专利名称:一种选择网关的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种选择网关的方法及装置。
背景技术:
第三代合作伙伴计划(3rdGeneration Partnership Pro ject,简称为 3GPP)演进的分组系统(Evolved Packet System,简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为 E-UTRAN)、移动管理单兀(Mobility Management Entity,简称为 MME)、服务网关(Serving Gateway,S-GW)、分组数据网络网关(PacketData Network Gateway,简称为 P-GW 或者 PDN GW)、归属用户服务器(HomeSubscriber Server,简称为HSS)、策略和计费规则功能(Policy andChargingRules Function,简称为PCRF)实体及其他支撑节点组成。 如图I所示,EPS系统支持与非3GPP系统的互通,其中,与非3GPP系统的互通通过S2a/S2b/S2c接口实现,3GPP与非3GPP系统间的锚点为P-GW。非3GPP系统被分为可信任非3GPP IP接入和不可信任非3GPP IP接入。可信任非3GPP IP接入可直接通过S2a接口与P-GW连接;不可信任非3GPP IP接入需经过演进的分组数据网关(Evolved Packet DataGateway,简称为ePDG)与PDN GW相连,ePDG与PDN Gff间的接口为S2b,S2c提供了 UE与P-Gff之间的用户面相关的控制和移动性支持,其支持的移动性管理协议为支持双栈的移动IPv6 (Mobile IPv6Support for Dual Stack Hostsand Routers,简称为 DSMIPv6)。图I中,MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作;S-GW是与E-UTRAN相连的接入网关设备,在E-UTRAN和P-GW之间转发数据,并且负责对寻呼等待数据进行缓存;P_GW则是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关,负责PDN的接入及在EPS与PDN间转发数据等功能;PCRF是策略和计费规则功能实体,它通过接收接口 Rx和运营商网络协议(Internet Protocol,简称为IP)业务网络相连,获取业务信息,此外,它通过Gx/Gxa/Gxc接口与网络中的网关设备相连,负责发起IP承载的建立,保证业务数据的服务质量(Quality of Service,简称为QoS),并进行计费控制。UE在通过不信任的接入系统连接到分组核心网(EPC,Evolved PacketCore)需要先选择一个合适的ePDG,当前技术UE选择ePDG的方式包括两种一种是UE通过本地配置信息查找ePDG,一种是通过DNS查询ePDG地址。UE通过DNS方式查询ePDG地址时,采用的是当前PLMN ID构成一个FQDN作为DNS的查询请求内容,此时可以获得对应PLMN范围内的ePDG地址。由此可见,当前ePDG的选择精度只保证在一个PLMN范围内,可能相对UE的距离会很远,可能会带来路由迂回等问题。比如,位于江苏省的UE选择的ePDG位于北京,而TON GW处于上海,这样位于江苏的UE的数据就要先发往北京的ePDG再到上海的TON Gff转发。同样选择I3DNGW时也有可能有相关问题,因为当前TON Gff是通过APN构造的FQDN进行DNS查询,不考虑位置因素。在实际网络部署方案中,UE可以通过固网接入系统连接到无线核心网,在接入认证过程中网络会决定固网接入系统是信任的接入网络还是不信任的接入网络。实际部署可能有两种情形I、UE 通过 WiFi AP(Wireless Fidelity Access Point WiFi 接入点)接A RG (Residential Gateway 家庭网关),通过 AN (Access Note 例如DSLAMDigitalSubscriber Line Access Multiplexer 数字用户线接入复用设备),接入 BRAS (BroadbandRemote Access Server 宽带接入服务器)/BNG (BroadbandNetwork Gateway),此时 UE 的 IP地址是由RG分配的,而RG的IP地址由BRAS/BNG分配,为节约地址空间,UE分得的地址可能是的私有地址,在此情况下RG要对UE的IP地址进行NAT转换。2、UE通过WiFi AP接入,通过AN接入BRAS/BNG,此时UE的IP地址是有BRAS/BNG分配的。同样为节约地址空间,BRAS/BNG为UE或是RG分配的IP地址也可 能是私有IP地址,此时BRAS/BNG也对UE的IP地址进行NAT转换。在上述两种情形下,同样存在如前所述的路由迂回问题。
发明内容
本发明要解决的技术问题是提供一种选择网关的方法及装置,避免出现路由迂回的问题。为解决上述技术问题,本发明提供了一种选择网关的方法,包括在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。进一步地,所述具有预配置的网关列表的网元包括第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关包括第二 ePDG ;所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括所述第一 ePDG向所述终端发送重新选择的第二 ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 ePDG发起IKEv2认证。进一步地,所述具有预配置的网关列表的网元包括第一分组数据网络网关(PDNGW),所述重新选择的支持IKEv2协议的网关包括第二 TON Gff ;所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括所述第一 TON GW向所述终端发送重新选择的第二 TON GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 TONGW发起IKEv2认证。进一步地,所述具有预配置的网关列表的网元包括3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者TON Gff ;所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括所述3GPP AAA服务器向所述终端的当前网关发送重新选择的网关的标识信息,所述终端的当前网关接收到所述重新选择的网关的标识信息后,在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。进一步地,所述网关列表中保存的与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关为与所述位置信息对应的与所述位置信息所指示位置最靠近的支持IKEv2协议的网关。进一步地,所述位置信息包括以下信息中的任意一种终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。进一步地,所述终端所处的接入网络的标识包括以下标识中的任意一种接入网络的服务集标识(SSID),终端所处的宏站的标识信息,终端所处的接入网络的地理位置信息,管辖所述终端的接入网关的地址信息。为解决上述技术问题,本发明还提供了一种选择网关的装置,所述装置上具有预配置的网关列表,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,所述装置包括第一单元,用于在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,获取终端的位置信息; 第二单元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关。进一步地,所述装置为第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关为第二 ePDG ;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二 ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 ePDG发起IKEv2认证。进一步地,所述装置为第一分组数据网络网关(PDN GW),所述重新选择的支持IKEv2协议的网关为第二 TON Gff ;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二 TON Gff的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二TON GW发起IKEv2认证。进一步地,所述装置为3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者TON Gff ;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。进一步地,所述位置信息包括以下信息中的任意一种终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。通过本发明实施例方法和装置,为终端选择合适的网关,避免出现路由迂回的问题,提高系统性能,提高了 ePDG/PDN GW的选择精度。
图I是EPS系统支持与非3GPP系统的互通架构图;图2是本发明实施例I的流程图;图3是本发明实施例2的流程图4是本发明实施例3的流程图;图5是本发明实施例4的流程图;图6是本发明实施例5的流程图;图7是本发明实施例6的流程图;
图8是本发明实施例7的流程图。
具体实施例方式为解决前述技术问题,本发明提供如下技术方案在终端接入EPC、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据预配置的网关列表为该终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。上述具有预配置的网关列表的网元包括ePDG,重新选择的支持IKEv2协议的网关包括ePDG ;或者具有预配置的网关列表的网元包括I3DN Gff,重新选择的支持IKEv2协议的网关包括TON Gff ;或者具有预配置的网关列表的网元包括3GPP AAA服务器,重新选择的支持IKEv2协议的网关包括ePDG或者I3DN GW。上述邻近所述位置信息所指示位置的支持IKEv2协议的网关是指该网关的位置与该位置信息所指示的位置之差小于一预设的门限值。优选为位置之差最小的网关,也就是说,优选地,根据该网关列表为终端重新选择距离该终端最近的支持IKEv2协议的网关。通过上述方法可以根据终端当前的位置信息为该终端选择一个靠近该终端的ePDGo在为所述终端重新选择网关之后,该具有预配置的网关列表网元(例如ePDG或PDN Gff)向该终端发送重新选择网关的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的网关发起IKEv2认证。当具有预配置的网关列表的网元为3GPP AAA服务器时,其先向终端当前的网关(ePDG或TON Gff)发送重新选择的网关的标识信息,终端当前网关收到该重新选择的网关标识信息后,构造指示信息,以指示终端向重新选择的网关发起IKEv2认证。上述位置信息包括以下信息中的任意一种终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。终端所处的接入网络的标识包括以下标识中的任意一种接入网络的SSID (Service SetIdentifier,服务集标识),终端所处的宏站的标识信息,终端所处的接入网络的地理位置信息(例如所处区域的邮政编码),管辖终端的接入网关的地址信息(例如BRAS/BNG的IP地址)。具有预配置的网关列表的网元可通过终端或者通过接入系统设备(例如WLAN接入网的AP、AC)获取到终端的位置信息。如果具有预配置的网关列表的网元为3GPP AAA服务器,那么其除了可以从BNG或BRAS处获得(参见实施例3和实施例6),还可以通过ePDG或TON GW获取终端位置信息,ePDG或TON GW可以在自身获取到终端的位置信息后,通过与3GPPAAA服务器之间的交互消息,将终端的位置信息通知给该3GPP AAA服务器。
实现上述方法的装置上应具有预配置的网关列表,该网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,该装置包括第一单元,用于在终端接入EPC、进行IKEv2交互的过程中,获取终端的位置信息;第二单元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关。优选地,该装置为第一 ePDG,该重新选择的支持IKEv2协议的网关为第二 ePDG。此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端发送重新选择的第二 ePDG的标识信息以及指示信息,该指示信息用于指示所述终端向重新选择的第二 ePDG发起IKEv2认证。 优选地,该装置为第一 TON Gff,该重新选择的支持IKEv2协议的网关为第二 I3DNGW。此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端发送重新选择的第二 TON Gff的标识信息以及指示信
肩、O优选地,该装置为3GPP AAA服务器,该重新选择的支持IKEv2协议的网关包括ePDG 或者 PDN GW。此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,该指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。为完成网关重定向,当UE通过非信任的3GPP接入EPC时,UE首先会和ePDG建立IKEv2安全联盟完成IPSec隧道的建立,从而确保穿越非信任的接入系统的时候在IETF定义了 IKEv2 的重定向机制(RedirectMechanism for the IKEv2)RFC5685,通过该机制可以在IKE_SA_INIT (因特网密钥交换协议安全联盟初始化),IKE_AUTH (因特网密钥交换认证)过程中或者IKEv2会话建立完成后实现IKEv2Server的重定向。在3GPP场景下,可以看做ePDG把UE重定向到另外一个ePDG ;在3GPP S2c场景下,可以看做I3DN Gff(HA)把UE重定向到另外一个I3DN Gff (HA) o实施例I如图2所示,UE通过非信任的非3GPP接入系统连接到EPC,该流程中,UE和演进分组数据网关(eTOG)在创建因特网密钥交换协议(IKEv2)隧道过程中,ePDG根据UE的IP地址或UE的IP地址所属的IP网段地址为UE选择一个靠近的ePDG,接着ePDG通过IKEv2重定向机制将UE重定向到对应的ePDG。步骤201 UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;步骤202 UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等。步骤203 UE通过ePDG和AAA服务器进行的身份认证信息的交互;步骤204 UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战;步骤205 ePDG根据UE的IP地址或UE的IP地址所属的IP网段地址以及预先配置的网关列表为UE选择一个靠近的ePDG ;如果所选择的ePDG即为当前的eTOG,则不用再进行重定向,按正常流程继续执行即可。如果规定根据UE的IP地址选择新网关,则ePDG上预配置的网关列表至少包括IP地址以及各IP地址对应的靠近该些IP地址的ePDG的标识信息;如果规定根据UE的IP地 址所属的IP网段选择新网关,则ePDG上预配置的网关列表至少包括IP网段信息以及每个IP网段对应的靠近该网段的ePDG的标识信息;如果没有规定选择新网关的依据,则ePDG上可以配置包括IP地址、IP网段信息以及ePDG标识信息三者对应关系的网关列表,以保证能根据所获得的任何信息为终端选择ePDG。上述靠近IP地址或靠近IP网段的ePDG优选为与该IP地址或IP网段距离最近的ePDG,如果有多个距离最近的网关,则可以通过轮询的方式选择,或者采用随机选择的方式进行选择。步骤206 ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的ePDG身份信息,可以是ePDG的IPv4或IPv6 地址,也可以是 FQDN(Fully Qualified Domain Name,完全限定域名)。步骤207 UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec (IP安全)隧道。实施例2如图3所示,UE通过非信任的非3GPP接入系统连接到EPC,该流程中,UE和演进分组数据网关(eTOG)在创建因特网密钥交换协议(IKEv2)隧道过程中,ePDG根据UE提供的位置相关信息为UE选择一个靠近的ePDG,接着ePDG通过IKEv2重定向机制将UE重定向到对应的ePDG。步骤301 UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;步骤302 UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;步骤303 UE通过ePDG和AAA服务器进行的身份认证信息的交互;步骤304 :UE 发送包含 EAP (Extension Authentication Protocol,可扩展的身份验证协议)消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战,同时UE将所处接入网络的标识信息作为位置信息包含在该消息中;上述接入网标识信息包含但不限于UE所处地区对应的宏基站标识,或者所处WLAN网络的SSID,或者所处区域的邮政编码等,UE如何获得位置相关信息本发明不做限制。步骤305 ePDG根据UE提供的位置信息以及预配置的网关列表为UE选择一个靠近的eTOG ;在本实施例中,ePDG上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息。如实施例I中所述,可以根据规定终端发送的位置信息的内容来配置网关列表,也可以配置一个大容量网关列表,不论终端发送具体哪种位置信息,均可为该终端选择到靠近的ePDG。步骤306 ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的ePDG身份信息,可以是ePDG的IPv4或IPv6地址,也可以是FQDN ;步骤307 UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。在其他实施例中,ePDG也可从网络侧(如3GPPAAA服务器)获取UE的位置相关信息。例如,步骤301中,UE连接到非3GPP接入系统进行非3GPP接入的认证授权的过程中,非3GPP接入网可以将UE所处的接入网的位置信息上报给非3GPP AAA服务器。 实施例3图4为用户设备通过WLAN接入系统连接到EPC获取ePDG信息的流程图。这里图中显不了 WLAN 系统的 AP (Wireless Fidelity Access Point WiFi 接入点)/AC(AccessController), RG (Residential Gateway 家庭网关)以及接入 BRAS (Broadband RemoteAccess Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网兀。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。具体流程如下。步骤401 :用户设备建立到WLAN接入系统的无线连接,建立三层连接,BRAS/BNG为用户设备分配IP地址;步骤402 UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG,3GPP AAA Server在此流程中也可以从BNG或BRAS (简写为BNG/BRAS)处获取UE所处的接入系统的位置信息;步骤403 UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;步骤404 UE通过ePDG和AAA服务器进行的身份认证信息的交互;步骤405 UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战;步骤406 ePDG将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器;步骤407 3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的ePDG ;在本实施例中,3GPP AAA上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息,优选为距离最近ePDG。步骤408,3GPP AAA服务器向ePDG返回认证回答,在该认证回答中携带所选择的ePDG的标识信息,例如可以是ePDG的IPv4或IPv6地址,也可以是FQDN ;步骤409 ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和从3GPP AAA服务器收到的新的ePDG身份信息;ePDG判断认证回答中携带有ePDG的标识信息,则构造重定向指示信息携带在IKE_AUTH响应消息中,同时还将该新的ePDG的标识信息通过IKE_AUTH响应消息发送给终端。步骤410 UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。实施例4如图5所示,UE使用DSMIPv6双栈IPv6移动管理协议通过信任的非3GPP接入系统初始连接到EPC,UE须执行DSMIPv6的启动流程,在该流程中,UE须和分组数据网络网关(PDN Gff)在创建因特网密钥交换协议(IKEv2)隧道,PDN GW根据UE的IP地址或IP网段地址为UE重新选择一个距离UE更近的TON Gff,接着TON Gff通过IKEv2重定向机制将UE 重定向到对应的I3DN GW。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。步骤501 UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;步骤502 UE获取本地接入网的IP地址,建立三层连接,根据DNS查询结果选择要连接的PDN Gff (具有Home Agent功能的PDN Gff);步骤503 UE和TON Gff交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;步骤504 UE通过TON Gff和3GPP AAA服务器进行的身份认证信息的交互;步骤505 UE向TON Gff发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息,响应身份认证交互过程中收到的认证挑战;步骤506 PDN Gff根据UE的IP地址或UE的IP地址所属的IP网段地址以及预先配置的网关列表为UE选择一个靠近的新的TON Gff ;如果规定根据UE的IP地址选择,则TON Gff上预配置的网关列表至少包括IP地址以及各IP地址对应的靠近该些IP地址的I3DN Gff的标识信息;如果规定根据UE的IP地址所属的IP网段地址选择,则TON GW上预配置的网关列表至少包括网段信息以及每个IP网段对应的靠近该网段的TON GW的标识信息;如果没有选择所依据的内容,则PDN GW上可以配置包括IP地址、网段信息以及TON GW标识信息三者对应关系的网关列表,以保证能够为所有终端选择新的TON Gl步骤507 PDN Gff通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的TON GW身份信息,可以是TON GW的IPv4或IPv6地址,也可以是PDN Gff的FQDN ;步骤508 UE根据重定向指示信息向新的TON Gff发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。实施例5图6为用户设备使用DSMIP作为移动管理协议通过WLAN接入系统连接到EPC的流程图。这里图中显不了 WLAN系统的AP (Wireless FidelityAccess Point WiFi接入点)/AC (Access Controller), RG (Residential Gateway 家庭网关)以及接入 BRAS (BroadbandRemote Access Server 宽带接入服务器)/BNG (Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。步骤601 UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络,BRAS/BNG向UE分配本地IP地址;步骤602 UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG ;步骤603 :UE向ePDG发起建立安全联盟,建立IPSec隧道,确保UE到ePDG之间的报文的安全;步骤604 UE向TON Gff发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请 求消息,响应身份认证交互过程中收到的认证挑战,UE将BRAS/BNG的IP地址或所处WLAN网络的位置信息(例如SSID)包含在该报文中;步骤605 PDN Gff根据收到的位置信息查询距离UE最近的TON Gff,如果发现本身不是距离UE最近的TON Gff,则准备通过IKEv2重定向功能将UE重新导向对应的I3DN Gff ;步骤606 PDN Gff通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的TON GW身份信息,可以是TON GW的IPv4或IPv6地址,也可以是PDN Gff的FQDN ;步骤607 UE根据重定向指示信息向新的TON Gff发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。实施例6图7为用户设备使用DSMIP作为移动管理协议通过WLAN接入系统连接到EPC的流程图。这里图中显不了 WLAN系统的AP (Wireless FidelityAccess Point WiFi接入点)/AC (Access Controller), RG (Residential Gateway 家庭网关)以及接入 BRAS (BroadbandRemote Access Server 宽带接入服务器)/BNG (Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。步骤701 UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络,BRAS/BNG向UE分配本地IP地址;步骤702 UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG,BRAS/BNG将WLAN接入网的位置信息发送给AAA服务器;步骤703 :UE向ePDG发起建立安全联盟,建立IPSec隧道,确保UE到ePDG之间的报文的安全;步骤704 UE向TON Gff发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息,响应身份认证交互过程中收到的认证挑战;步骤705 PDN Gff将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器;步骤706 3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的新的PDN Gff ;在本实施例中,3GPP AAA服务器上预配置的网关列表包括UE所处的WLAN的位置相关信息和邻近该位置的F1DN Gff的标识信息。步骤707,3GPP AAA服务器向TON GW返回认证回答,在该认证回答中携带所选择的新的I3DN Gff的标识信息,例如可以是I3DN Gff的IPv4或IPv6地址,也可以是FQDN ;步骤708 PDN Gff通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的TON GW身份信息,可以是TON GW的IPv4或IPv6地址,也可以是PDN Gff的FQDN完全域名;
步骤709 UE根据重定向指示信息向新的TON Gff发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。实施例7图8为用户设备通过WLAN接入系统连接到EPC获取ePDG信息的流程图。这里图中显不了 WLAN 系统的 AP (Wireless Fidelity Access Point WiFi 接入点)/AC(AccessController), RG (Residential Gateway 家庭网关)以及接入 BRAS (Broadband RemoteAccess Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网兀。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。具体流程如下。步骤801 :用户设备建立到WLAN接入系统的无线连接,建立三层连接,BRAS/BNG为用户设备分配IP地址;步骤802 UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG ;步骤803 UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;步骤804 UE通过ePDG和AAA服务器进行的身份认证信息的交互;步骤805 UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战,UE将BRAS/BNG的IP地址包含在该报文中发送给ePDG ;步骤806 ePDG将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器,消息中包含了步骤805中的BNG/BRAS的IP地址作为UE当前位置信息发送给3GPPAAA服务器;步骤807 3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的ePDG ;在本实施例中,3GPP AAA上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息,优选为距离最近ePDG。步骤808,3GPP AAA服务器向ePDG返回认证回答,在该认证回答中携带所选择的ePDG的标识信息,例如可以是ePDG的IPv4或IPv6地址,也可以是FQDN ;步骤809 ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和从3GPP AAA服务器收到的新的ePDG身份信息;ePDG判断认证回答中携带有ePDG的标识信息,则构造重定向指示信息携带在IKE_AUTH响应消息中,同时还将该新的ePDG的标识信息通过IKE_AUTH响应消息发送给终端。步骤810 UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。 当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种选择网关的方法,包括 在終端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述終端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。
2.如权利要求I所述的方法,其特征在干 所述具有预配置的网关列表的网元包括第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关包括第二 ePDG ; 所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括 所述第一 ePDG向所述终端发送重新选择的第二 ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 ePDG发起IKEv2认证。
3.如权利要求I所述的方法,其特征在干 所述具有预配置的网关列表的网元包括第一分组数据网络网关(PDNGW),所述重新选择的支持IKEv2协议的网关包括第二 I3DN Gff ; 所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括 所述第一 TON GW向所述终端发送重新选择的第二 TON GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 TONGW发起IKEv2认证。
4.如权利要求I所述的方法,其特征在于 所述具有预配置的网关列表的网元包括3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者TON Gff ; 所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括 所述3GPP AAA服务器向所述终端的当前网关发送重新选择的网关的标识信息,所述终端的当前网关接收到所述重新选择的网关的标识信息后,在向所述终端发送的消息中携帯所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
5.如权利要求I所述的方法,其特征在干 所述网关列表中保存的与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关为 与所述位置信息对应的与所述位置信息所指示位置最靠近的支持IKEv2协议的网关。
6.如权利要求1-5中任ー权利要求所述的方法,其特征在于 所述位置信息包括以下信息中的任意ー种 終端当前的IP地址,終端当前IP地址所属的IP网段地址,終端所处的接入网络的标识。
7.如权利要求6所述的方法,其特征在于 所述终端所处的接入网络的标识包括以下标识中的任意ー种接入网络的服务集标识(SSID),終端所处的宏站的标识信息,終端所处的接入网络的地理位置信息,管辖所述終端的接入网关的地址信息。
8.一种选择网关的装置,其特征在于,所述装置上具有预配置的网关列表,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,所述装置包括 第一単元,用于在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,获取终端的位置信息; 第二単元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述終端重新选择支持IKEv2协议的网关。
9.如权利要求8所述的装置,其特征在于 所述装置为第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关为第二 ePDG ; 所述装置还包括第三単元,其用于在所述第二単元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二 ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 ePDG发起IKEv2认证。
10.如权利要求8所述的装置,其特征在干 所述装置为第一分组数据网络网关(PDN GW),所述重新选择的支持IKEv2协议的网关为第二 PDN Gff ; 所述装置还包括第三単元,其用于在所述第二単元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二 TON Gff的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二 TON Gff发起IKEv2认证。
11.如权利要求8所述的装置,其特征在干 所述装置为3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者PDN Gff ; 所述装置还包括第三単元,其用于在所述第二単元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携帯所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
12.如权利要求8-11中任ー权利要求所述的装置,其特征在于 所述位置信息包括以下信息中的任意ー种終端当前的IP地址,終端当前IP地址所属的IP网段地址,終端所处的接入网络的标识。
全文摘要
本发明公开了一种选择网关的方法及装置,避免出现路由迂回的问题。所述方法包括在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。通过本发明方法和装置,为终端选择合适的网关,避免出现路由迂回的问题,提高系统性能,提高了ePDG/PDNGW的选择精度。
文档编号H04W12/06GK102781004SQ20111012006
公开日2012年11月14日 申请日期2011年5月10日 优先权日2011年5月10日
发明者周星月, 朱春晖 申请人:中兴通讯股份有限公司