用于识别认证服务器的方法和设备与流程
本发明涉及IP接入网络领域,并且更具体地涉及属于与不属于3GPP移动世界的IP接入网络之间的终端移动性领域。
背景技术:
在所谓的非3GPP接入网络(例如,WiFi接入网络)中,如果终端UE希望接入与其在3GPP接入网络中相同的服务,则其必须将其自身附接至此非3GPP接入网络的接入网关。此接入网关请求认证服务器(也被称为AAA服务器)在终端UE的用户的标识符的基础上对终端UE进行认证。AAA服务器接触所谓的HSS(Home Subscriber Server,归属订户服务器)服务器以便重新获得对终端UE的用户进行认证所需的信息,并且向接入网关传输所述信息,所述接入网关在轮到自己时向终端UE传输所述信息,从而使得所述终端可以对自身进行认证。一旦已经接收到终端UE的用户对认证请求的响应,所述认证请求就被传输至AAA服务器以供验证。一旦对终端UE的用户的认证成功,AAA服务器就向HSS服务器注册以便指示其正在处理终端UE的接入会话并且重新获得使得有可能知道接入用户受益于的服务的权限的信息。除了对用户进行认证以及对她的/他的终端附接至接入网关进行授权之外,认证服务器还可以向接入网关指示其必须将其自身附接至哪个设备项以便允许终端接入如互联网或IMS等分组网络。此设备项被称为锚点网关,也被称为PDN网关或PGW。
如果认证服务器在返回至接入网关的认证响应中未提供锚点网关PGW的身份,则由接入网关来发现PGW的身份,这种发现能够在接入网关中静态配置的信息(待接触的锚点网关PGW的FQDN地址或IP地址)的基础上或经由接入网关询问的DNS(Domain Name Server,域名服务器)服务器所返回的信息来完成。
当接入网关请求锚点网关建立关于终端UE的用户(所述用户由其标识符标识)的连接时,锚点网关必须向认证服务器注册。因此,锚点网关通过指示终端UE的用户(所述用户由其标识符标识)的连接的开放来向默认认证服务器(所述认证服务器并不总是与用于为接入网关对终端进行认证的认证服务器相同)分派注册请求。
锚点网关接触的认证服务器向HSS服务器分派关于终端UE的用户的注册请求,所述HSS服务器知道用户以及所述用户所依赖的认证服务器。如果终端UE的由包含在所述请求中的标识符所标识的用户尚未被此认证服务器处理而是由另一个认证服务器进行处理,则HSS服务器响应于锚点网关接触的认证服务器分派的请求而返回此另一个服务器的身份。在这种情况下,认证服务器响应于锚点网关的注册请求而返回重定向指示,此响应包含认证服务器的由HSS服务器传输的身份。然后,锚点网关可以通过使用在重定向指示中接收到的服务器身份向处理此用户的接入会话的认证服务器重新发送注册请求。
此重定向程序由于以下原因而愈发频繁地发生:运营商的多样性、终端的多样性、终端在不同运营商域之间的移动性、终端在3GPP域与非3GPP域之间的移动性以及给定域中的认证服务器数量的增大。
这导致锚点网关、认证服务器与HSS服务器之间的信令显着增加,这可能导致网络减速和故障。
本发明的目的之一是弥补现有技术的这些缺点。
技术实现要素:
本发明借助于一种用于对通信终端的认证用户进行授权的方法来改善所述情况,所述终端旨在经由当前网络中所述终端所附接至的接入网关连接至分组交换网络,所述方法由所述当前网络中的当前认证服务器实现并且包括以下步骤:
·接收源自于所述接入网关、包括所述用户的标识符的用户授权请求,
·发送目的地为所述接入网关、包括关于所述用户的授权参数的用户授权响应,
所述用户授权响应进一步包括对所述用户进行认证的认证服务器的唯一标识符。
一旦已经例如通过附接程序对用户进行了认证,接入网关就请求对用户的授权以及所述用户希望接入的通过所谓的APN(Access Point Name,接入点名称)参数标识的如例如IMS网络等分组交换网络的类型。
一旦已经对用户进行了授权,接入网关就可以请求建立用户的终端与连接至分组交换网络的所谓锚点网关之间的连接。
借助于根据本发明的授权方法,与早期技术对比,接入网关能够向锚点网关指示其必须注册的认证服务器,所述认证服务器必须是已经用于对用户进行认证的认证服务器。事实上,根据本发明,此认证服务器的唯一标识符包括在认证响应中。
在第一种情况下,终端用户不处于漫游情形下,但可以存在部署在其网络中的多个认证服务器,并且接入网关接触的执行授权的认证服务器不一定与锚点网关将默认接触的认证服务器相同。
在第二种情况下,终端在不是其惯常接入网络的拜访接入网络(即,所述拜访接入网络不是终端的“归属网络”)中处于漫游情形下,分配给接入网关的当前认证服务器是与拜访接入网络绑定的认证服务器,并且然后授权请求必须由当前认证服务器重定向至惯常网络的认证服务器。
在任一种情况下,当前认证服务器重新获得对用户进行认证的认证服务器的标识符(根据情况,所述标识符可以是所述认证服务器自己的标识符或另一个服务器的标识符)并且在其响应中向接入网关传送所述标识符。因此,接入网关知道此标识符,这与早期技术形成对比,在早期技术中,接入网关可以只为当前授权服务器推导出此标识符,此标识符不一定是正确标识符。
因此,接入网关可以向针对此用户终端而为其分配的锚点网关指示此标识符,由此避免锚点网关将自身寻址到另一个认证服务器以便进行注册并且导致注册重定向至HSS服务器,等待正确认证服务器的标识符,并且然后重新开始注册的情况。
正用于3GPP的协议没有规定将正确认证服务器的标识符包括在授权响应中,因为或者接入网关已经将自身寻址到正确服务器(在这种情况下,假定知道其标识符),或者接入网关由于终端正处于漫游情形下并且在那种情况下提供了重定向机制而不知道正确服务器。此外,正用于3GPP的协议并不在同一运营商网络的多个认证服务器当中进行区分。将把正确认证服务器的标识符包括在到接入网关的认证响应中的根据本发明的解决方案因此与本领域技术人员的偏见背道而驰。
在正确认证服务器的标识符允许锚点网关将请求直接寻址到正确服务器而无需通过如例如DNS服务器等第三方设备项以获得地址补充的意义上讲,所述标识符是唯一的。这可以是使得有可能唯一地区分认证服务器的标识符,或者这可以是到此服务器的唯一连接的标识符。
唯一标识符可以例如采用以下格式之一:
·IP地址,如果在此IP地址处存在多个,则所述IP地址可能与端口号相组合,
·FQDN(Fully Qualified Domain Name,完全限定域名)型网络名称;在DNS中,FQDN是通过指示直到根的所有较高级域来揭示节点在DNS树中的绝对位置的域名,
·Diameter身份,其可能与Diameter域名相组合;Diameter是由RFC3588限定的认证协议,所述认证协议是RADIUS协议的后续协议。
根据本发明的一个方面,用户已经由当前认证服务器进行认证。
借助于此方面,在当前认证服务器是对用户进行认证的认证服务器时(这是终端未处于漫游情形下或远离其惯常网络的情况)并且当接入网关默认知道的认证服务器与能够对用户进行授权的认证服务器一致时,接入网关接收正确标识符。
根据本发明的一个方面,用户已经由另一个认证服务器进行认证,所接收到的用户认证请求被传输至此另一个认证服务器。
借助于此方面,即使在当前认证服务器不是对用户进行认证的认证服务器时,接入网关也接收正确标识符。这是终端处于漫游情形下,或者更一般地说,在两个运营商(一个是“拜访”并且另一个是“归属”)之间不一定存在任何漫游,当前网络是用户拜访的本地网络,而不是用户通常连接的远程网络(相对于当前或本地网络)的情况。
假设在这种模式下,接入网关默认知道的认证服务器(即使所述认证服务器不是能够对用户进行授权的认证服务器)能够将认证请求重定向至用户的惯常网络的认证服务器。
在本文件的下文中,“拜访网络”和“本地网络”具有相同的含义。类似地,“归属网络”、“惯常网络”和“远程网络”具有相同的含义。
在对应于以上所呈现的第二种情况的这种模式下,当前网络是拜访网络,而在对应于以上所呈现的第一种情况的模式下,拜访网络与归属网络之间没有区别,并且因此仅仅是单个网络,也被称为当前网络。
根据本发明的一个方面,当前认证服务器位于终端拜访的所谓拜访网络中,并且对用户进行认证的所述另一个认证服务器位于终端的所谓归属网络中,所述授权方法进一步包括获得与授权分配位于拜访网络中并且旨在将用户终端连接至分组交换网络的所谓锚点网关相关的信息项的步骤,并且用户授权响应还包括当前认证服务器的唯一地址。
在某些情况下,当前网络(也就是说,拜访网络)可以由用户的归属网络授权以便分配其锚点网关之一,而不是使用归属网络中的锚点网关。在向所述另一个认证服务器传输用户授权请求之后,此授权可以包括在当前认证服务器所接收的响应中。
然后,锚点网关必须像之前那样向归属网络中对用户进行认证的认证服务器注册,但是此外,除了别的之外,出于跟踪和计费的原因或者为了拜访网络的特定策略的应用,所述锚点网关必须通过将其请求路由通过其自己的网络的授权服务器来这样做。
借助于此方面,接入网关不仅接收对用户进行认证的认证服务器的正确地址,而且接收其必须一定将其注册请求路由通过的认证服务器的正确地址。这避免了将由于默认与锚点网关相关联的认证服务器重定向注册请求从而使得所述注册请求被正确路由而发生的附加信令。
本发明还涉及一种用于将用户的终端与连接至分组交换网络的锚点网关相连接的方法,所述方法由所述终端所附接至的接入网关实现并且包括以下步骤:
·发送包括所述用户的标识符、目的地为当前认证服务器的用户授权请求,
·接收源自于所述当前认证服务器的用户授权响应,
·向旨在将所述终端连接至所述分组交换网络的所述锚点网关发送连接请求,
所接收到的所述用户授权响应包括对所述用户进行认证的认证服务器的唯一标识符,此标识符包括在所发送的所述连接请求中。
借助于根据本发明的连接方法,与早期技术对比,锚点网关能够向已经用于对用户进行认证的认证服务器注册,因为所述认证服务器的标识符包括在由接入网关向锚点网关发送的连接请求中。
因此,锚点网关避免将自身寻址到默认认证服务器(所述默认认证服务不是正确认证服务器)以便进行注册,并且避免引起将注册重定向至HSS服务器,等待正确认证服务器的标识符并且然后重新开始注册。
正用于3GPP的协议没有规定将正确认证服务器的标识符包括在连接请求中,因为或者终端不处于漫游情形下并且锚点网关将自身寻址到其默认服务器(在这种情况下,假定知道所述服务器的标识符),或者终端处于漫游情形下并且锚点网关不知道正确认证服务器,而且在那种情况下提供了重定向机制。将把正确认证服务器的标识符包括在到锚点网关的连接请求中的根据本发明的解决方案因此与本领域技术人员的偏见背道而驰。
当前认证服务器可以是对用户进行认证的认证服务器。在以上所呈现的此第一种情况下,包括在授权响应和连接请求中的标识符是当前认证服务器的标识符。
当前认证服务器可以位于拜访网络中,并且对用户进行授权的服务器可以位于归属网络中。这是例如终端正在漫游的以上所呈现的第二种情况。在这种情况下,包括在授权响应和连接请求中的标识符是位于归属网络中而不是位于拜访网络中的另一个认证服务器的标识符。
根据本发明的一个方面,所接收到的所述用户授权响应进一步包括所述当前认证服务器的唯一标识符,并且,此标识符也包括在所发送的所述连接请求中。
如上所述,在某些情况下,当前网络(也就是说,拜访网络)可以由用户的归属网络授权以便分配其锚点网关之一,而不是使用归属网络中的锚点网关。然后,锚点网关必须像之前那样向归属网络中对用户进行认证的认证服务器注册,但是此外,出于上述原因,所述锚点网关必须通过将其注册请求路由通过其自己的网络的认证服务器来这样做。
借助于此方面,锚点网关从接入网关处不仅接收对用户进行认证的认证服务器的正确标识符,而且接收其必须一定将其注册请求路由通过的认证服务器的正确标识符。
根据本发明的一个方面,所接收到的所述用户授权响应进一步包括所述当前认证服务器的唯一标识符以及与选择所述终端拜访的网络中的锚点网关相关的授权参数,对所述用户授权响应的接收触发在所述终端拜访的网络中的锚点网关或所述终端的归属网络中的锚点网关之间进行选择的步骤,所述当前认证服务器位于拜访网络中并且对所述用户进行认证的所述认证服务器位于所述归属网络中。
当接入网关接收到两个不同认证服务器的标识符时并且当此外其已经接收到选择拜访网络中的锚点网关的授权时,接入网关可以然后决定是否这样做。如果接入网关决定借助于如响应可以取决于用户请求的APN的DNS请求等已知程序选择拜访网络中的锚点网关,则接入网关知道锚点网关将不仅能够从接入网关接收对用户进行认证的认证服务器的正确标识符,而且能够接收其必须一定将其注册请求路由通过的认证服务器的正确标识符。
根据本发明的一个方面,如果选择了所述拜访网络中的所述锚点网关,则所发送的所述连接请求进一步包括所述当前认证服务器的所述唯一标识符。
借助于此方面,拜访网络中的锚点网关能够将其注册请求路由通过其自己的网络的认证服务器。
本发明还涉及一种对旨在将用户的终端连接至分组交换网络的锚点网关的注册方法,所述方法包括以下步骤:
·接收源自于所述终端所附接至的接入网关的、关于所述终端的连接请求,
·向之前对所述用户进行认证的认证服务器发送注册请求,
所接收到的所述连接请求包括之前对所述用户进行认证的所述认证服务器的唯一标识符。
借助于根据本发明的注册方法,与早期技术对比,锚点网关能够立即向已经用于对用户进行认证的认证服务器注册,因为所述认证服务器的标识符包括在由锚点网关从接入网关处接收的连接请求中。
根据本发明的一个方面,所述接入网关和所述锚点网关位于所述终端拜访的网络中,并且所接收到的所述连接请求进一步包括所述拜访网络中由所发送的所述注册请求路由通过的另一个认证服务器的唯一标识符。
如果按照根据本发明的之前所描述的连接方法建立了连接,则拜访网络的认证服务器是接入网关在对用户的认证和授权的先前阶段期间接触的第一认证服务器。
借助于此方面,当锚点网关是在拜访网络中选择的时,所述锚点网关能够将其注册请求路由通过其自己的网络的正确认证服务器。
根据本发明的一个方面,认证服务器标识符使用以下各项当中的格式:
·IP地址,如果此IP地址处存在多个端口,则所述IP地址可能与端口号相组合,
·FQDN型网络名称。
有利的是,与必须指定Diameter交换的最终目的地设备项的Diameter型标识符对比,这些标识符格式可以指定消息可以因此在到达其最终目的地之前被路由通过的中间或“接合”设备项。
本发明还涉及一种用于对通信终端的认证用户进行授权的设备,所述终端旨在经由当前网络中所述终端所附接至的接入网关连接至分组交换网络,所述设备由所述当前网络中的当前认证服务器实现并且包括以下模块:
·接收源自于所述接入网关、包括所述用户的标识符的用户授权请求,
·发送目的地为所述接入网关、包括关于所述用户的授权参数以及对所述用户进行认证的认证服务器的唯一标识符的用户授权响应,
·如果所述当前认证服务器位于所述终端拜访的所谓拜访网络中,并且如果所述用户已经由所述终端的所谓归属网络中的另一个认证服务器进行认证,则包括用于向所述另一个认证服务器传输所述授权请求的模块,用于获得与授权分配位于所述拜访网络中并且旨在将所述用户终端连接至所述分组交换网络的所谓锚点网关相关的信息项的模块,以及用于将所述当前认证服务器的唯一地址包括在所述用户授权响应中的模块。
此设备能够在其所有实施例中实现刚刚已经描述的授权方法。
本发明还涉及一种用于将用户的终端与连接至分组交换网络的锚点网关相连接的设备,所述设备由所述终端所附接至的接入网关实现并且包括以下模块:
·发送包括所述用户的标识符、目的地为当前认证服务器的用户授权请求,
·接收源自于所述当前认证服务器、包括对所述用户进行认证的认证服务器的唯一标识符的用户授权响应,
·向旨在将所述终端连接至所述分组交换网络的所述锚点网关发送包括对所述用户进行认证的所述认证服务器的所述唯一标识符的连接请求。
此设备能够在其所有实施例中实现刚刚已经描述的连接方法。
本发明还涉及一种用于对旨在将用户的终端连接至分组交换网络的锚点网关进行注册的设备,所述设备包括以下模块:
·接收源自于所述终端所附接至的接入网关的、关于所述终端的连接请求,所述连接请求包括之前对所述用户进行认证的所述认证服务器的唯一标识符,
·向之前对所述用户进行认证的所述认证服务器发送注册请求。
此设备能够在其所有实施例中实现刚刚已经描述的注册方法。
本发明还涉及一种用于识别认证服务器的系统,所述系统包括如刚刚已经描述的设备等授权设备、连接设备和注册设备。
借助于此识别系统,锚点服务器总是在其接收关于用户终端的接入网关的连接请求时获得所述锚点服务器必须向其注册的一个或多个正确认证服务器的标识符,即使此终端在拜访网络中处于漫游情形下,而不论接入网关是位于拜访网络中还是位于用户的归属网络中。与早期技术对比,锚点网关本身不需要通过特定的信令来发现这个或这些标识符。
本发明还涉及一种计算机程序,所述计算机程序包括用于当此程序由处理器执行时实现刚刚已经描述的授权方法的步骤的指令。
本发明还涉及一种计算机程序,所述计算机程序包括用于当此程序由处理器执行时实现刚刚已经描述的连接方法的步骤的指令。
本发明还涉及一种计算机程序,所述计算机程序包括用于当此程序由处理器执行时实现刚刚已经描述的注册方法的步骤的指令。
这些程序可使用任何编程语言,并且可采用源代码、目标代码、或在源代码与目标代码之间的中间代码的形式,比如,采用部分编译的形式或者采用任何其他所期望的形式。
对于上文提到的计算机程序中的每一个,本发明还设想了可由计算机读取并且包括对应计算机程序的指令的信息介质。
所讨论的信息介质可以是能够存储程序的任何实体或设备。例如,所述介质可以包括如ROM(例如,CD ROM或微电子电路ROM)等存储装置、或磁记录装置(例如,磁盘(软盘)或硬盘)。
此外,所述信息介质可以是如电信号或光信号等可以经由电缆或光缆、通过无线电或通过其他手段输送的可传输介质。根据本发明的程序可以具体地从互联网型网络进行下载。
可替代地,所述信息介质可以是并入了所述程序的集成电路,所述电路被适配成执行或用于执行所讨论的方法。
本发明还涉及一种用于对通信终端的认证用户进行授权的可替代方法,所述终端旨在经由当前网络中所述终端所附接至的接入网关连接至分组交换网络,所述方法由所述当前网络中的当前认证服务器实现并且包括以下步骤:
·接收源自于所述接入网关、包括所述用户的标识符的用户授权请求,
·发送目的地为所述接入网关、包括关于所述用户的授权参数的用户授权响应,
所述用户授权响应进一步包括所述当前认证服务器的唯一标识符。
在此可替代方法以及随后的方法中,终端在拜访网络中处于漫游情形下。在拜访网络中,根据这些可替代方法的一个方面,当前认证服务器可以利用简单的所谓“代理”设备项来代替,只要所述设备项被接合至拜访网络中的接入网关与归属网络的对用户进行认证的认证服务器之间的信令。
用户授权响应包括当前认证服务器(或代理)的标识符,所述当前认证服务器不是对用户进行认证的认证服务器。事实上,接入网关仅知道当前认证服务器(或代理)的标识符就足够了,因为锚点网关总是可以借助于用户的标识符接触归属网络的对用户进行认证的认证服务器。
优点是允许拜访网络的当前认证服务器(或代理)接合至与拜访网络(也就是说,接入网关或锚点网关)与归属网络(也就是说,对用户进行认证的认证服务器)之间的同一用户相关的整个信令。
刚刚已经描述的可替代授权方法与下文所描述的可替代连接和注册方法协作,以便获取此优点。
本发明还涉及一种用于将用户的终端与连接至分组交换网络的锚点网关相连接的可替代方法,所述方法由所述终端所附接至的接入网关实现并且包括以下步骤:
·发送包括所述用户的标识符、目的地为当前认证服务器的用户授权请求,
·接收源自于所述当前认证服务器的用户授权响应,
·向旨在将所述终端连接至所述分组交换网络的所述锚点网关发送连接请求,
所接收到的所述用户授权响应包括所述当前认证服务器的唯一标识符,此标识符包括在所发送的所述连接请求中。
用户授权响应和连接请求包括当前认证服务器(或代理)的标识符,即使所述当前认证服务器不是对用户进行认证的认证服务器。
本发明还涉及一种对旨在将用户的终端连接至分组交换网络的锚点网关的可替代注册方法,所述方法包括以下步骤:
·接收源自于所述终端所附接至的接入网关的、关于所述终端的连接请求,
·向之前对所述用户进行认证的认证服务器发送注册请求,
所接收到的所述连接请求包括所述接入网关之前已经向其发送了用户授权请求的所谓当前认证服务器的唯一标识符。
连接请求包括当前认证服务器(或代理)的标识符,即使所述当前认证服务器不是对用户进行认证的认证服务器。
附图说明
在阅读了通过简单的说明性和非限制性示例的方式给出的以下对本发明的具体实施例的说明以及对所附的附图的说明之后,本发明的其他优点和特性将变得更加清楚明显,在附图中:
-图1以示意性方式呈现了根据第一实施例的实现本发明的元件的总体视图,
-图2以示意性方式呈现了根据第二实施例的实现本发明的元件的总体视图,
-图3以示意性方式呈现了根据第三实施例的实现本发明的元件的总体视图,
-图4呈现了根据本发明的第一实施例的授权、连接和注册方法的步骤,
-图5呈现了根据本发明的第二实施例的授权、连接和注册方法的步骤,
-图6呈现了根据本发明的第三实施例的授权、连接和注册方法的步骤,
-图7呈现了根据本发明的一个方面的授权设备的示例性结构,
-图8呈现了根据本发明的一个方面的连接设备的示例性结构,
-图9呈现了根据本发明的一个方面的注册设备的示例性结构。
具体实施方式
在随后的描述中,虽然基于如由标准3GPP TS 23.402(版本13)描述的网络架构呈现了本发明的几个实施例的示例,但是本发明还适用于不同架构的其他网络,诸如2级虚拟专用网络(或2层虚拟专用网络或L2VPN)或3级虚拟专用网络(L3VPN),或者可能具有两个不同的认证和授权程序(一个在接入时发生,一个在网络核心中发生)的任何其他网络。
图1以示意性方式呈现了根据第一实施例的实现本发明的元件的总体视图。
在此第一实施例中,用户终端UE未处于漫游情形下。终端UE能够连接至提供对3GPP网络或“3GPP世界”的分组网络核心的非3GPP接入(在图中被表示为n3gpp)的接入网关AGW。接入网关AGW连接至一个或多个AAA型认证服务器。在存在多个认证服务器的情况下,终端UE将接触的服务器cAAA或者对于网关AGW来说是通过配置而提前知道的,或者存在允许根据终端UE并且可能根据终端请求的APN动态地发现服务器cAAA的机制。
在对终端UE的认证和授权之后,接入网关AGW可以向锚点网关PGW发送用于为终端UE建立连接的请求,使得有可能接触锚点网关PGW的标识符或者由认证服务器cAAA提供,或者由接入网关AGW动态地发现。在建立此连接期间,锚点网关PGW借助于根据本发明的授权、连接和注册方法向认证服务器cAAA注册,其中,服务器cAAA的标识符从服务器cAAA连续地提供至网关AGW和网关PGW。
图2以示意性方式呈现了根据第二实施例的实现本发明的元件的总体视图。
在此第二实施例中,用户终端UE处于漫游情形下并且其锚点网关PGW必须位于被表示为hN的3GPP归属网络中。
终端UE能够连接至提供对3GPP世界的非3GPP接入的接入网关AGW。接入网关AGW连接至负责对用于连接至位于拜访3GPP网络vN中的接入网关AGW的请求进行管理的一个或多个AAA型认证服务器。在这种模式下,待接触以便对在拜访网络vN中漫游的终端UE的连接进行授权的认证服务器vAAA或者对于网关AGW来说是通过配置而提前知道的或者是被动态发现的。
在对漫游终端UE进行认证期间,由接入网关AGW调用的认证服务器vAAA并不知道终端UE的用户并且因此必须将其自身寻址到可以执行对终端UE的认证的认证服务器hAAA。对认证服务器vAAA的拜访网络vN与认证服务器hAAA的归属网络hN之间的请求的路由是在包含在终端UE的用户的标识符中的域名的基础上执行的或者是通过使得有可能在此标识符(所述标识符在当前情况下标识归属网络hN)的基础上发现域名的替代方案(例如,查找表)来执行的,并且然后所述请求被传输至部署在归属网络hN中的认证服务器hAAA之一。认证服务器hAAA接触归属网络hN中的HSS以重新获得对拜访网络vN中的终端UE的接入进行认证和授权所需的信息。
认证服务器vAAA还可以从认证服务器hAAA处接收位于归属网络hN中的锚点网关PGW的标识符。如果所述标识符未被提供,则认证服务器vAAA从认证服务器hAAA处接收指示必须分配归属网络hN中的锚点网关PGW的信息项。归属网络hN中的待接触锚点网关PGW的标识符是由接入网关AGW动态地发现的。由认证服务器vAAA中继并由接入网关AGW接收的认证服务器hAAA响应允许接入网关发现负责正在漫游的终端UE的接入会话的认证服务器hAAA的标识符。
接入网关AGW因此可以向锚点网关PGW发送终端UE的连接请求。在建立此连接期间,锚点网关PGW借助于根据本发明的授权、连接和注册方法向认证服务器hAAA注册,其中,认证服务器hAAA的标识符从服务器hAAA连续地提供至服务器vAAA、网关AGW以及网关PGW。
图3以示意性方式呈现了根据第三实施例的实现本发明的元件的总体视图。
在此第三实施例中,用户终端UE也处于漫游情形下并且其锚点网关PGW可以位于被表示为vN的拜访3GPP网络中。
终端UE能够连接至提供对3GPP世界的非3GPP接入(被表示为n3gpp)的接入网关AGW。接入网关AGW连接至负责对用于连接至位于拜访网络vN中的接入网关AGW的请求进行管理的一个或多个AAA型认证服务器。在这种模式下,待接触以便对在拜访网络vN中漫游的终端UE的连接进行授权的服务器vAAA或者对于网关AGW来说是通过配置而提前知道的或者是被动态发现的。
在对漫游终端UE进行认证期间,由接入网关AGW调用的认证服务器vAAA并不知道终端UE的用户并且因此必须将其自身寻址到可以执行对终端UE的认证的认证服务器hAAA。对认证服务器vAAA的拜访网络vN与认证服务器hAAA的归属网络hN之间的请求的路由是在包含在终端UE的用户的标识符中的域名的基础上执行的或者是通过使得有可能在此标识符(所述标识符在当前情况下标识归属网络hN)的基础上发现域名的替代方案(例如,查找表)来执行的,并且然后所述请求被传输至部署在归属网络hN中的认证服务器hAAA之一。认证服务器hAAA接触归属网络hN中的HSS以重新获得对拜访网络vN中的终端UE的接入进行认证和授权所需的信息。
和第二实施例中不同,认证服务器vAAA不从认证服务器hAAA处接收位于归属网络hN中的锚点网关PGW的标识符,而是接收指示可以分配拜访网络vN中的锚点网关PGW的信息项。拜访网络vN中的待接触锚点网关PGW的标识符是由接入网关AGW动态地发现的。由认证服务器vAAA中继并由接入网关AGW接收的认证服务器hAAA响应允许接入网关发现负责正在漫游的终端UE的接入会话的认证服务器hAAA的标识符。
接入网关AGW因此可以向锚点网关PGW发送终端UE的连接请求。在建立此连接期间,锚点网关PGW借助于根据本发明的授权、连接和注册方法通过经过认证服务器vAAA向认证服务器hAAA注册,其中,认证服务器hAAA的标识符从认证服务器hAAA连续地提供至认证服务器vAAA、网关AGW以及网关PGW,并且其中,此外,认证服务器vAAA的标识符从认证服务器vAAA连续地提供至网关AGW和网关PGW。
现在针对这三个实施例详细描述上文所提到的各个实体之间的消息交换。
图4呈现了根据本发明的第一实施例的授权、连接和注册方法的步骤。
在已知的步骤a101期间,用户User的终端UE将其自身附接至接入网关AGW,所述接入网关AGW提供例如对3GPP网络的如电话语音等服务的如WiFi等非3GPP接入。在此步骤期间,用户User由认证服务器进行认证。
在已知的步骤a102期间,接入网关AGW向之前与网关AGW相关联的AAA型认证服务器cAAA发送包括用户User的标识符UserId以及对终端UE分派的认证请求的响应的、关于终端UE的授权请求AutReq,所述认证服务器是在步骤a101期间分派对用户User进行认证所需的信息的同一服务器。
在已知的步骤c102期间,认证服务器cAAA接收授权请求AutReq。
在已知的步骤c104期间,认证服务器cAAA查询与其相关联的HSS服务器,并且获得用于对终端UE的附接的授权参数,所述授权参数具体地指示锚点网关PGW是否可以由接入网关AGW动态地选择,并且如果是,则指示是可以在拜访网络中选择此锚点网关还是必须在归属网络中选择此锚点网关。
在步骤c107期间,认证服务器cAAA向接入网关AGW发送授权响应AutResp,除了根据早期技术知道的信息之外,所述授权响应包括所述认证服务器的唯一标识符。此唯一标识符使得有可能以唯一的方式来区分AAA型服务器或与所述服务器的连接。
在步骤a107期间,接入网关AGW接收授权响应AutResp。
在步骤a109期间,接入网关AGW将关于终端UE的连接请求CSReq发送至被选择以便允许终端接入由用户借助于接入请求中的标识符APN请求的如例如互联网或IMS等分组交换网络的锚点网关PGW。标识符APN确定了接入网关AGW可以从中选择的锚点服务器PGW的列表。此连接请求CSReq包括对终端UE的用户User进行认证的认证服务器cAAA的唯一标识符。
在步骤p109期间,锚点网关PGW接收连接请求CSReq。
在步骤p110期间,借助于认证服务器cAAA的唯一标识符,锚点网关PGW向所述认证服务器注册。这种注册以已知的方式用于用信号向认证服务器cAAA发送负责关于终端UE与分组交换网络的连接的锚点网关PGW的身份,从而在终端例如在非3GPP接入与3GPP接入之间或者反之亦然具有移动性的情况下强制重选此同一锚点网关PGW。除了别的之外,这还可以用于计量目的。
如果认证服务器cAAA对注册进行了授权,则锚点网关PGW在已知的步骤p111期间向接入网关AGW发送连接响应CSResp,所述接入网关在同样已知的步骤a111期间接收所述连接响应。然后,终端UE与分组交换网络之间的连接被建立。
图5呈现了根据本发明的第二实施例的认证、连接和注册方法的步骤。
在已知的步骤a201期间,用户User的终端UE将其自身附接至拜访网络vN的接入网关AGW,所述接入网关提供例如对3GPP网络的如电话语音等服务的如WiFi等非3GPP接入。在此步骤期间,用户User由认证服务器进行认证。
在已知的步骤a202期间,接入网关AGW向拜访网络vN中之前与网关AGW相关联的AAA型认证服务器vAAA发送关于终端UE的授权请求AuthReq,所述授权请求包括用户User的标识符UserId以及对终端UE分派的认证请求的响应。
在已知的步骤v202期间,认证服务器vAAA接收授权请求AutReq。
在已知的步骤v203期间,认证服务器vAAA向位于终端UE的归属网络hN中的认证服务器hAAA传送授权请求AutReq,所述认证服务器是在步骤a201期间分派对用户User进行认证所需的信息的同一服务器。
在已知的步骤h203期间,认证服务器hAAA接收授权请求AutReq。
在已知的步骤h204期间,认证服务器hAAA查询与其相关联的HSS服务器,并且获得用于对终端UE的附接的授权参数,所述授权参数具体地指示锚点网关PGW是否可以由接入网关AGW动态地选择,并且如果是,则指示是可以在拜访网络中选择此锚点网关还是必须在归属网络中选择此锚点网关。
在步骤h205期间,认证服务器hAAA向认证服务器vAAA发送授权响应AutResp,除了根据早期技术知道的信息之外,所述授权响应包括认证服务器hAAA的唯一标识符。此唯一标识符使得有可能以唯一的方式来区分AAA型服务器或与所述服务器的连接。
在步骤v205期间,认证服务器vAAA接收授权响应AutResp。
在步骤v206期间,认证服务器vAAA获得与强制分配归属网络hN中的锚点网关PGW相关的信息项。
在步骤v207期间,认证服务器vAAA向接入网关AGW传送包括认证服务器hAAA的唯一标识符的授权响应AutResp。
在步骤a207期间,接入网关AGW接收授权响应AutResp。
在步骤a209期间,接入网关AGW将关于终端UE的连接请求CSReq发送至在其归属网络hN中选择以便允许终端接入由用户借助于接入请求中的标识符APN请求的如例如互联网或IMS等分组交换网络的锚点网关PGW。标识符APN确定了接入网关AGW可以从中选择的锚点服务器PGW的列表。此连接请求CSReq包括对终端UE的用户User进行认证的认证服务器hAAA的唯一标识符。
在步骤p209期间,锚点网关PGW接收连接请求CSReq。
在步骤p210期间,借助于认证服务器hAAA的唯一标识符,锚点网关PGW向所述认证服务器注册。这种注册以已知的方式用于用信号向认证服务器hAAA发送负责关于终端UE与分组交换网络的连接的锚点网关PGW的身份,从而在终端例如在非3GPP接入与3GPP接入之间或者反之亦然具有移动性的情况下强制重选此同一锚点网关PGW。除了别的之外,这还可以用于计量目的。
如果认证服务器hAAA对注册进行了授权,则锚点网关PGW在已知的步骤p211期间向接入网关AGW发送连接响应CSResp,所述接入网关在同样已知的步骤a211期间接收所述连接响应。然后,终端UE与分组交换网络之间的连接被建立。
图6呈现了根据本发明的第三实施例的认证、连接和注册方法的步骤。
步骤a301与步骤h303之间的步骤及其时间顺序与参考图5所描述的步骤a201至步骤h203相同,并且将不再对其进行描述。
在已知的步骤h304期间,认证服务器hAAA查询与其相关联的HSS服务器,并且获得用于对终端UE的附接的授权参数,所述授权参数具体地指示锚点网关PGW是否可以由接入网关AGW动态地选择,并且如果是,则指示是可以在拜访网络中选择此锚点网关还是必须在归属网络中选择此锚点网关。
在步骤h305期间,认证服务器hAAA向认证服务器vAAA发送授权响应AutResp,除了根据早期技术知道的信息之外,所述授权响应包括认证服务器hAAA的唯一标识符,所述信息可以包括与授权分配位于拜访网络vN中的锚点网关PGW相关的信息项,如果认证服务器hAAA已经获得这种授权的话。唯一标识符使得有可能以唯一的方式来区分AAA型服务器或与所述服务器的连接。
在步骤v305期间,认证服务器vAAA接收授权响应AutResp。
在步骤v306期间,认证服务器vAAA获得与授权分配位于拜访网络vN中的锚点网关PGW相关的信息项。所述认证服务器或者借助于包括在授权响应AutResp中的明确信息项或者在此信息项未被包括在授权响应AutResp中时,通过另一种方式(诸如通过应用由拜访网络vN的运营商配置在认证服务器vAAA中的策略)来获得所述信息项。
在步骤v307期间,认证服务器vAAA向接入网关AGW传送包括认证服务器hAAA的唯一标识符以及与授权分配位于拜访网络vN中的锚点网关PGW相关的信息项的授权响应AutResp,同时由于在步骤v306期间获得的指示而将认证服务器vAAA的唯一标识符添加到所述授权响应中。
在步骤a307中,接入网关AGW接收授权响应AutResp。
在授权响应AutResp中存在与授权分配位于拜访网络vN中的锚点网关PGW相关的信息项触发步骤a308,在所述步骤中,接入网关AGW因此选择或者拜访网络vN中的锚点网关,或者终端的归属网络hN中的预定锚点网关。
如果接入网关AGW未选择拜访网络vN中的锚点网关,则根据步骤a308的步骤与参考图5描述的第二实施例中从步骤a209起相同,并且将不再对其进行呈现。
否则,在步骤a309期间,接入网关AGW将关于终端UE的连接请求CSReq发送至在其拜访网络vN中选择以便允许终端接入由用户借助于接入请求中的标识符APN请求的如例如互联网或IMS等分组交换网络的锚点网关PGW。标识符APN确定了接入网关AGW可以从中选择的锚点服务器PGW的列表。此连接请求CSReq包括对终端UE的用户User进行认证的认证服务器hAAA的唯一标识符以及认证服务器vAAA的唯一标识符。
在步骤p309期间,锚点网关PGW接收连接请求CSReq。
在步骤p310期间,借助于认证服务器vAAA和hAAA的这两个唯一标识符,锚点网关PGW通过使注册请求路由通过认证服务器vAAA来向认证服务器hAAA注册。这种注册以已知的方式用于在同一时间用信号向认证服务器hAAA和认证服务器vAAA发送负责关于终端UE与分组交换网络的连接的锚点网关PGW的身份,从而在终端例如在非3GPP接入与3GPP接入之间或者反之亦然具有移动性的情况下强制重选此同一锚点网关PGW。除了别的之外,这还可以用于计量目的。
如果认证服务器hAAA对注册进行了授权,则锚点网关PGW在已知的步骤p311期间向接入网关AGW发送连接响应CSResp,所述接入网关在同样已知的步骤a311期间接收所述连接响应。然后,终端UE与分组交换网络之间的连接被建立。
结合图7,现在呈现了根据本发明的一个方面的授权设备的示例性结构。
授权设备100实现授权方法,刚刚已经描述了所述授权方法的各个实施例。
这种设备100可以在使用如Diameter等消息交换协议的专门进行认证、授权和计量的设备项(所谓的AAA型服务器)中实现。所述设备例如在认证服务器cAAA或vAAA中实现。
例如,设备100包括处理单元130,所述处理单元配备有例如微处理器μP并且由计算机程序110驱动,所述计算机程序存储在存储器120中并且实现根据本发明的授权方法。在初始化时,在计算机程序110的代码指令由处理单元130的处理器执行之前,所述代码指令被加载到例如RAM存储器中。
这种设备100包括以下模块:
·接收140源自于接入网关AGW、包括用户的标识符的用户授权请求AutReq,
·发送150目的地为接入网关AGW、包括关于用户的授权参数以及对用户进行认证的认证服务器cAAA或hAAA的唯一标识符的授权响应AutResp。
有利地,如果当前认证服务器vAAA位于终端拜访的网络中,并且如果用户已经由终端的归属网络中的另一个认证服务器hAAA进行认证,则设备100可以进一步包括以下模块:
·向所述另一个认证服务器hAAA传输160授权请求AutReq,
·获得170与授权分配位于拜访网络中并且旨在将用户终端连接至分组交换网络的锚点网关PGW相关的信息项,
·以及将当前认证服务器vAAA的唯一地址包括180在授权响应AutResp中。
结合图8,现在呈现了根据本发明的一个方面的连接设备的示例性结构。
连接设备200实现连接方法,刚刚已经描述了所述连接方法的各个实施例。
这种设备200可以在提供对3GPP网络的非3GPP用户终端接入的接入网关中实现。
所述设备在例如网关AGW中实现。
例如,设备200包括处理单元230,所述处理单元配备有例如微处理器μP并且由计算机程序210驱动,所述计算机程序存储在存储器220中并且实现根据本发明的授权方法。在初始化时,在计算机程序210的代码指令由处理单元230的处理器执行之前,所述代码指令被加载到例如RAM存储器中。
这种设备200包括以下模块:
·发送240包括用户的标识符、目的地为当前认证服务器cAAA或vAAA的用户授权请求AutReq,
·接收250源自于当前认证服务器cAAA或vAAA、包括对用户进行认证的认证服务器cAAA或hAAA的唯一标识符的授权响应AutResp,
·向旨在将终端UE连接至分组交换网络的锚点网关PGW发送260包括对用户进行认证的认证服务器cAAA或hAAA的唯一标识符的连接请求CSReq。
有利地,如果当前认证服务器vAAA位于终端拜访的网络中,并且如果用户已经由终端的归属网络中的另一个认证服务器hAAA进行认证,则设备200可以进一步包括以下模块:
·如果在授权响应AutResp中接收到与选择终端拜访的网络中的锚点网关相关的授权参数,则在终端拜访的网络中的锚点网关vAAA或终端的归属网络中的锚点网关hAAA之间进行选择270,
·如果选择了拜访网络中的锚点网关PGW,则将当前认证服务器vAAA的唯一地址包括280在授权响应AutResp中。
结合图9,现在呈现了根据本发明的一个方面的注册设备的示例性结构。
注册设备300实现注册方法,刚刚已经描述了所述注册方法的各个实施例。
这种设备300可以在提供对分组交换网络的3GPP网络接入的锚点网关中实现。
所述设备在例如网关PGW中实现。
例如,设备300包括处理单元330,所述处理单元配备有例如微处理器μP并且由计算机程序310驱动,所述计算机程序存储在存储器320中并且实现根据本发明的注册方法。在初始化时,在计算机程序310的代码指令由处理单元330的处理器执行之前,所述代码指令被加载到例如RAM存储器中。
这种设备300包括以下模块:
·接收340源自于终端所附接至的接入网关AGW的、关于终端的连接请求CSReq,所述连接请求包括之前对用户进行认证的认证服务器cAAA或hAAA的唯一标识符,
·向之前对用户进行认证的认证服务器cAAA或hAAA发送350注册请求SReg。
有利地,如果当前认证服务器vAAA位于终端拜访的网络中,并且如果用户已经由终端的归属网络中的另一个认证服务器hAAA进行认证,并且如果锚点网关PGW位于拜访网络中,则设备300可以进一步包括以下模块:
·在授权响应AutResp中获得360当前认证服务器vAAA的唯一地址,
·将所发送的注册请求SReg路由370通过当前认证服务器vAAA。
结合图7、图8和图9所描述的模块可以是硬件模块或软件模块。
- 还没有人留言评论。精彩留言会获得点赞!