Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统的制作方法

专利名称：Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统的制作方法
技术领域：
本发明涉及通信领域，尤其涉及认证授权计费服务器、分组数 据网网关、策略和计费控制功能实体、用户设备标识的获取方法和 系统。
背景技术：
为了保持第三代移动通信系统在移动通信领:威的强有力的竟争 力，提高其网络性能、降低网络建设和运营成本，第三代合作伙伴
计划(3rd Generation Partnership Project,简一尔为3GPP )的才示准4匕 工作组目前正致力研究核心网系统的演进的分组核心网(Evolved Packet Core,简称为EPC ), EPC系统支持非3GPP无线4妄入网的4妄 入，并能够为用户设备提供更高的传输速率及更短的传输时延。
非3GPP接入系统(例如微波接入全球互通系统)与3GPP系 统之间的网络互通有助于两个网络的优势互补，扩大网络的覆盖范 围，让移动用户设备在不同的无线接入网络环境中，利用两个网络 各自不同的特性，获得一致的业务访问。图1是非3GPP无线接入 网通过^H方7i^共陆;l也移动网纟备(Visited Public Land Mobile Network, 简称为VPLMN ) 4妄入归属7>共陆地移动网络(Home PLMN,简称 为HPLMN)的结构才医图，包含下列网元分纟且凄t才居网网关(Packet Data Network Gateway, 简 一尔为 P-GW):位于3GPP网络，用于负责终端(UE)接入分组数据网 (Packet Data Network,简称为PDN );
归属用户设备月良务器(Home Subscriber Server,简称为HSS ): 位于3GPP网络，用于永久保存用户设备的签约数据和安全数据。
演进的分纟且凄史:悟网关(Evolved Packet Data Gateway,简称为 ePDG):位于3GPP网络，用于负责不信任的非3GPP接入网接入 3 GPP;
策略和计费控制功能(Policy and Charging Rules Function,简 称为PCRF ):位于3GPP网络，用于负责终端业务的策略控制和计 费功能(简称为PCRF)，在漫游场景中分为归属策略控制和计费 功能(hPCRF)和^f访策略控制和计费功能(vPCRF)。
移动4妄入网关(Mobile Access Gateway,简称为MAG )及外部 代理(Foreign Agent,简称为FA):位于非3GPP接入系统中，用 于负责与P-GW —起实现代理移动IPv6协议和移动IPv4协议；
而且，为了支持非3GPP接入系统的接入，EPC系统还包括认 i正4受斗又计费月艮务器(3GPP Authentication 、 Authorisation and Accounting,简称为3GPP AAA Server )和i人证4受4又计费代理(AAA Proxy )。
对于信任的非3GPP接入网(Trusted Non3GPP Access), 3GPP 网络和该非3GPP接入系统之间存在信任关系，非3GPP接入系统 可以直接通过S2a或S2c接口接入P-GW ，当终端不支持移动IP协 议或移动IPv4协议时，终端首先接入非3GPP接入系统，再通过S2a 接口接入P-GW;当终端支持双栈移动IP协议时，终端直接通过S2c 接口接入P-GW。目前，非3GPP接入网接入EPC系统的用户i殳备接入认证鉴权 十办i义采用的是扩展鉴4又十办i义(Extensible Authentication Protocol, 简 称为EAP)， EAP协议从安全角度考虑，要求用户设备在接入认证 过程中4吏用用户i殳备的真实网络4妄入标识(Network Access Identifier,简称为NAI)，并在EAP报文中封装并加密，这样，只 有AAA月良务器和终端获知用户i殳备的真实NAI,对于其它网元， 用户设备真实的NAI均是不可见的，在消息报文中采用的都是伪随 机NAI，在图l所示的互通系统中，P-GW和PCRF均需要获知用 户设备的唯一标识(例如IMSI或基于IMSI的NAI等真实用户设备 标识)来标识用户设备，以i"更完成后续的业务。
传统4支术中，P-GW、 PCRF可以通过以下三种方式获耳又用户诏: 备的标识
图2是根据相关技术的移动IPv4模式下用户设备标识的获取方 法流程图，其中，S2a接口支持移动IPv4协议，如图2所示，201 为接入认证和授权，202为移动IP代理通告，203为移动IP注册请 求，204为网关会话建立过程，205为移动IP注册请求，206为移 动IP认证和授权，207为P-GW地J止更新，208为P-GW会话建立 过程，209为移动IP注册响应，210为网关会话策略提供过程，211 为移动IP注册响应。其中，在203中，终端向非3GPP接入网发起 移动IP注册请求，非3GPP接入网将上述移动IP注册请求转发给 FA/P-GW, FA/P-GW可以乂人移动IP注册i青求中获取用以相;识用户 设备的标识。
图3是根据相关技术的移动IPv6模式下用户i殳备标识的获取方 法流程图，其中，S2a接口支持移动IPv 4协议，如图3所示，301 为接入认证和4受权，301a为接入接受信息，302为层3接入触发，303 为网关会话建立过程，304为移动IP绑定更新请求，305为移动IP 认证和4受4又，306为P-GW地址更新，307为P-GW会话建立过程，308为移动IP绑定更新响应，309为网关会话策略提供过程，310 为层3接入结束。其中，在301a中，由AAA服务器在接入认证、 授权时将用户设备的唯一标识(如IMSI)发送给MAG， MAG通过 代理绑带更新消息将用户设备的标识发送给P-GW,并在网关会话 建立通知消息中将用户设备的标识发送给PCRF 。
图4是根据相关技术的双栈移动IPv6模式下用户设备标识的获 取方法流程图，其中，S2c接口支持双栈移动IP协议，如图4所示， 401为4妄入i人i正和4受4又，402为层34妄入，并获取本地IP地址，403 为网关会话建立过程，404为建立安全联盟，405为认证和授权，406 为移动IP绑定更新请求，407为IP-CAN会话建立过程，408为移 动IP更新绑定响应。其中，在404中，当终端和P-GW建立安全通 道时，终端将用户设备的唯一标识发送给P-GW,用以标识用户设 备。
目前，由于对终端增加了新的需求，要求终端将用户设备的真 实标识通过空口传递给网络，例如，对于支持移动IPv4协议的S2a 接口 ，要求终端发起的移动IP注册请求消息的NAI必须是基于IMSI 的NAI，但是传统的非3GPP终端(如WiMAX终端)，在发送移动 IP注册请求时，该移动IP注册请求中携带的用户i殳备标识是伪标识 而不是真实标识，即步骤S203中的移动IP注册i青求中携带的是用 户设备的伪标识；对于支持双栈移动IP协议的S2c接口，要求终端 在与P-GW建立安全联盟过程中将用户设备标识发送给P-GW，但 是这样〗故存在一定的风险，如受到中间人的攻击，而且，即l吏安全 发送，传统的非3GPP仍然不希望直接发送真实标识，因此传统的 非3GPP终端必须满足该需求后才能4姿入EPC，否则无法正常4吏用， 因此限制了非3GPP与EPC系统互通4支术的应用范围。
而且，由于非3GPP网络和P-GW无法区分终端发送的用户设 备标识是否是用户设备的真实标识，如果简单的假定终端发送的标识是真实的用户设备标识，可能会造成用户设备的错误识别而导致
业务的失败，非3GPP的MAG由于原系统中不需要4吏用真实用户 设备标识来识别用户设备，因此根据本地策略可能不会将用户设备 的真实标识发送给P-GW。
在3GPP网络中，用户设备的真实标识被3GPP中的网元(例 如P-GW, PCRF)用来标识用户设备，传统技术中获取用户设备的 真实标识的方式对需要非3GPP终端在通过空口发送给网络侧网 元，并要求无法识别用户i殳备的真实才示iK的网元(例如P-GW, PCRF )默认收到的是用户设备的真实标识，这样不仅限制了非3GPP 终端直接接入EPC网络，也为网元正确辨别用户设备埋下了隐患。

发明内容
考虑到相关技术中存在的非3GPP网络无法区分终端发送的用 户设备标识是否是用户设备的真实标识的问题而提出本发明，为此， 本发明的主要目的在于提供一种用户设备标识的获取方法及系统， 以解决上述问题。
才艮据本发明的一个方面，才是供一种用户设备标识的获取方法， 该方法基于移动IPv4协议。
根据本发明实施例的用户设备标识的获取方法包括认证授权 计费服务器与用户设备进行接入认证和授权，认证授权计费服务器 向非3GPP接入网的外部代理发送接入4妄受消息，并在接入接受消 息中携带用户设备的真实标识；
在认证授权计费服务器与分组数据网网关的认证过程中，认证 授权计费服务器验证用户设备标识为伪用户设备标识的情况下，将 用户设备的真实标识发送给分组数据网网关。
12才艮据本发明的一个方面，还4是供一种用户设备标识的获取方法，
该方法基于移动IPv6 i"办i义。
根据本发明实施例的用户设备标识的获取方法包括在认证授 权计费服务器与分组数据网网关的认证过程中，认证授权计费服务 器验证用户设备标识为伪用户设备标识的情况下，将用户设备的真 实标识发送^会分组凝:据网网关。
根据本发明的一个方面，还提供一种用户设备标识的获取方法， 该方法基于双栈移动IP协议。
才艮据本发明实施例的用户设备标识的获取方法包括认证授权 计费服务器与用户设备进行接入认证和授权，认证授权计费服务器 向非3GPP接入网发送接入接受消息，并在接入4妾受消息中携带用 户i殳备的真实标识；
在认证授权计费服务器与分组数据网网关的认证过程中，认证 授权计费服务器验证用户设备标识为伪用户设备标识的情况下，将 用户设备的真实标识发送给分组数据网网关。
根据本发明的另 一个方面，提供一种认证授权计费服务器。
根据本发明实施例的认证授权计费服务器包括认证授权计费 服务器用于与用户设备进行接入认证和授权，获得用户设备的真实 标识，向非3GPP接入网发送接入接受消息，并在接入接受消息中 携带用户设备的真实标识。
才艮据本发明的另一个方面，4是供一种分组教:据网网关。
根据本发明实施例的分组数据网网关包括分组数据网网关用 于在与认证授权计费服务器的认证过程中，向认证授权计费服务器发送请求消息，并在请求消息中携带分组数据网网关接收到的用户 设备发送的用户设备标识，用以认证授权计费服务器验证用户设备
标识是否是用户设备的真实标识；以及用于在认证授权计费服务器 验证失败的情况下，接收来自的认证授权计费服务器发送的用户设 备的真实标识。
根据本发明的另一个方面，提供一种策略和计费控制功能实体。
才艮据本发明实施例的策略和计费控制功能实体包括策略和计 费控制功能实体用于接收非3GPP接入网发送的会话建立消息，会 话建立消息中携带用户设备的真实标识，其中，用户设备的真实标 识为非3GPP接入网从认证授权计费服务器获取的；并根据接收到 的会话建立消息，获取用户设备的真实标识。
才艮据本发明的另 一个方面，4是供一种用户i殳备标识的获取系统。
根据本发明实施例的用户设备标识的获取系统包括包括认证 授权计费服务器、非3GPP接入网、分组数据网网关和策略和计费 控制功能实体，其中，认证授权计费服务器用于与用户设备进行接 入认证和授权，获得用户设备的真实标识，向非3GPP接入网发送 接入接受消息，并在接入接受消息中携带用户设备的真实标识；非 3GPP接入网用于接收认证授权计费服务器发送的接入接受消息， 并获取用户设备的真实标识；分组数据网网关用于在与认证授权计 费服务器的认证过程中，向认证授权计费服务器发送请求消息，并 在请求消息中携带分组数据网网关接收到的用户设备发送的用户设 备标识，用以认证授权计费服务器验证用户设备标识是否是用户设 备的真实标识；以及用于在认证授权计费服务器-睑证失败的情况下， 接收来自的认证授权计费服务器发送的用户设备的真实标识；策略 和计费控制功能实体用于接收非3GPP接入网发送的会话建立消 息，会话建立消息中携带用户设备的真实标识，其中，用户设备的
14真实标识为非3GPP接入网从认证授权计费服务器获取的；并根据 接收到的会话建立消息，获取用户设备的真实标识。
通过本发明的至少一个实施例，在终端入网流程的不同阶革殳， 非3GPP接入网、3GPP系统的相关网元分别与认证授权计费服务器 进行交互认证，从认证授权计费服务器获取用户设备的真实标识， 确保了非3GPP终端能够直接接入EPC网络。


附图用来提供对本发明的进一步理解，并且构成i兌明书的一部 分，与本发明的实施例一起用于解释本发明，并不构成对本发明的 限制。在附图中
图1是根据相关技术的非3GPP接入网与3GPP的EPC网络互 通的网纟各架构图2是根据相关技术的移动IPv4模式下用户设备标识的获取方 法流程图3是根据相关技术的移动IPv6模式下用户设备标识的获取方 法流程图4是根据相关技术的双栈移动IPv6模式下用户设备标识的获 取方法流禾呈图5是根据本发明方法实施例一的用户设备标识的获取方法的 流程图6是根据本发明方法实施例一的用户设备标识的获取方法的 详细处理流禾呈图；图7是根据本发明方法实施例二的用户设备标识的获取方法的 详细处理流程图8是根据本发明方法实施例三的用户设备标识的获取方法的 流程图9是才艮据本发明方法实施例三的用户i殳备标识的获取方法的 详细处理流禾呈图10是根据本发明系统实施例的用户设备标识的获取系统的 结构框图。
具体实施例方式
下面将结合附图详细描述本发明。 方法实施例一
才艮据本发明实施例，才是供了一种用户i殳备标识的获取方法，该 方法基于移动IPv4协议。图5是根据本发明实施例的用户设备标识 的获取方法的流禾呈图，如图5所示，该方法包括以下步骤
步骤S502，认证授权计费服务器与用户设备进行接入认证和授 权，认证授权计费服务器向非3GPP接入网的外部代理发送接入接 受消息，并在接入接受消息中携带用户设备的真实标识；
步骤S504，在认证授权计费服务器与分组数据网网关的认证过 程中，认证授权计费服务器验证用户设备标识为伪用户设备标识的 情况下，将用户i殳备的真实标识发送给分组数据网网关。
通过本发明实施例提供的技术方案，在终端入网流程的不同阶 段，非3GPP接入网、3GPP系统的相关网元分别与认证授权计费服务器进行交互认证，乂人i人证:l受权计费服务器获取用户设备的真实标
识，确保了非3GPP终端能够直接接入EPC网络。
进一步地，该方法还包括外部代理接收到接入接受消息，获 取用户设备的真实标识，向策略和计费控制功能实体发送会话建立 信息，并在会话建立信息中携带用户设备的真实标识；策略和计费 控制功能实体接收会话建立信息，并获取用户设备的真实标识；
其中，认证4受4又计费服务器与分组数据网网关的i人证过程具体 包括认证授权计费服务器接收来自分组数据网网关的接入请求， 其中，接入请求中携带有分组数据网网关接收到的用户设备发送的 用户i殳备才示识。
进一步地，该方法还包括分组凄t据网网关向策略和计费控制 功能实体发送会话建立请求，并在会话建立请求携带用户设备的真 实标识；策略和计费控制功能实体接收会话建立请求，才艮据用户设 备的真实标识，将用户设备的策略信息发送给分组数据网网关。
图6是根据本发明方法实施例基于移动IPv4模式下的用户设备 标识的获取方法的详细处理流程图，如图6所示，该方法包括以下 步骤
步骤S601，非3GPP的用户设备初始化接入网络，进行用户设 备的接入认证与授权；
步骤S601a，上述接入认证与授权流程完成后，AAA服务器向 非3GPP接入网的鉴权器发送AAA协议消息接入接受消息(即，上 文所述的接入接受消息)，该消息中携带该用户设备的真实标识，在 由于进行接入i人证与授权时，FA位于鉴4又器中，所以FA同时获得 了用户设备的真实标识；
17步骤S602，位于非3GPP接入网的FA向终端发送移动IP代理 通告；
步骤S603，终端收到代理通告后，向非3GPP接入网发送移动 IP注册请求(即，上文中提到的接入请求)，其中，该移动IP注册 请求携带用户设备标识，该用户设备标识可能是伪用户设备标识， 也可能是用户设备的真实标识，例如，传统的非3GPP终端可以使 用伪用户i殳备标识；
步骤S604，非3GPP接入网和PCRF交互完成网关会话建立过 程，在该过程中，非3GPP接入网将通过步骤S601a获得的真实用 户设备标识发送给PCRF,以标识用户设备；
步骤S605,位于非3GPP网络的FA将终端发起的移动IP注册 请求转发给P-GW，将来自于终端的用户设备标识转发给P-GW;
步骤S606, P-GW收到移动IP注册请求后，与AAA月良务器交 互，进行移动IP认证和授权，由于P-GW无法识别来自终端的用户 设备标识是否是用户设备的真实标识，因此在该移动IP认证和授权 过程中。P-GW向AAA服务器发送请求消息，其中，该请求消息中 携带来自于终端的用户设备标识；
步骤S606a， AAA服务器接收上述请求消息，获得来自终端的 用户设备标识，即P-GW获取的用户设备标识是否是用户设备的真 实标识；
步骤S606b,如果P-GW获取的用户设备标识为伪用户设备标 识，移动IP iU正与控^又流程完成后，AAA "l务器向P-GW发送AAA 协议消息接入接受消息，其中，该消息中携带用户设备的真实标识； 如果P-GW获取的用户设备标识为用户设备的真实标识，AAA服务
18器根据策略可以向P-GW发送用户设备的真实标识，也可以不向 P-GW发送用户设备的真实标识；
步骤S607, P-GW与AAA服务器交互进行P-GW地址的更新；
步骤S608, P-GW使用306b步骤中获取的真实用户设备标识 与PCRF交互，完成IP-CAN (IP连接接入网络)会话建立过程， 获取用户设备的策略；
步骤S609， P-GW发送移动IP注册响应消息给FA，完成移动 IP注册纟充禾呈；
步-骤S610,非3GPP^妄入网与PCRF交互完成网关会i舌策略提 供过程；
步骤S611， FA将移动IP注册响应消息转发给终端，完成移动 IP注册；
依照以上实施步骤，FA和P-GW均可以通过与AAA服务器认 证授权流程，从AAA服务器获得正确的用户设备的真实标识来标 识用户设备，确保了非3GPP终端能够直接接入EPC网络。
方法实施例二
根据本发明实施例，提供了一种用户设备标识的获取方法，该 方法基于移动IPv6协议，该方法包括以下步骤在认证授权计费服 务器与分组数据网网关的认证过程中，认证授权计费服务器验证用 户设备标识为伪用户设备标识的情况下，将用户设备的真实标识发 送给分组数据网网关。进一步地，该方法还包括分组数据网网关向策略和计费控制 功能实体发送会话建立请求，并在会话建立请求携带用户设备的真 实标识；策略和计费控制功能实体4妄收会话建立请求，才艮据用户设 备的真实标识，将用户设备的策略信息发送给分组数据网网关。
图7是根据本发明方法实施例的基于移动IPv6模式下用户设备 标识的获取方法的详细处理流禾呈图，如图7所示，该方法包4舌以下 步骤
步骤S701，非3GPP用户设备初始化接入网络，进行用户设备 的4妄入iU正与授谗又；
步骤S701a，上述接入认证与授权流程完成后，AAA服务器向 非3GPP接入网的MAG发送AAA协议消息接入接受消息(即，上 文所述的4妄入4妄受消息)，在该消息中携带该用户"i殳备的真实标识；
步骤S702，终端发起层3接入触发流程，不支持移动IP的终 端可以通过DHCP (动态主机配置协议)流程来触发层3的接入；
步骤S703，非3GPP接入网和PCRF交互完成网关会话建立过 程，在该过程中，非3GPP接入网将通过步骤S901a获得的真实用 户设备标识发送给PCRF ，以标识用户设备；
步骤S704,位于非3GPP网络的MAG向P-GW发送代理绑定 更新请求，才艮据本地策略，MAG在该代理绑定更新请求中可以不 携带终端的真实用户设备标识；
步骤S705， P-GW收到移动IP注册请求后，与AAA服务器交 互，进行移动IP认证和授权，由于P-GW无法识别来自终端的用户 设备标识是否是用户设备的真实标识，因此在该移动IP认证和授权
20过程中。P-GW向AAA服务器发送请求消息，其中，该请求消息中 携带来自于终端的用户设备标识；
步骤S705a, AAA服务器接收上述请求消息，获得来自终端的 用户i殳备标识，即P-GW获耳又的用户i殳备标识是否是用户i殳备的真 实标识；
步骤S705b,如果P-GW获取的用户i殳备标识为伪用户i殳备标 识，移动IP认证与授权流程完成后，AAA服务器向P-GW发送AAA 协议消息接入接受消息，其中，该消息中携带用户设备的真实标识； 如果P-GW获取的用户设备标识为用户设备的真实标识，AAA服务 器根据策略可以向P-GW发送用户设备的真实标识，也可以不向 P-GW发送用户设备的真实标识；
步骤S706, P-GW与AAA服务器交互进行P-GW地址的更新；
步骤S707, P-GW使用505b步骤中获取的真实用户设备标识 与PCRF交互，完成IP-CAN会话建立过程，获取用户设备的策略；
步骤S708, P-GW发送代理绑定更新响应消息给MAG，完成 代理移动IP注册流程；
步骤S709,非3GPP4妄入网与PCRF交互完成网关会话策略才是 供过程；
步骤S710,终端与非3GPP接入网交互完成层3接入。
依照以上实施步骤，非3GPP终端通过非3GPP接入网通过S2a 接口接入EPC网络，S2a接口上的协议为代理移动IP6，使用P-GW 与AAA服务器认证授权流程，使得没有从MAG获得用户设备的真 实标识的P-GW获4寻用户i殳备的真实标识，用以标识用户i殳备。方法实施例三
根据本发明实施例的提供了 一种用户设备标识的获取方法，该
方法基于双栈移动IP协i义，图8是该方法的流程图，如图8所示， 该方法包4舌以下步骤
步骤S802，认证授权计费服务器与用户设备进行接入认证和授 权，认证授权计费服务器向非3GPP接入网发送接入接受消息，并 在接入接受消息中携带用户设备的真实标识；
步骤S804,在认证授权计费服务器与分组数据网网关的认证过 程中，认证授权计费服务器验证用户设备标识为伪用户设备标识的 情况下，将用户设备的真实标识发送给分组数据网网关。
通过本发明实施例提供的技术方案，在终端入网流程的不同阶 段，非3GPP接入网、3GPP系统的相关网元分别与认证授权计费服 务器进行交互认证，从认证授权计费服务器获取用户设备的真实标 识，确保了非3GPP终端能够直接接入EPC网络。
该方法还包括非3GPP接入网接收到接入接受消息，获取用 户设备的真实标识，向策略和计费控制功能实体发送会话建立信息， 并在会话建立信息中携带用户设备的真实标识；策略和计费控制功 能实体接收会话建立信息，并获取用户设备的真实标识。
其中，认证4受4又计费服务器与分组数据网网关的认证过程具体 包括认证授权计费服务器接收来自分组数据网网关的建立安全联 盟请求，其中，建立安全联盟请求中携带有分组数据网网关接收到 的用户设备发送的用户设备标识。
进一步地，该方法还包括分组翁:据网网关向策略和计费控制 功能实体发送会话建立请求，并在会话建立请求携带用户设备的真实标识；策略和计费控制功能实体接收会话建立请求，根据用户设 备的真实标识，将用户设备的策略信息发送给分组数据网网关。
图9是根据本发明方法实施例的基于双栈移动IP才莫式下用户设 备标识的获取方法的详细处理流程图，如图9所示，该方法包括以 下步骤
步骤S901，非3GPP用户设备初始化接入网络，进行用户i殳备 的4妄入iU正与授4又；
步骤S901a,上述接入认证与授权流程完成后，AAA服务器向 非3GPP接入网发送AAA协议消息接入接受消息(即，上文所述的 接入接受消息)，在该消息中携带该用户i殳备的真实标识；
步骤S902,终端在非3GPP接入网发起层3接入流程并获取本 地IP地址；
步骤S903,非3GPP接入网和PCRF交互完成网关会话建立过 程，在该过程中，非3GPP接入网将通过步骤S901a获得的真实用 户设备标识发送给PCRF，以标识用户i殳备；
步骤S904，终端与P-GW建立安全联盟，在安全联盟建立过程 中，终端向P-GW发送建立安全联盟请求，该安全联盟请求中携带 用户i殳备标识，该用户i殳备标识可能是伪用户i殳备标识，也可能是 用户设备的真实标识，例如传统的终端发送的是伪用户设备标识；
步骤S905,在安全耳关盟建立过程中，P-GW与AAA月良务器交 互，进行认证和授权，由于P-GW无法识别来自终端的用户设备标 识是否是用户设备的真实标识，因此在该移动IP认证和4受权过程 中。P-GW向AAA服务器发送请求消息，其中，该请求消息中携带 来自于终端的用户设备标识；步骤S905a AAA服务器接收上述请求消息，获得来自终端的用 户设备标识，即P-GW获取的用户设备标识是否是用户设备的真实 标识；
步骤S905b,如果P-GW获取的用户设备标识为伪用户设备标 识，移动IP认证与授权流程完成后，AAA服务器向P-GW发送AAA 协议消息接入接受消息，其中，该消息中携带用户设备的真实标识； 如果P-GW获取的用户设备标识为用户设备的真实标识，AAA服务 器才艮据策略可以向P-GW发送用户i殳备的真实标识，也可以不向 P-GW发送用户"i殳备的真实标识；
步骤S906,终端发起移动IP绑定流程，向P-GW发送移动IP 绑定更新请求；
步骤S907, P-GW使用705b步骤中获取的用户"i殳备的真实标 识与PCRF交互，完成IP-CAN会话建立过程，获取用户i殳备的策 略；
步骤S908, P-GW发送移动IP绑定更新响应消息纟合终端，完 成移动IP绑定流,呈。
依照以上实施步骤，非3GPP终端通过非3GPP接入网通过S2c 接口接入EPC网络，S2c接口上的协议为双栈移动IPv6,非3GPP 接入网和P-GW均可以通过与AAA服务器认证4受权流程，从AAA 服务器获得正确的真实用户设备标识，用以标识用户设备。
系纟克实施例
根据本发明实施例，提供了 一种用户设备标识的获取系统。图10是根据本发明实施例的用户设备标识的获取系统的结构 框图，如图IO所示，该系统包括认证授权计费服务器(AAA月l务 器)10、非3GPP接入网20、分组数据网网关(P-GW ) 30和策略 和计费控制功能实体(PCRF) 40，其中，
AAA服务器10用于与用户设备进行接入认证和授权，获得用 户设备的真实标识，向非3GPP接入网20发送接入接受消息，并在 接入接受消息中携带用户设备的真实标识；
非3GPP接入网20用于接收AAA服务器10发送的4妾入接受 消息，并获取用户设备的真实标识；
P-GW30用于在与AAA服务器10的认证过程中，向AAA服 务器10发送请求消息，并在请求消息中携带P-GW30接收到的用 户设备发送的用户设备标识，用以AAA服务器10验证用户设备标 识是否是用户设备的真实标识；以及用于在AAA服务器IO验证失 败的情况下，接收来自的AAA服务器10发送的用户设备的真实标 识；
PCRF40用于接收非3GPP接入网20发送的会话建立消息，会 话建立消息中携带用户设备的真实标识，其中，用户设备的真实标 识为非3GPP接入网从AAA服务器10获取的；并根据接收到的会 话建立消息，获取用户i殳备的真实标识。
另外，AAA服务器10还用于对P-GW发送的用户i殳备标识进 行-验证，并且在一^S正用户设备标识不是用户设备的真实标识的情况 下，将用户设备的真实标识发送到P-GW30;
接收P-GW30还用于向PCRF40发送会话建立请求，并在会话 建立请求携带用户设备的真实标识；PCRF40还用于接收P-GW30向其发送的会话建立请求，并才艮 据会话建立请求中携带的用户设备的真实标识，将用户设备的策略 信息发送给P-GW30。
通过本发明实施例提供的用户设备标识的获取系统，在终端入 网流程的不同阶段，非3GPP接入网、3GPP系统的相关网元分别与 认证3受4又计费H务器进行交互认证，从认证授权计费服务器获取用 户设备的真实标识，确保了非3GPP终端能够直接接入EPC网络。
根据本发明实施例，提供一种认证授权计费服务器(AAA服务 器)，该AAA服务器用于与用户设备进行接入认证和授权，获得用 户设备的真实标识，向非3GPP接入网发送接入接受消息，并在接 入接受消息中携带用户设备的真实标识，另外该AAA iR务器还用 于对P-GW发送的用户设备标识进行验证，并且在-验证用户设备标 识不是用户设备的真实标识的情况下，将用户设备的真实标识发送 到P匿GW。
才艮才居本发明实施例，才是供一种分组凄t才居网网关(P-GW)，该 P-GW用于在与AAA月l务器的认证过程中，向AAA月l务器发送讳-求消息，并在请求消息中携带P-GW接收到的用户设备发送的用户 设备标识，用以AAA服务器验证用户设备标识是否是用户设备的 真实标识；以及用于在AAA服务器验证失败的情况下，4妄收来自 的AAA服务器发送的用户设备的真实标识。
根据本发明实施例，提供 一 种策略和计费控制功能实体 (PCRF )，该PCRF用于接收非3GPP接入网发送的会话建立消息， 会话建立消息中携带用户设备的真实标识，其中，用户i殳备的真实 标识为非3GPP接入网从AAA服务器获取的；并根据接收到的会话 建立消息，获取用户设备的真实标识。
26如上所述，借助于本发明提供的用户设备标识的获取方法和/
或系统，位于非3GPP接入网的FA和位于3GPP网络的P-GW在入 网流程的不同阶段，通过与AAA服务器进行认证与授权流程的交 互，由AAA服务器下发用户设备的真实标识给相关网元，不仅可 以保证网络侧的网元可以准确获得真实用户设备标识，而且，不再 限制终端必须发送真实用户设备标识，使得传统非3GPP终端可以 直接接入3GPP的EPC网络。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明， 对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在 本发明的精神和原则之内，
权利要求
1. 一种用户设备标识的获取方法，基于移动IPv4协议，其特征在于，包括认证授权计费服务器与用户设备进行接入认证和授权，所述认证授权计费服务器向非3GPP接入网的外部代理发送接入接受消息，并在所述接入接受消息中携带所述用户设备的真实标识；在所述认证授权计费服务器与分组数据网网关的认证过程中，所述认证授权计费服务器验证所述用户设备标识为伪用户设备标识的情况下，将所述用户设备的真实标识发送给所述分组数据网网关。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括所述外部代理接收到所述接入接受消息，获取所述用户设 备的真实标识，向策略和计费控制功能实体发送会话建立信 息，并在所述会话建立信息中携带所述用户i殳备的真实标识；所述策略和计费控制功能实体接收所述会话建立信息，并 获取所述用户设备的真实标识。
3. 根据权利要求1或2所述的方法，其特征在于，所述认证授权 计费月l务器与分组数据网网关的iU正过程具体包括所述认证授权计费服务器接收来自所述分组数据网网关 的接入请求，其中，所述接入请求中携带有所述分组数据网网 关接收到的所述用户设备发送的用户设备标识。
4. 根据权利要求1或2所述的方法，其特征在于，所述方法还包 括所述分组数据网网关向所述策略和计费控制功能实体发 送会话建立请求，并在所述会话建立请求携带所述用户设备的 真实4示识；所述策略和计费控制功能实体接收所述会话建立请求，根 据所述用户设备的真实标识，将所述用户设备的策略信息发送 给所述分组教:据网网关。
5. —种用户设备标识的获取方法，基于移动IPv6协议，其特征 在于，包括在所述iU正4受4又计费服务器与分组凄t据网网关的认证过 程中，所述认证授权计费服务器验证所述用户设备标识为伪 用户设备标识的情况下，将所述用户设备的真实标识发送给所 述分组数据网网关。
6. 才艮据4又利要求5所述的方法，其特4正在于，所述方法还包括所述分组凝:据网网关向所述策略和计费控制功能实体发 送会话建立请求，并在所述会话建立请求携带所述用户设备的 真实标识；所述策略和计费控制功能实体接收所述会话建立请求，根 据所述用户设备的真实标识，将所述用户设备的策略信息发送 给所述分组凄史据网网关。
7. —种用户i殳备标识的获取方法，基于双栈移动IP协i义，其特 ;f正在于，包^舌认证授权计费服务器与用户设备进行接入认证和授权，所述认证授权计费服务器向非3GPP接入网发送接入接受消息， 并在所述接入接受消息中携带所述用户设备的真实标识；在所述i人证4受权计费月良务器与分组凄U居网网关的认i正过 程中，所述认证4受斥又计费ia务器-验证所述用户i殳备标识为伪用 户设备标识的情况下，将所述用户设备的真实标识发送给所述 分《且凄t才居网网关。
8. 根据权利要求7所述的方法，其特征在于，所述方法还包括所述非3GPP接入网接收到所述接入接受消息，获取所述 用户i殳备的真实标识，向策略和计费控制功能实体发送会话建 立信息，并在所述会话建立信息中携带所述用户设备的真实标 识；所述策略和计费控制功能实体接收所述会话建立信息，并 获取所述用户设备的真实标识。
9. 根据权利要求7或8所述的方法，其特征在于，所述认证授权 计费服务器与分组数据网网关的认证过程具体包括所述认证授权计费服务器接收来自所述分组数据网网关 的建立安全联盟请求，其中，所述建立安全联盟请求中携带有 所述分组凄史据网网关4妾收到的所述用户i殳备发送的用户设备 标识。
10. 根据权利要求7或8所述的方法，其特征在于，所述方法还包 括所述分组数据网网关向所述策略和计费控制功能实体发 送会话建立请求，并在所述会话建立请求携带所述用户设备的 真实标识；所述策略和计费控制功能实体接收所述会话建立请求，根 据所述用户设备的真实标识，将所述用户设备的策略信息发送 给所述分组数据网网关。
11. 一种认证授权计费服务器，其特征在于，所述认证授权计费服 务器用于与用户设备进行接入认证和授权，获得所述用户设备的真实标识，向非3GPP接入网发送接入接受消息，并在所述 接入接受消息中携带所述用户设备的真实标识。
12. 根据权利要求11所述的认证授权计费服务器，其特征在于， 所述认证4受4又计费服务器还用于对分组数据网网关发送的用 户设备标识进行验证，并且在-验证所述用户i殳备标识不是用户 设备的真实标识的情况下，将所述用户设备的真实标识发送到 所述分组凄t据网网关。
13. —种分组凄t据网网关，其特;f正在于，所述分組凄丈据网网关用于 在与认证授权计费服务器的认证过程中，向所述认证授权计费 服务器发送请求消息，并在所述请求消息中携带所述分组数据 网网关接收到的用户设备发送的用户设备标识，用以所述认证 授权计费服务器验证所述用户设备标识是否是用户设备的真 实标识；以及用于在所述认证授权计费服务器验证失败的情况 下，接收来自所述的认证授权计费服务器发送的所述用户设备 的真实标识。
14. 一种策略和计费控制功能实体，其特征在于，所述策略和计费 控制功能实体用于接收非3GPP接入网发送的会话建立消息， 所述会话建立消息中携带所述用户设备的真实标识，其中，所 述用户i殳备的真实标识为所述非3GPP4妄入网乂人i人i正4受斥又计费 服务器获取的；并根据接收到的所述会话建立消息，获取所述 用户i殳备的真实标识。
15. —种用户设备标识的获取系统，其特征在于，包括认证授权计 费服务器、非3GPP接入网、分组数据网网关和策略和计费控 制功能实体，其中，所述认证授权计费服务器用于与用户i殳备进行接入认证 和授权，获得所述用户设备的真实标识，向非3GPP接入网发 送接入接受消息，并在所述接入接受消息中携带所述用户设备 的真实才示识；所述非3GPP接入网用于接收所述认证授权计费服务器发 送的接入接受消息，并获取所述用户设备的真实标识；所述分组数据网网关用于在与认证授权计费服务器的认 证过程中，向所述认证授权计费服务器发送请求消息，并在所 述请求消息中携带所述分组数据网网关接收到的用户设备发 送的用户^殳备标识，用以所述^人证4受4又计费月良务器z验证所述用 户i殳备标识是否是用户i殳备的真实标识；以及用于在所述iU正 授权计费服务器验证失败的情况下，接收来自所述的认证授权 计费服务器发送的所述用户设备的真实标识；所述策略和计费控制功能实体用于接收非3GPP接入网发 送的会话建立消息，所述会话建立消息中携带所述用户设备的 真实标识，其中，所述用户设备的真实标识为所述非3GPP接 入网从认证授权计费服务器获取的；并根据接收到的所述会话 建立消息，获耳又所述用户设备的真实标识。
16. 根据权利要求15所述的用户设备标识的获取系统，其特征在 于，所述认证授权计费服务器还用于对分组数据网网关发送的 用户设备标识进行验证，并且在验证所述用户设备标识不是用 户设备的真实标识的情况下，将所述用户设备的真实标识发送 到所述分组数据网网关；所述4妄收分组凄t据网网关还用于向所述策略和计费控制 功能实体发送会话建立请求，并在所述会话建立请求携带所述用户i殳备的真实标识；所述策略和计费控制功能实体还用于4妄收分组凄t据网网 关向其发送的会话建立请求，并根据所述会话建立请求中携带 的所述用户设备的真实标识，将所述用户设备的策略信息发送 纟会所述分组凝:据网网关。
全文摘要
本发明公开了AAA服务器、P-GW、PCRF、用户设备标识的获取方法和系统，其中，用户设备标识的获取方法包括认证授权计费服务器与用户设备进行接入认证和授权，认证授权计费服务器向非3GPP接入网的外部代理发送接入接受消息，并在接入接受消息中携带用户设备的真实标识；在认证授权计费服务器与分组数据网网关的认证过程中，认证授权计费服务器验证用户设备标识为伪用户设备标识的情况下，将用户设备的真实标识发送给分组数据网网关。本发明还提供了认证授权计费服务器、分组数据网网关、策略和计费控制功能实体、用户设备标识的获取方法和系统。通过本发明，确保了非3GPP终端能够直接接入EPC网络。
文档编号H04W4/24GK101459904SQ20081012880
公开日2009年6月17日 申请日期2008年6月17日 优先权日2008年6月17日
发明者刘俊羿, 宗在峰, 霍玉臻 申请人:中兴通讯股份有限公司