专利名称:一种用户终端接入互联网方式的控制方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种UE通过无线局域网接入互联网方式的控制方法及装置。
背景技术:
通常,用户设备需要通过无线局域网接入网络(Wireless Local Area NetworkAccess Network, WLAN AN)接入到以下无线核心网演进的分组核心网、交互的无线局域网络、微波存取全球互通网络、码分多址接入网络。图1是根据相关技术的非3GPP网络接入交互的无线局域网络 (Interworkingffireless Local Area Network, I-ffLAN)的网 各¥丰勾图,胃中,I-WLAN 是指一个与第三代合作伙伴计划(3rd Generation Partnership Pro ject, 3GPP)网络交互的WLAN网络。交互目的是使WLAN接入技术能够与通用分组无线业务(General Packet Radio Service, GPRS)核心网基础设施合作,以便WLAN的用户设备能够通过WLAN接入网络接入GPRS分组服务。如图1所示,包括I-WLAN核心网、用户设备(User Equipment, UE)、WLAN AN、以及运营商提供的IP业务。其中,I-WLAN核心网进一步包括分组数据网关 (Packet DataGateway,PDG)、3GPP认证授权计费服务器(3GPP AAA Server)、归属用户服务器(Home Subscriber SerVer,HSS),其中,HSS用于存储用户数据以及在用户接入认证过程中生成认证用的向量。图2是根据相关技术的非3GPP网络接入演进分组核心网(Evolved PacketCore network, EPC)的网络架构示意图,如图2所示,EPC包括演进分组数据网关(Evolved Packet Data Gateway, ePDG)、分组数据网络网关(Packet DataNetwork Gateffay, P-GW)、 3GPP AAA Server、HSS,其中,HSS用于存储用户数据以及在用户接入认证过程中生成认证用的向量。图2中,EPC可以与非3GPP网络互通,P-GW是EPC与分组数据网(PacketData Network, PDN)的边界网关,负责PDN的接入,并负责在EPC与PDN间转发数据等功能。当运营商认为WLAN网络为可信任时,WLAN AN可以直接与P-GW相连;当运营商认为WLANAN不可信任时,WLANAN需要与ePDG相连。因此,上述方法可以确保UE与ePDG之间数据传输的安全性及保密性。此外UE还可以通过其他接入网络接入EPC,包括3GPP自身定义的无线接入网络。图3是根据相关技术的用户设备接入无线局域接入网时执行接入认证的交互流程图,如图3所示,包括如下的步骤S302至步骤S303 步骤S301,用户设备建立WLAN无线连接。步骤S302,WLAN AN向UE发送扩展认证协议(Extensible AuthenticationProtocol, ΕΑΡ)请求/身份消息,请求UE提供身份给网络,UE在接收到EAP 请求/身份消息之后,将相应的网络访问标识(Network Access Identification, ΝΑΙ)通过EAP回复消息发送给WLANAN。
步骤S303,用户设备和认证授权计费(Authentication、Authorization andAccounting, AAA)服务器之间进行算法密钥协商等接入认证流程。 如图1或图2所示的系统,UE可通过两条路径访问互联网(Intranet/Internet), 一条路径是直接通过WLAN AN访问互联网,另一条路径是通过3GPP核心网访问互联网, 现有技术中,用户设备默认通过核心网访问互联网。由于运营商无法指示用户设备通过无线局域网访问互联网时是否通过运营商3GPP核心网,所以当第三方应用和互联网访问需求增加,导致运营商核心网络压力增大甚至核心网流量拥塞时,无法疏导用户设备访问 Internet的流量,不能满足用户使用足够的带宽访问互联网络的需求。
发明内容
有鉴于此,本发明的主要目的在于提供一种用户终端接入互联网方式的控制方法及装置,用于解决运营商无法控制用户设备通过无线局域网访问互联网时是否通过运营商 3GPP核心网的技术问题。为了实现上述目的,根据本发明的一个方面,提供了一种用户终端接入互联网方式的控制方法,该方法包括认证授权计费服务器向用户设备(UE)下发用户设备接入互联网方式的指示信息,所述用户设备根据所述指示信息决定访问互联网业务的接入方式。优选地,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为在用户设备通过无线局域网接入网络(WLAN AN)初始连接到演进分组核心网 (EPC)的认证流程中,所述认证授权计费服务器将包含用户设备接入互联网方式的指示信息经由WLANAN下发给UE。进一步地,所述认证授权计费服务器将UE接入互联网方式的指示信息封装到包含ΕΑΡ-Success消息的Diameter报文中发送给WLANAN,由WLANAN将所述ΕΑΡ-Success消息转发给UE ;所述指示信息位于Diameter报文Vendor-Specific-Application-Id AVP字段中。优选地,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为用户设备通过WLAN AN初始连接到EPC时,在用户设备和分组数据网关(PDG)创建因特网密钥交换协议(IKEv2)隧道的流程中,所述认证授权计费服务器将UE接入互联网方式的指示信息经由PDG下发给UE。进一步地,所述认证授权计费服务器将UE接入互联网方式的指示信息包含在授权响应消息中下发给PDG ;PDG通过IKEv2隧道发送携带UE接入互联网方式的指示信息的因特网密钥交换认证响应消息给所述UE。优选地,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为在用户设备已经通过WLAN AN连接到EPC网络后,在重认证流程中,所述认证授权计费服务器将UE接入互联网方式的指示信息包含在重认证请求消息中下发给UE。进一步地,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为 用户设备和演进分组数据网关(ePDG)完成IPSec隧道建立后,在UE和分组数据网络网关(P-GW)建立安全联盟及所述认证授权计费服务器和P-GW进行认证授权的过程中,所述认证授权计费服务器将UE接入互联网方式的指示信息经由P-GW下发给UE。基于本发明所述方法,本发明还提出一种用户终端接入互联网方式的控制装置, 该装置包括发送模块,位于认证授权计费服务器,用于向用户设备下发用户设备接入互联网方式的指示信息;接收模块,位于UE,用于接收所述发送模块下发的用户设备接入互联网方式的指不信息;接入模块,位于UE,用于根据所述指示信息决定访问互联网业务的接入方式。优选地,在用户设备已经通过WLAN AN连接到EPC网络后的重认证流程中,所述发送模块将UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。优选地,所述装置还包括转发模块,位于WLAN AN,用于在用户设备初始连接到EPC 的认证流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信肩、ο优选地,所述装置还包括转发模块所述转发模块位于PDG,用于在用户设备初始连接到EPC的用户设备和PDG创建 IKEv2隧道的流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。或,所述转发模块位于P-GW,用于在UE和P-GW建立安全联盟及认证授权计费服务器和P-GW进行认证授权的过程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。本发明采用认证授权计费服务器向用户设备发送一种指示信息,用来指示用户设备接入互联网方式,用户设备可以依据所述指示信息在通过无线局域网接入时选择直接访问互联网或者通过连接到核心网访问互联网。通过本发明,核心网能够通过指示信息控制 UE接入互联网的接入方式,从而使用户终端在通过无线局域网接入时能够直接接入互联网而不经过核心网,使得用户设备在一些情形下(比如核心网流量负载过大时)获得足够的访问带宽,从而提高用户体验。
图1为相关技术的非3GPP网络接入I-WLAN的网络架构示意图;图2为相关技术的非3GPP网络接入EPC的网络架构示意图;图3为相关技术的用户设备接入无线局域接入网时执行接入认证的交互流程图;图4为本发明实施例1的UE通过无线局域网接入互联网方式的控制方法的流程图;图5为本发明实施例2的UE通过无线局域网接入互联网方式的控制方法的流程图;图6为本发明实施例3的UE通过无线局域网接入互联网方式的控制方法的流程图;图7为本发明实施例4的UE通过无线局域网接入互联网方式的控制方法的流程图;图8为本发明用户终端接入互联网方式的控制装置的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。实施例1图4为本发明实施例1的UE通过无线局域网接入互联网方式的控制方法的流程图,该流程中,用户设备通过WLAN AN初始连接到EPC网络,在认证流程中,认证授权计费服务器根据策略将直接连入互联网的指示信息经由WLAN AN发送给UE,以达到控制UE通过无线局域网接入互联网的方式的发明目的。本实施例中,认证授权计费服务器发送给UE的指示信息,要求UE在访问互联网业务时,不经过核心网络直接通过WLAN AN访问互联网,UE 收到该指示信息后,采用对应的选路策略访问Internet业务。该流程具体步骤为步骤401 用户设备建立WLAN无线连接;步骤402 =WLANAN建立与UE的无线连接,WLANAN向UE发送EAP请求(ΕΑΡ Request/Identity)消息,请求UE提供身份信息给网络,用于接入认证;步骤403 =UE收到EAP请求消息后,通过EAP回复消息将UE身份信息发送给 WLANAN ;步骤404 =WLAN AN向AAA服务器发送携带UE身份信息的AAA请求消息(Diameter 消息),所述AAA请求消息中还携带有接入类型和接入网标识;步骤405 =AAA服务器和HSS交互EAP-AKA’算法认证信息,进行用户算法认证;步骤406 =AAA服务器提取密钥信息;步骤407 :AAA服务器向WLAN AN发送AAA/AKA’挑战消息,进行算法协商,AAA/AKA’ 挑战消息中携带包含消息认证码的EAP请求及AKA’挑战信息;步骤408 =WLAN AN向用户设备发送包含消息认证码的EAP请求/AKA’挑战消息;步骤409 用户设备收到EAP请求/AKA’挑战消息后运行AKA算法生成密钥相关 fn息;步骤410 用户设备将AKA计算结果封装到EAP中向WLAN发送EAP响应/AKA’挑战消息;步骤411 =WLAN AN将收到的包含算法协商信息的EAP响应消息封装到Diameter 报文中转发给AAA服务器;步骤412 :AAA服务器检查收到的消息认证码信息,对其进行算法信息验证等处理;步骤413 =AAA服务器根据策略确定UE的互联网连接方式为不经过EPC核心网直接接入互联网的接入方式,并将包含该接入方式的指示信息封装到包含ΕΑΡ-Success消息的Diameter报文中发送给WLAN AN。如果需要WLAN AN知道核心网关于UE接入互联网接入方式的这个决策(例如出于某种安全策略的考虑),可以利用Diameter报文预留的扩展字段 (Vendor-Specific-Application-Id AVP,设备指定应用标识属性值对字段,以下简称AVP 字段)携带所述指示信息;步骤414:WLAN AN将EAP Success消息转发给UE。如果所述指示信息包含在 Vendor-Specific-Application-Id AVP 字段中,则 WLAN AN可以对该 Diameter 报文进行解析,提取互联网连接方式的指示后再将EAP消息转发给UE。实施例2图5为本发明实施例2的UE通过无线局域网接入互联网方式的控制方法的流程图,该流程中,用户设备已经通过WLANAN连接到EPC网络,在需要发起重认证的情况下,如核心网流量压力过大或运营商策略变化等,AAA服务器在重认证流程中将UE接入互联网方式的指示信息下发给UE,图5以快速重认证流程为例(Fast Re-Authentication Procedure),在AAA Server发送的重认证请求(Re-Auth-Request)消息中携带所述指示信息步骤501 认证授权计费服务器向用户设备发送重认证请求(Re-Auth-Request) 消息,其中,在该消息中通过AVP字段携带核心网为UE确定的互联网接入方式的指示信息;步骤502 用户设备向认证授权计费服务器发送重认证响应(Re-Auth-Response) 消息,消息中包含快速重认证身份标识;步骤503 认证授权计费服务器收到快速重认证身份标识后进行识别,认可进行快速重认证流程;步骤504 用户设备和授权计费服务器进行快速重认证流程。实施例3图6为本发明实施例3的UE通过无线局域网接入互联网方式的控制方法的流程图,该流程中,用户设备通过WLAN AN初始连接到EPC网络,用户设备和分组数据网关(PDG) 在创建因特网密钥交换协议(IKEv2)隧道过程中,AAA服务器在授权消息中将UE的互联网接入方式指示信息经由PDG下发给UE的实施例流程图。具体步骤为步骤601 =UE和PDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等。步骤602 =UE通过PDG和AAA服务器进行的身份认证信息的交互。步骤603 =UE向PDG发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到PDG,响应身份认证交互过程中收到的认证挑战。 步骤604 =PDG将ΕΑΡ-Response响应消息(带AKA挑战信息)发送给AAA服务器。步骤605 =AAA服务器在验证成功后向PDG发送包含ΕΑΡ-Success和密钥信息的认证回答。步骤606 =PDG向AAA服务器发送包含空AVP和WLAN接入点名称(W-APN)信息的授权请求。步骤607 =AAA服务器验证用户信息是否允许建立隧道。AAA服务器根据网络策略 (这里AAA服务器可能根据自己的策略控制或者网络网关系统通知改变UE接入互联网的方式)决策UE接入互联网的方式,并将包含UE接入互联网方式的指示信息在下一步授权响应消息中下发。步骤608 =AAA服务器向PDG发送授权响应(AA-Answer)消息,其中包含UE接入互联网方式的指示信息。步骤609 =PDG根据密钥信息计算生成AUTH参数。步骤610 =PDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息, IKE_AUTH响应消息包含携带UE接入互联网方式的指示信息的EAP Success/Failure消息。上述流程成功,UE完成和PDG之间的IP安全(IPSec)隧道的建立。实施例4图7为本发明实施例4的UE通过无线局域网接入互联网方式的控制方法的流程图,该流程中,用户设备和演进分组数据网关(ePDG)完成IKEv2消息协商、IPSec隧道建立后,UE和P-GW建立安全联盟,AAA服务器和P-GW进行认证授权,在此过程中AAA服务器将 UE接入互联网方式的指示信息经由P-GW传递给UE的。这里UE通过DSMIPv6 (双栈移动 IPv6协议)接入网络。具体步骤如下步骤701 =UE发起建立IKEv2隧道流程进行安全隧道认证授权。这里类似实施例 3的IPSec Tunnel隧道建立流程,这里不再赘述;步骤702 演进分组数据网关将携带分配给UE用于IPSec隧道的IP地址的IKEv2 配置消息返回给UE;步骤703 在UE和演进分组数据网关成功建立IPSec隧道后,UE和P-GW之间通过 IKEv2协议流程建立安全联盟以保障信令消息的安全,P-Gff和AAA服务器通过EAP方法进行认证和授权,在此过程中AAA服务器将UE接入互联网方式的指示信息经由P-GW下发给 UE,例如通过授权响应消息,这里流程与实施例3流程类似,这里不再赘述。步骤704 =UE向P-GW发送绑定更新消息,传递移动管理协议信令消息;步骤705 =P-Gff向UE发送绑定更新确认消息,完成DSMIPv6地址绑定。UE和P-GW 之间的DSMIPv6隧道建成,至此,UE完成与网络之间的IP连接。实施例5图8为本发明用户终端接入互联网方式的控制装置的结构示意图,该装置至少包括发送模块、接收模块和接入模块。发送模块,位于认证授权计费服务器,用于向用户设备下发用户设备接入互联网方式的指示信息;接收模块,位于UE,用于接收所述发送模块下发的用户设备接入互联网方式的指示信息;接入模块,用于根据所述指示信息决定访问互联网业务的接入方式。优选地,在用户设备已经通过WLANAN连接到EPC网络后的重认证流程中,所述发送模块将UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。优选地,所述装置还包括转发模块,所述转发模块依据不同的实现方式,位于不同的网元中。与图4相对应,转发模块可位于WLAN AN中,用于在用户设备初始连接到EPC的认证流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。与图6相对应,转发模块可位于PDG中,用于在用户设备初始连接到EPC的用户设备和PDG创建IKEv2隧道的流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。
与图7相对应,转发模块可位于P-GW,用于在UE和P-GW建立安全联盟及认证授权计费服务器和P-GW进行认证授权的过程中,转发由所述发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。本发明针对相关技术中运营商无法控制用户设备通过无线局域网访问互联网时是否通过运营商3GPP核心网的问题,提供了一种接入方法,采用认证授权计费服务器向用户设备发送核心网为用户设备确定的接入互联网的接入方式的指示信息,以达到由核心网根据一定的控制策略控制UE接入互联网的接入方式的发明目的,以使得用户可以直接接入互联网,从而获得足够的访问带宽,并提高用户体验。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种用户终端接入互联网方式的控制方法,其特征在于,包括认证授权计费服务器向用户设备(UE)下发用户设备接入互联网方式的指示信息,所述用户设备根据所述指示信息决定访问互联网业务的接入方式。
2.根据权利要求1所述的方法,其特征在于,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为在用户设备通过无线局域网接入网络(WLAN AN)初始连接到演进分组核心网(EPC) 的认证流程中,所述认证授权计费服务器将包含用户设备接入互联网方式的指示信息经由 WLANAN下发给UE0
3.根据权利要求2所述的方法,其特征在于,所述认证授权计费服务器将UE接入互联网方式的指示信息封装到包含ΕΑΡ-Success消息的Diameter报文中发送给WLAN AN,由 WLAN AN将所述ΕΑΡ-Success消息转发给UE ;所述指示信息位于 Diameter 报文 Vendor-Specific-Application-Id AVP 字段中。
4.根据权利要求1所述的方法,其特征在于,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为用户设备通过WLAN AN初始连接到EPC时,在用户设备和分组数据网关(PDG)创建因特网密钥交换协议(IKEv2)隧道的流程中,所述认证授权计费服务器将UE接入互联网方式的指示信息经由PDG下发给UE。
5.根据权利要求4所述的方法,其特征在于,所述认证授权计费服务器将UE接入互联网方式的指示信息包含在授权响应消息中下发给PDG ;PDG通过IKEv2隧道发送携带UE接入互联网方式的指示信息的因特网密钥交换认证响应消息给所述UE。
6.根据权利要求1所述的方法,其特征在于,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为在用户设备已经通过WLAN AN连接到EPC网络后,在重认证流程中,所述认证授权计费服务器将UE接入互联网方式的指示信息包含在重认证请求消息中下发给UE。
7.根据权利要求1所述的方法,其特征在于,所述认证授权计费服务器向用户设备下发用户设备接入互联网方式的指示信息,具体为用户设备和演进分组数据网关(ePDG)完成IPSec隧道建立后,在UE和分组数据网络网关(P-GW)建立安全联盟及所述认证授权计费服务器和P-GW进行认证授权的过程中,所述认证授权计费服务器将UE接入互联网方式的指示信息经由P-GW下发给UE。
8.一种用户终端接入互联网方式的控制装置,其特征在于,包括发送模块,位于认证授权计费服务器,用于向用户设备下发用户设备接入互联网方式的指示信息;接收模块,位于UE,用于接收所述发送模块下发的用户设备接入互联网方式的指示信息;接入模块,位于UE,用于根据所述指示信息决定访问互联网业务的接入方式。
9.根据权利要求8所述的装置,其特征在于,在用户设备已经通过WLANAN连接到EPC 网络后的重认证流程中,所述发送模块将UE接入互联网方式的指示信息包含在重认证请求消息中下发给所述接收模块。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括转发模块,位于WLANAN,用于在用户设备初始连接到EPC的认证流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括转发模块,位于PDG,用于在用户设备初始连接到EPC的用户设备和PDG创建IKEv2隧道的流程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括转发模块,位于P-GW,用于在UE和P-GW建立安全联盟及认证授权计费服务器和P-GW 进行认证授权的过程中,转发由所述发送模块下发给所述接收模块的UE接入互联网方式的指示信息。
全文摘要
本发明公开了一种用户终端接入互联网方式的控制方法及装置,用于解决运营商无法控制用户设备通过无线局域网访问互联网时是否通过运营商3GPP核心网的技术问题。本发明采用认证授权计费服务器向用户设备发送一种指示信息,用来指示用户设备接入互联网方式,用户设备可以依据所述指示信息在通过无线局域网接入时选择直接访问互联网或者通过连接到核心网访问互联网。通过本发明,核心网能够通过指示信息控制UE接入互联网的接入方式,从而使用户终端在通过无线局域网接入时能够直接接入互联网而不经过核心网,使得用户设备在一些情形下(比如核心网流量负载过大时)获得足够的访问带宽,从而提高用户体验。
文档编号H04W84/12GK102223634SQ201010149769
公开日2011年10月19日 申请日期2010年4月15日 优先权日2010年4月15日
发明者周星月, 朱春晖 申请人:中兴通讯股份有限公司