专利名称:Epc、网络融合系统及终端接入epc的方法
技术领域:
本发明涉及宽带无线移动通信技术领域,特别地,涉及一种演进分组核心网(Evolved Packet Core, EPC)、网络融合系统及终端接入EPC的方法。
背景技术:
目前,中国电信现网已经部署了码分多址(Code Division Multiple Access,CDMA)和无线局域网(Wireless Local Area network, WLAN)融合的网络,而关于WLAN与长期演进(Long Term Evolution, LTE)网络融合的方案目前仍在讨论阶段,并没有统一的结论。在标准方面,第三代合作伙伴计划(the 3rd Generation Partnership Project,3GPP)标准组织提出了几种标准的LTE网络和非3GPP网络融合架构方案,下面简要介绍3GPP TS23.402中标准的S2a方案。图1是现有技术中S2a方案的网络架构示意图。如图1所示,S2a方案是针对授信的非3GPP接入网接入EPC而提出的,S2a是WLAN 接入网(WLAN Access Network, WLAN AN)和分组数据网关(Packet Data NetworkGateway, PDN GW)之间的接口,可基于代理移动 IPv6 (Proxy Mobile IP version 6,PMIPv6)或者移动 IPv4 (Mobile IP version 4,MIPv4)实现,也可基于GPRS 隧道协议(GPRSTunnel Protocol, GTP)实现。一方面,在S2a方案中,WLAN的接入需要升级接入控制器/宽带接入服务器(Access Controller/Broadband Access Server, AC/BAS)以支持 PMIPv6 的移动接入网关(Mobile Access Gateway, MAG)或 MIPv4 的外地代理(Foreign Agent, FA)或 GTP 功能。另外,为了实现统一认证,AC/BAS还需要升级以支持扩展认证协议-认证密钥协商(Extensible Authentication Protocol-Authentication Key Agreement,EAP-AKA)认证协议,如图2所示,示出了 S2a方案中的EAP-AKA认证流程。另一方面,S2a方案是针对授信的WLAN网络接入EPC的,即EPC认为接入的WLAN网络是安全的,终端传送数据直接由WLAN网络经过S2a接口到达I3DN Gff,在WLAN接入网和EPC核心网之间没有其他的中间网元对WLAN网络传送的数据进行完整性检验等,容易造成数据的丢失,对传输的数据缺少安全性保护。WLAN技术和LTE技术具有各自的优缺点,而WLAN网络和LTE网络的融合将可以充分利用这两种技术的优势弥补各自的缺点,因此受到业内人士的广泛关注,而如何在现网改动最小的情况下实现WLAN网络与LTE网络的融合正是目前噬待解决的技术问题。
发明内容
本发明要解决的一个技术问题是提供一种EPC、网络融合系统及终端接入EPC的方法,能够在现网改动最小的情况下实现WLAN网络与LTE网络的融合。根据本发明的一方面,提出了 一种EPC,包括TON Gff和WLAN接入网关(WLANAccess Gateway,WAG),其中,WAG通过S2a接口与PDN GW相连,用于采用PMIP或GTP方式接入PDN GW。根据本发明的另一方面,还提出了一种网络融合系统,包括WLAN网络、LTE网络和EPC,其中,EPC位于LTE网络中,WLAN网络通过EPC访问各种业务。 根据本发明的又一方面,还提出了一种终端接入EPC的方法,包括WAG接收终端发送的接入请求,并向终端反馈协商后的认证方式;WAG根据终端获取的认证方式向AAA服务器发起EAP-AKA认证;终端通过认证后,在WAG与TON Gff之间建立PMIP隧道或GTP隧道;在隧道建立成功后,终端与TON Gff直接进行数据传输。本发明提供的EPC、网络融合系统及终端接入EPC的方法,无需改动现有WLAN网络,只需升级核心网处的WAG支持PMIP/GTP协议,就可以避免对WLAN网络中各胖接入点(Access Point, AP)的硬件进行改造或对大量AC/BAS的软件进行升级,在实现网络融合时显著降低了网络的复杂度。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分。在附图中:图1是现有技术中S2a方案的网络架构示意图。图2是S2a方案中的EAP-AKA认证流程示意图。图3是本发明EPC的一个实施例的结构示意图。图4是本发明EPC的另一实施例的结构示意图。图5是本发明网络融合系统的一个实施例的结构示意图。图6是本发明网络融合系统的另一实施例的结构示意图。图7是终端与WAG建立SIP隧道的流程示意图。图8是本发明终端接入EPC的方法的一个实施例的流程示意图。图9是本发明终端接入EPC的方法的另一实施例的流程示意图。
具体实施例方式下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。本发明的示例性实施例及其说明用于解释本发明,但并不构成对本发明的不当限定。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。为了实现WLAN网络与LTE网络的融合,本发明提出了一种EPC、网络融合系统及终端接入EPC的方法,基于标准的S2a方案在AC/BAS与TON Gff之间增加了 WAG汇聚设备,以利用最小的复杂度来实现网络的融合。图3是本发明EPC的一个实施例的结构示意图。如图3所示,该实施例的EPC 300可以包括PDN Gff 310和WAG320,其中,WAG通过S2a接口与PDN Gff相连,用于采用PMIP或GTP方式接入PDN GW。为了实现网络的融合,标准的S2a方案需要改动现网中的胖AP或AC/BAS以支持PMIPv6的MAG或GTP功能,对于采用瘦AP+AC组网的WLAN网络,需要升级改造AC/BAS才能支持PMIP/GTP协议。此外,对于现网中一部分仍使用胖AP的WLAN网络,为了支持从胖AP到TON Gff的PMIP/GTP隧道,需要对胖AP进行硬件上的改动,使得胖AP能够支持3层协议,从而显著增大了网络改造的复杂度,同时也增大了整个网络的改造成本。该实施例无需对现有的WLAN网络进行改造,只需软件升级核心网侧的WAG,使其能够支持PMIP/GTP方式接入TON Gff,由此可见,该实施例相对于标准的S2a方案显著降低了网络的实现复杂度。另外,本发明不对TON Gff进行改进,其支持3GPP标准中的I3DNGW功能。例如,PDNGff可以支持3GPP接入网通过使用GTP或PMIP的S5接口连接到EPC,也支持非3GPP接入网接入到EPC ;可以作为3GPP接入网和非3GPP接入网之间移动的用户面锚点;如果使用带有MIPv4FA模式的S2a接口,其可作为MIPv4家乡代理(Home Agent, HA);如果使用支持PMIPv6的S5或S2a接口,其可作为本地移动锚点(Local Mobile Anchor,LMA) ;PDN GW还可以封装和解封装PMIP/GTP隧道报文,转发用户上下行数据报文;为每一个TON连接分配上行通用路由封装(Generic Routing Encapsulation, GRE)密钥,用于封装传送给F1DN Gff的上行包;为运营商间计费提供账单等。在一个实例中,WAG还可以通过会话起始协议(Session Initiation Protocol,SIP)协议与WLAN网络中的终端交互。终端和WAG之间支持SIP协议,SIP用于发起用户会话,可用来创建、修改或终结多个参与者的多媒体会话进程。SIP采用基于文本的消息方式,可以通过传输控制协议(Transmission Control Protocol, TCP)进行传输,也可以通过用户数据报协议(UserDatagram Protocol, UDP)进行传输。在协议栈中SIP位于上层应用和传输层之间。另外,SIP还可以提供安全机制,包括保证消息的机密性、完整性和可用性,支持对会话参与者的认证和隐私信息的保护,并可以阻止常见的网络攻击。具体来说,SIP可采用多用途网际邮件扩充协议(Secure Multipurpose Internet Mail Extensions, S/MIME)封装SIP消息体来保证一定程度的数据完整性和保密性;可通过在Via包头域中指定具体的传输层协议,将传输层安全(Transport Layer Security, TLS)指定为诸如TCP等基于连接的协议来提供传输层的安全,保证信令消息的完整性;可采用基于公钥密码体制的数字签名技术,实现信令消息的不可抵赖性。终端和WAG之间利用SIP建立隧道的方式可以避免用户数据被中间WLAN网络窃取,提高了 WLAN网络的安全性。图4是本发明EPC的另一实施例的结构示意图。如图4所示,与图3中的实施例相比,该实施例的EPC 400还可以包括认证授权计费(Authentication Authorization Accounting, AAA)服务器 410, WAG 还通过 EAP-AKA 认证方式与AAA服务器交互以实现对终端的认证与协商,具体认证流程将在后续进行详细说明。此外,WAG还可以在漫游时产生对各隧道的计费信息;根据包中的非加密信息来执行过滤作用,转发已存在的隧道中的数据或WLAN用户发出的业务请求和隧道建立消息;屏蔽来自未知IP地址的消息;在隧道建立之前WAG还相当于一个防火墙,能够阻止不希望通过的数据包;在隧道建立之后执行路由转发、策略执行等。图5是本发明网络融合系统的一个实施例的结构示意图。如图5所示,该实施例的网络融合系统500可以包括:WLAN网络510、LTE网络520以及EPC 530,其中,WLAN网络中的终端可以通过EPC访问各种业务,EPC位于LTE网络中,可以通过图3或图4中的实施例实现。图6是本发明网络融合系统的另一实施例的结构示意图。如图6所示,与图5中的实施例相比,该实施例的网络融合系统600还可以包括:
终端610,用于通过SIP协议和WLAN网络与WAG交互,建立SIP隧道并利用EAP-AKA方式实现认证。图7是终端与WAG建立SIP隧道的流程示意图。如图7所示,可以包括以下流程:S702,用户终端向WAG发送SUBSCRIBE消息;S704,WAG收到消息后,向用户终端返回2000K消息;S706, WAG还向用户终端发送NOTIFY消息;S708,用户终端向WAG反馈2000K消息。标准的S2a方案并未考虑到数据传输的安全性保护,WLAN网络中传输的数据容易被窃取或遭到攻击,增大了数据传输的风险,导致传输无用数据的可能性增大,从而影响数据传输的效率。而该实施例在终端与WAG之间建立SIP隧道,WAG和TON GW之间建立PMIP/GTP隧道,WAG设备作为WLAN网络和EPC网络的中间网元,可对WLAN网络传输的数据进行完整性检验,保证了 3GPP网络中的数据不会被中间WLAN网络窃取,避免了无用数据的传输,提高了数据传输的有效性。图8是本发明终端接入EPC的方法的一个实施例的流程示意图。如图8所示,该实施例可以包括以下步骤:S802, WAG接收终端发送的接入请求,并向终端反馈协商后的认证方式;S804,WAG根据终端获取的认证方式向AAA服务器发起EAP-AKA认证;S806,终端通过认证后,在WAG与PDN Gff之间建立PMIP隧道或GTP隧道;S808,在隧道建立成功后,终端与TON Gff直接进行数据传输。该实施例通过在UE和WAG之间建立SIP隧道,在WAG和I3DNGW之间建立PMIP/GTP隧道,从而可以使得终端能够通过WLAN网络接入3GPP EPC0可选地,在WAG接收终端发送的接入请求之前,终端接入WLAN网络,并通过域名服务器(Domain Name Server, DNS)获得WAG的IP地址,在获得IP地址后,可以利用SIP协议与WAG进行交互。图9是本发明终端接入EPC的方法的另一实施例的流程示意图。WLAN网络由WAG进行用户数据流汇接后,统一锚定在EPC核心网的TON GW,并为用户提供一致的认证方式、策略控制和计费方式。终端从WLAN网络接入后,通过DNS查询获得WAG的IP地址并与WAG建立连接,然后WAG向AAA发起EAP-AKA认证,认证成功后,WAG根据AAA的授权指示为用户建立到I3DNGff的PMIP/GTP会话绑定,在WAG和TON GW之间建立PMIP/GTP隧道。用户数据流经过AC/BAS传到WAG,再由WAG转发用户数据流到I3DN Gff,由TON Gff为用户数据流提供到业务网络的出口。具体流程如图9所示:一、UE 接入 WLAN 网络
S902, AP与AC/BAS建立关联,AC给AP下发模板,包括射频射频模板(包括模式、信道、功率)和业务模板(包括服务集标识、本地/集中转发、加密/认证方式等),AP进行模板配置。S904, UE发起Probe request请求消息,请求接入AP ;S906,AP收到终端的请求后,下发认证策略;S908, UE发起Authentication Request请求消息(包括用户的国际移动用户标识(International Mobile Subscriber Identification, IMSI)),请求进行认证;S910, AP接收到UE的信息,对UE进行认证,并将认证结果发给UE’同时把AP的MAC地址告知终端;S912,如果AP对UE的认证通过,则UE将发起Association Request请求,请求与AP进行关联;S914,AP接收到来自UE的关联请求后,与UE进行关联,并将关联结果以及AC/BAS为UE分配的本地IP地址通过Association Response回复给UE,至此,UE成功接入WLAN网络,并获得AC/BAS分配的本地IP地址,可以利用本地IP地址实现本地分流;二、UE 接入 WAGS916,UE通过DNS获得WAG的IP地址,并向WAG发起Registerl消息(包括用户的MS1、AP的MAC地址、部分鉴权认证信息、配置文件的SSID以及终端设定的周期性注册时间)给WAG,请求接入WAG ;S918,WAG接收到来自UE的Registerl请求消息,检查UE的合法性,若UE是合法的用户,则同意UE接入WAG,并回复401Unauthorized消息(包括协商后的认证方式)给UE,至此,UE成功接入WAG ;三、WAG、PDN Gff对UE进行认证S920, UE发起Register2消息(包括用户的MS1、AP的MAC地址、终端支持的鉴权算法、配置文件的SSID以及终端设定的周期性注册时间)给WAG ;S922,WAG根据UE支持的认证方式,向AAA发起EAP-AKA认证请求(包括用户的MSI,所在的接入网类型及接入网SSID);S924a,AAA收到来自WAG的认证请求,检查是否已存储该用户的认证向量,如果没有,AAA会从HSS获取一组新的认证向量;S924b, HSS 运行 AKA 算法生成 AKA vector、AKA-RAND, AUTN, XRES ;S924c, HSS 向 AAA 返回 AKA 认证矢量;S926,AAA服务器根据接收到的CK和IK导出MSK (密钥材料);S928a,AAA服务器向PDN GW发送EAP REQ/AKA-Challenge消息,消息中包括RAND、AUTN、消息认证码(MAC)、用户标识以及接入网标识;S928b, PDN Gff 向 WAG 转发 EAP REQ/AKA-Challenge 消息;S930, WAG 向 UE 发送 EAP REQ/AKA-Challenge 消息;S932, UE执行AKA算法,验证AUTN的正确性从而认证网络,如果AUTN是错误的,UE将会拒绝认证,如果AUTN是正确的,那么UE计算RES、IK和CK,UE按照与HSS相同的方法来计算CK和IK,UE根据计算得到的CK和IK导出新的密钥材料MSK,并使用这些新导出的密钥检验接收到的MAC ;
S934,UE使用新的密钥材料计算EAP消息的MAC值,向WAG发送EAP RSP/AKA-Challenge消息,其中包括计算的RES和MAC ;S936a, WAG 向 PDN Gff 发送 EAP RSP/AKA-ChalIenge 消息;S936b, PDN Gff 向 AAA 服务器转发 EAP RSP/AKA-ChalIenge 消息;S938,AAA服务器检验接收到的MAC并比较XRES和接收到的RES,若RES = XRES,认证成功;S940a若认证成功,则AAA服务器向PDN GW发送EAP-Success消息,否则发送认证失败消息;S940b,若认证成功,则PGN Gff向WAG转发EAP-Success消息,否则发送认证失败消息,至此,UE完成认证过程;四、隧道建立(I)若WAG和PDN Gff支持PMIP协议,则执行步骤S942a和S942b建立WAG和PDNGW之间的PMIP隧道:S942a,若WAG和TON Gff都支持PMIP协议,则WAG将根据AAA的授权发送代理绑定更新(Proxy Binding Update, PBU)消息(包括MN-NAI,生命周期,APN,接入技术类型,切换指示,下行流的GRE密钥,UE地址信息,计费特性等)给TON Gff请求建立WAG到TONGW之间的PMIP隧道;S942b,PDN GW处理代理绑定更新并为UE创建绑定缓存实体,同时为UE分配IP地址,并通过代理绑定确认(Proxy Binding Acknowledge, PBA)消息(包含MN ΝΑΙ, UE地址信息,上行流的GRE密钥,计费ID以及分配的IP地址)发送给WAG,并建立TON Gff到WAG之间的隧道,至此,WAG与TON Gff之间建立PMIP隧道;(2)若WAG和PDN Gff支持GTP协议,则执行步骤S944a和S944b建立WAG和PDNGW之间的GTP隧道:S944a,若WAG和TON Gff都支持GTP协议,则WAG将根据AAA的授权发送GTP请求消息(包括MN-NAI,生命周期,自身隧道端口号,对方隧道端口号,APN,接入技术类型,切换指示,下行流的GRE密钥,UE地址信息,计费特性等)给TON Gff请求建立WAG到TON Gff之间的GTP隧道;S944b,PDN Gff处理GTP请求消息,为UE分配IP地址,并通过GTP应答消息(包含丽MI’ UE地址信息,上行流的GRE密钥,计费ID以及分配的IP地址)发送给WAG ;S946,WAG接收到来自TON Gff的绑定更新确认消息或GTP应答消息,表示WAG与PDN Gff之间的PMIP/GTP隧道已成功建立,WAG向UE发送2000K消息,通知UE其已成功接入EPC,完成UE的注册过程。至此,UE与WAG之间已建立SIP隧道,WAG与PDN Gff之间已建立PMIP/GTP隧道。UE和TON GW之间可以直接进行数据传输。上行方向,UE发送的数据包通过SIP隧道传送给WAG,WAG将包经过PMIP/GTP隧道传送给I3DN Gff ;下行方向,传送给UE的包到达I3DN Gff,PDN Gff通过PMIP/GTP隧道将包传送给WAG,WAG再经过SIP隧道将包传送给UE。其中,在上述UE接入WAG流程中,由于终端和WAG间支持SIP信令传输,注册时,终端向WAG发送的Registerl消息中携带用户标识以及部分鉴权信息,WAG可通过401Unauthorized消息携带协商后的认证方式传送给终端,这样终端向WAG发送的Register2消息中携带的认证方式是终端、WAG均支持的方式,不再需要进行认证方式的协商,这样可减少EAP-AKA认证过程中协商认证方式以及获取终端标识所需的信令流程(即,图2中的步骤2-3以及步骤6a-9b),从而简化了整个接入流程。本发明上述实施例中的终端可以为授信网络终端或非授信网络终端。虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
权利要求
1.一种EPC,包括TON Gff,其特征在于,还包括: WAG,通过S2a接口与所述TON GW相连,用于采用PMIP或GTP方式接入所述I3DN GW。
2.根据权利要求1所述的EPC,其特征在于,所述WAG通过SIP协议与WLAN网络中的终端交互。
3.根据权利要求1所述的EPC,其特征在于,所述EPC还包括AAA服务器,所述WAG还通过EAP-AKA认证方式与所述AAA服务器交互以实现对终端的认证与协商。
4.一种网络融合系统,所述系统包括WLAN网络和LTE网络,其特征在于,所述系统还包括权利要求1至3中任一项所述的EPC,其中,所述EPC位于所述LTE网络中,所述WLAN网络通过所述EPC访问各种业务。
5.根据权利要求4所述的网络融合系统,其特征在于,所述系统还包括: 终端,用于通过SIP协议和所述WLAN网络与所述WAG交互,建立SIP隧道并利用EAP-AKA方式实现认证。
6.根据权利要求5所述的网络融合系统,其特征在于,所述终端为授信网络终端或非授信网络终端。
7.一种终端接入EPC的方法,其特征在于,包括: WAG接收终端发送的接入请求,并向所述终端反馈协商后的认证方式; 所述WAG根据所述终端获取的认证方式向AAA服务器发起EAP-AKA认证; 所述终端通过认证后,在所述WAG与TON Gff之间建立PMIP隧道或GTP隧道; 在隧道建立成功后,所述终端与所述TON Gff直接进行数据传输。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括: 在所述WAG接收终端发送的接入请求之前,所述终端接入WLAN网络,并通过DNS获得所述WAG的IP地址。
9.根据权利要求7所述的方法,其特征在于,所述终端利用SIP协议与所述WAG交互。
10.根据权利要求7所述的方法,其特征在于,所述终端为授信网络终端或非授信网络终端。
全文摘要
本发明公开了一种EPC、网络融合系统及终端接入EPC的方法,其中,该EPC包括PDN GW和WAG,其中,WAG通过S2a接口与PDN GW相连,用于采用PMIP或GTP方式接入PDN GW。本发明无需改动现有WLAN网络,只需升级核心网处的WAG支持PMIP/GTP协议,就可以避免对WLAN网络中各胖接入点的硬件进行改造或对大量AC/BAS的软件进行升级,在实现网络融合时显著降低了网络的复杂度。
文档编号H04W76/02GK103096500SQ20111033949
公开日2013年5月8日 申请日期2011年11月1日 优先权日2011年11月1日
发明者梁鹏, 孙震强, 朱彩勤, 张苹 申请人:中国电信股份有限公司