入认证的方法。
步骤201:UE从非3GPP接入网获得临时的IP地址。
步骤202:UE查找非3GPP接入网内的接入控制实体。
该接入网可以为CDMA2000、WiMAX、WLAN网络等,该非3GPP接入网内的实体可以包括:接入网网关,如WiMAX网络中的ASN Gateway(AccessService Network Gateway,接入服务网络网关);或者是其他能够给UE信息的服务器,如DHCP server(Dynamic Host Configure Protocol Server,动态主机配置协议服务器)等等。
步骤203:UE以前述分配的临时IP地址与该接入控制实体建立安全关联。建立安全关联可以通过IKE_SA_INIT消息完成密钥的协商、nonce值交换等实现。
具体的,IKE_SA_INIT消息包含两条消息:一条是由发起方发送的IKE_SA_INIT Request消息。在IKE_SA_INIT Request消息中可以包含HDR、SAi1、Kei、Ni参数。其中,HDR包含安全参数索引SPIs,版本号和一些标志;SAi1包括发起方建立IKE SA所支持的加密算法;KE是发起方的Diffie-Hellmanvalue;N是随机数载荷。IKE_SA_INIT消息中的另一条消息是由响应方发起的IKE_SA_INIT_Response消息,在这条消息中包含了HDR、SAr1、Ker、Nr、[CERTREQ]参数。SAr1中包括响应方选择的算法,[CERTREQ]是证书请求,其它参数与IKE_SA_INIT Request消息中的参数相对应。通过交换IKE_SA_INIT消息,发起方和响应方协商了所需要的加密算法、认证算法;通过交换随机数和KE,完成了DH(Diffie-Hellman)交换,双方可计算出共享的密钥,这个密钥用来保护后面的数据以及生成IPsec SA所需要的密钥。在本实施例中,发起方为UE,响应方为非3GPP接入网中的接入控制实体。
步骤204:UE向该接入控制实体发送请求接入认证方式的消息。UE向Non-3GPP IP Access发送IKE_AUTH Request消息,该消息中可以包含参数:HDR、SK{IDi,IDr,AUTH、SAi2、Tsi、TSr}等。其中,HDR包含SPIs,版本号和一些标志。SK表示报文被保护。此处将AUTH参数设置为空来表明向接入控制实体请求接入认证方式。SAi2携带了用于IPsec SA的密码算法列表。TS表示被IPsec SA保护的数据流。
步骤205:该接入控制实体将IKE_AUTH Response消息根据该UE获取的临时IP地址发送至该UE,以告知UE可采用的接入认证方式。该接入控制实体可以通过该消息中包含的N[x]参数告知UE可采用的接入认证方式。
一般情况下,IKE_AUTH Response消息中可以不带N[x]参数,只有出现错误时才带。本发明中通过该参数来告知参数来告知UE采用哪一种认证方式。N也就是Notify Payload,该参数通常用来承载信息知会数据,如:错误条件或数据的状态信息等。X表示一些可选的参数类型值,一些Notify类型值已经固定作为某一种错误类型的发生的情况下使用,因此可使用一些余留类型值作为本发明的告知消息类型。
可选的,除了N[x]参数以外,也可以使用其他有预留的值的参数,作为认证方式的承载参数。
具体的,IKE_AUTH Response消息中还可以包含参数HDR、SK{IDi,IDr,AUTH、SAr2、Tsi、TSr、[CERT]}等。其中,HDR包含SPIs,版本号和一些标志。SK表示报文被保护。AUTH用来证明知道与ID相关的秘密,同时对之前和当前的数据包进行完整性保护。SAi2携带了用于IPsec SA的密码算法列表。TS表示被IPsec SA保护的数据流。
步骤206:UE采用被告知的认证方式与接入网关进行接入认证。该接入网关可以为接入网的网关,也可以为核心网的网关。
本实施例中,消息采用IKE(Internet Key Exchange,英特网密钥交换协议)承载,从而可通过IKE+证书的方式对承载的消息进行完整性保护。也可以通过其它方式承载消息,如通过Diameter(直径协议)、HTTP(Hyper Text TransferProtocol,超文本传输协议)等方式承载消息。
在本实施例中,接入控制实体通过IKE_AUTH Response消息中的N[x]载荷将网络侧决定采用的认证方式告知给UE。x取不同值,N[x]所表示的认证方式也不同,在与现有的x使用值不冲突的情况下,可分别表示可信的非3GPP接入网的接入认证方式,如EAP-AKA或EAP-AKA’;不可信的非3GPP接入网的接入认证方式,如IKEv2+EAP-AKA;或者是特定的非3GPP接入网的接入认证方式。这样,实现了通过该非3GPP接入网内的接入控制实体统一告知UE到底采用哪一种接入认证方式的方法。
图3为本发明进行接入认证的方法的第五实施例的流程示意图。本实施例的应用场景是,在UE中没有预配置为按照可信的非3GPP接入网的接入认证方式进行认证,也没有预配置为按照不可信的非3GPP接入网的接入认证方式进行认证。在本实施例中,以接入控制实体为Preservation PDN GW(Preservation Packet DataNetwork Gateway,分组数据网关保护实体)为例,说明本发明的进行接入认证的方法。
如图3所示,本实施例的进行接入认证的方法包括:
步骤301:UE从非3GPP接入网获得临时的IP地址。
步骤302:UE发现和选择Preservation PDN GW。
上述Preservation PDN GW为本发明实施例中提供的一个网络新增的实体,具有保护PDN GW的功能,能够为UE提供接入认证方式。
步骤303:UE以前述分配的临时IP地址与该Preservation PDN GW建立安全关联。建立安全关联可以通过IKE_SA_INIT消息完成密钥的协商、nonce值交换等实现。
具体的,IKE_SA_INIT消息包含两条消息:一条是由发起方发送的IKE_SA_INIT Request消息。在IKE_SA_INIT Request消息中可以包含HDR、SAi1、Kei、Ni参数。其中,HDR包含安全参数索引SPIs,版本号和一些标志;SAi1包括发起方建立IKE SA所支持的加密算法;KE是发起方的Diffie-Hellmanvalue;N是随机数载荷。IKE_SA_INIT消息中的另一条消息是由响应方发起的IKE_SA_INIT_Response消息,在这条消息中包含了HDR、SAr1、Ker、Nr、[CERTREQ]参数。SAr1中包括响应方选择的算法,[CERTREQ]是证书请求,其它参数与IKE_SA_INIT Request消息中的参数相对应。通过交换IKE_SA_INIT消息,发起方和响应方协商了所需要的加密算法、认证算法;通过交换随机数和KE,完成了DH(Diffie-Hellman)交换,双方可计算出共享的密钥,这个密钥用来保护后面的数据以及生成IPsec SA所需要的密钥。在本实施例中,发起方为UE,响应方为Preservation PDN GW。
步骤304:UE向Preservation PDN GW发送请求接入认证方式的消息。UE向Non-3GPP IP Access发送IKE_AUTH Request消息,该消息中可以包含参数:HDR、SK{IDi,IDr,AUTH、SAi2、Tsi、TSr}等。其中,HDR包含SPIs,版本号和一些标志。SK表示报文被保护。此处将AUTH参数设置为空来表明向接入控制实体请求接入认证方式。SAi2携带了用于IPsec SA的密码算法列表。TS表示被IPsec SA保护的数据流。
步骤305:该Preservation PDN GW将IKE_AUTH Response消息发送至前述UE的临时IP地址,以告知UE可采用的接入认证方式。该接入控制实体可以通过该消息中包含的N[x]参数告知UE可采用的接入认证方式。
步骤306:UE采用被告知的接入认证方式进行接入认证。
本实施例中,消息采用IKE承载,从而可通过IKE+证书的方式对承载的消息进行完整性保护。也可以通过其它方式承载消息,如通过Diameter、HTTP等方式承载消息。
本实施例中的Preservation PDN GW是与PDN GW的保护实体,可以被看成是核心网与non-3GPP接入网络通信的安全网关。其除了具有本发明所述的功能外,该实体可以预留其他功能供网络使用。
在本实施例中,接入控制实体通过IKE_AUTH Response消息中的N[x]载荷将网络侧决定采用的认证方式告知给UE。x取不同值,N[x]所表示的认证方式也不同,在与现有的x使用值不冲突的情况下,可分别表示可信的非3GPP接入网的接入认证方式,如EAP-AKA或EAP-AKA’;不可信的非3GPP接入网的接入认证方式,如IKEv2+EAP-AKA;或者是特定的非3GPP接入网的接入认证方式。这样,实现了通过Preservation PDN GW统一告知UE到底采用哪一种接入认证方式接入EPS系统的方法。
图4为本发明进行接入认证的方法的第六实施例的流程示意图。本实施例的应用场景是,在UE中预配置为按照可信的非3GPP接入网的接入认证方式进行认证。在本实施例中,以接入控制实体为Preservation PDN GW为例,说明本发明进行接入认证的方法。
如图4所示,本实施例的进行接入认证的方法包括:
步骤401:UE从非3GPP接入网获得临时的IP地址。
步骤402:UE与非3GPP接入网络进行EAP认证,若认证失败,则进入步骤403。
步骤403:UE进行ePDG的寻找和发现,即将该非3GPP接入网作为不可信的接入网进行接入。若发现ePDG,则以不可信的接入网的相应的接入认证方式进行接入认证。若该非3GPP接入网没有ePDG的建设,ePDG发现失败,则进入步骤404。
步骤404:UE发现和选择Preservation PDN GW。
上述Preservation PDN GW为本发明实施例中提供的一个网络新增实体,具有保护PDN GW的功能,能够为UE提供接入认证方式。
步骤405:UE以前述分配的临时IP地址与该Preservation PDN GW建立安全关联。建立安全关联可以通过IKE_SA_INIT消息完成密钥的协商、nonce值交换等实现。
步骤406:UE向Preservation PDN GW发送请求接入认证方式的IKE_AUTHRequest消息。该消息中可以包含参数:HDR、SK{IDi,IDr,AUTH、SAi2、Tsi、TSr}等。其中,HDR包含SPIs,版本号和一些标志。SK表示报文被保护。此处将AUTH参数设置为空来表明向接入控制实体请求接入认证方式。SAi2携带了用于IPsec SA的密码算法列表。TS表示被IPsec SA保护的数据流。
步骤407:该Preservation PDN GW将IKE_AUTH Response消息发送至UE的临时IP地址,告知UE可采用的接入认证方式。该接入控制实体可以通过该消息中包含的N[x]参数告知UE可采用的接入认证方式。
步骤408:UE采用被告知的接入认证方式进行接入认证。
本实施例中步骤404至步骤408与第三实施例的步骤301至305相同,在这里不再详细描述。
在本实施例中,接入控制实体通过IKE_AUTH Response消息中的N[x]载荷将网络侧决定采用的认证方式告知给UE。x取不同值,N[x]所表示的认证方式也不同,在与现有的x使用值不冲突的情况下,可分别表示可信的非3GPP接入网的接入认证方式,如EAP-AKA或EAP-AKA’;不可信的非3GPP接入网的接入认证方式,如IKEv2+EAP-AKA;或者是特定的非3GPP接入网的接入认证方式。这样,实现了通过Preservation PDN GW统一告知UE到底采用哪一种接入认证方式接入EPS系统的方法。
图5为本发明进行接入认证的方法的第七实施例的流程示意图。本实施例的应用场景是,在UE中预配置为按照非可信的non-3GPP接入网接入认证方式进行认证。在本实施例中,以接入控制实体为Preservation PDN GW为例,说明本发明的进行接入认证的方法。
如图5所示,本实施例的进行接入认证的方法包括:
步骤501:UE从接入网获得临时的IP地址。
步骤502:UE进行ePDG的寻找和发现即将该非3GPP接入网作为不可信的接入网进行接入。若发现ePDG,则以不可信的接入网的相应的接入认证方式进行接入认证。若该非3GPP接入网没有ePDG的建设,ePDG发现失败,则进入步骤503。
步骤503:UE发现和选择Preservation PDN GW。
上述Preservation PDN GW为本发明实施例中提供的一个网络新增实体,具有保护PDN GW的功能,能够为UE提供接入认证方式。
步骤504:UE以前述分配的临时IP地址与该Preservation PDN GW建立安全关联。建立安全关联可以通过IKE_SA_INIT消息完成密钥的协商、nonce值交换等实现。
步骤505:UE向Preservation PDN GW发送请求接入认证方式的IKE_AUTHRequest消息。该消息中可以包含参数:HDR、SK{IDi,IDr,AUTH、SAi2、Tsi、TSr}等。其中,HDR包含SPIs,版本号和一些标志。SK表示报文被保护。此处将AUTH参数设置为空来表明向接入控制实体请求接入认证方式。SAi2携带了用于IPsec SA的密码算法列表。TS表示被IPsec SA保护的数据流。
步骤506:该Preservation PDN GW将IKE_AUTH Response消息发送至前述UE的临时IP地址,以告知UE可采用的接入认证方式。该接入控制实体可以通过该消息中包含的N[x]参数告知UE可采用的接入认证方式。
步骤507:UE采用被告知的认证方式进行接入认证。
本实施例中步骤502至步骤507与第四实施例中的步骤403至408相同,在这里不再详细描述。
在本实施例中,接入控制实体通过IKE_AUTH Response消息中的N[x]载荷将网络侧决定采用的接入认证方式告知给UE。x取不同值,N[x]所表示的接入认证方式也不同,在与现有的x使用值不冲突的情况下,可分别表示可信的非3GPP接入网的接入认证方式,如EAP-AKA或EAP-AKA’;不可信的非3GPP接入网的接入认证方式,如IKEv2+EAP-AKA;或者是特定的非3GPP接入网的接入认证方式。这样,实现了通过Preservation PDN GW统一告知UE到底采用哪一种接入认证方式接入EPS系统的方法。
图6为本发明进行接入认证的方法的第八实施例的流程示意图。在本实施例中,通过在UE中预配置的方法来接入EPS系统的方法。
如图6所示,本实施例的进行接入认证的方法包括:
步骤601:在UE中预配置非3GPP接入网类型的列表及与其相应的可采用的接入认证方式,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网。
具体的,该特定的接入网即不可使用可信的接入网的接入认证方式,也不可使用不可信的接入网的接入认证方式。
步骤602:UE获知其要接入的非3GPP接入网的类型。UE可以根据收到的消息中包含的网络特性来获知非3GPP接入网的类型。
然后,UE根据前述列表及该终端设备当前所在的非3GPP接入网类型获知可采用的接入认证方式,具体为:
步骤603:若为可信的接入网,则基于可扩展的认证协议进行接入认证。
当Wimax网络和CDMA2000网络接入时,使用EAP-AKA或EAP-AKA’接入认证方式。
步骤604:若为不可信的接入网,则查找ePDG,通过ePDG进行接入认证。
具体的,如WLAN网络接入时,使用IKEv2+EAP-AKA认证方式。
步骤605:若为特定的接入网,则根据UE和网络侧已定的接入方式进行接入认证。即当网络不支持EAP-AKA,又没有ePDG建设时,通过特定的方式进行接入认证。
本实施例的进行接入认证的方法,通过在UE中配置非3GPP接入网类型的列表及与其相应的可采用的接入认证方式,从而实现了当UE获知其当前所在的非3GPP接入网类型时,即可获知其相应的可采用的接入认证方式,从而提高了UE的接入效率。
本领域普通技术人员可以理解,上述各实施例中的全部或部分步骤可以通过程序指令相关的硬件来实现,所述的程序可以存储于计算机可读取存储介质中,所述的存储介质,可以是ROM/RAM、磁碟、光盘等。
还可以理解的是,虽然上述说明中,为便于理解,对方法的步骤采用了顺序性描述,但是应当指出的是,对于上述步骤的顺序并不做严格的限制。
图7为本发明进行接入认证的系统的一个实施例的结构示意图。如图7所示,本实施例的进行接入认证的系统70包括:接入控制实体72和接入网关73。其中,该接入控制实体72用于与待接入EPS系统的终端设备71进行通信,告知该终端设备71可采用的接入认证方式,以使该终端设备71通过被告知的接入认证方式完成接入认证。上述接入认证方式与非3GPP接入网类型相对应,其中,非3GPP接入网包括:可信的接入网、不可信的接入网和特定的接入网。该接入网关73用于根据该终端设备71获知的可采用的接入认证方式与所述终端设备71进行接入认证。
上述接入网关73可以为接入网的网关,如ePDG等,也可以为核心网的网关,主要功能为提供用户数据包的路由和封装以及为用户分配IP地址等。
具体地,如果通过EPS系统中的接入控制实体告知,则该接入网关为PDNGW,该接入控制实体为Preservation PDN GW。该响应消息基于网络密钥交换协议传输并通过其携带的告知参数Notify Payload告知该终端设备71其可采用的接入认证方式。
需要注意的是,本实施例的接入控制实体为本发明实施例中提供的一个网络新增网络实体,具有保护PDN GW的功能,能够为UE提供接入认证方式。
可选的,该接入控制实体的功能也可以合并到其它网络实体中实现,比如合并到接入网关73,如PDN GW或ePDG中。
图8为图7所示接入控制实体的一个实施例的结构示意图。如图8所示,本实施例的接入控制实体80包括:选择单元81和发送单元83。
其中,该选择单元81用于根据待接入EPS系统的终端设备当前所在的非3GPP接入网类型选择可采用的接入认证方式,该接入认证方式与非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网;该发送单元83用于向待接入EPS系统的终端设备发送消息,该消息包括将该选择单元选择的可采用的接入认证方式告知上述终端设备的消息。该发送单元83发送的告知终端设备接入EPS系统可采用的接入认证方式的消息可以基于网络密钥交换协议传输的,该消息通过其携带的告知参数NotifyPayload告知该终端设备可采用的接入认证方式。
具体的,在EPS系统中,该接入控制实体为Preservation PDN GW,是一个网络新增实体,具有保护PDN GW的功能,能够为UE提供接入认证方式。该接入控制实体还可以为非3GPP接入网内的实体,如WiMAX网络中的ASN Gateway,或者是其他能够给UE信息的服务器,如DHCP server等等。
图9a为图7中的终端设备的一个实施例的结构示意图,本实施例的终端设备适用于本发明接入EPS系统的方法的第三至第七实施例。如图9a所示,该终端设备包括:获取单元92、接收单元93及执行单元94。
其中,该接收单元93用于接收该接入控制实体72发送的消息,该消息包括告知可采用的接入认证方式的响应消息,可采用的接入认证方式与该终端设备当前所在的非3GPP接入网类型相对应,其中,非3GPP接入网类型包括:可信的接入网、不可信的接入网和特定的接入网;
该获取单元92用于从该接收单元93接收到的告知接入接入认证方式的消息中获知接入EPS系统可采用的接入认证方式;
该执行单元94用于根据该获取单元93获取的接入认证方式执行接入认证。
具体的,该接收单元93接收的告知可采用的接入认证方式的响应消息可以基于网络密钥交换协议传输,该响应消息携带有用于告知可采用的接入认证方式的告知参数Notify Payload。
需要说明的,该终端设备还可以包括发送单元,用于向接入控制实体发送请求接入认证方式的消息。也可以等待被接入控制实体发现后,主动通过广播消息或其它底层发送的消息告知该终端设备可采用的接入认证方式,即该消息可以在网络层或数据链路层传输,此种情况对应于本发明接入EPS系统的方法的第二实施例。
图9b为图7中的终端设备的另一实施例的结构示意图,本实施例的终端设备适用于本发明接入EPS系统的方法的第八实施例。如图9b所示,该终端设备包括:存储单元1001、获取单元1002及执行单元1003。
其中,该存储单元1001用于保存非3GPP接入网类型的列表及其相对应的可采用的接入认证方式;其中,该非3GPP接入网类型包括:可信的接入网、不可信的接入网个特定的接入网。
该获取单元1002用于根据该终端设备当前所在的非3GPP接入网类型及该存储单元1001中保存的列表获取接入认证方式;
该执行单元1003用于根据该获取单元1002获取的接入认证方式进行接入认证。
具体的,该特定的接入网为不可使用可信的接入网的接入认证方式,也不可使用不可信的接入网的接入认证方式的非3GPP接入网。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上结合最佳实施例对本发明进行了描述,但本发明并不局限于以上揭示的实施例,而应当涵盖各种根据本发明的本质进行的修改、等效组合。