多PDN连接的建立方法、装置及系统与流程

本发明涉及通信技术领域，特别是指一种多pdn连接的建立方法、装置及系统。

背景技术：

ue(userequipment，用户终端)运行业务时，需要建立pdn(packetdatanetwork，公用数据网)连接网络。当ue同时运行多个业务时，就可能需要多pdn连接，同时建立2个、甚至更多个pdn连接。

目前，现有技术支持ue通过epdg(evolvedpacketdatagateway，演进的分组数据网关)建立多pdn连接。现有技术在建立多pdn连接时，ue通过epdg建立首次的pdn连接，之后ue可以通过epdg继续建立新的pdn连接。建立新的pdn连接，其流程和首次建立pdn连接基本一致。在每次建立pdn连接时，首先，ue发起隧道建立请求；然后，ue、epdg、aaa(authentication,authorization，accounting，网络安全系统)之间进行多次交互完成认证和授权；最后，epdg选择pgw(pdngateway，分组数据网网关)创建会话，建立新的pdn连接。可以看出，现有技术建立多pdn连接的流程比较复杂。

技术实现要素：

本发明要解决的技术问题是提供一种多pdn连接的建立方法、装置及系统，能够简化建立多pdn连接的流程。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种多公用数据网pdn连接的建立方法，包括：

用户终端使用已建立的pdn连接的主会话密钥msk，计算产生认证参数，同时增加已建立的pdn连接的安全参数索引spi信息；

所述用户终端将所述认证参数和增加的spi信息发送给演进的分组数据网关epdg；

所述用户终端接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的分组数据网网关pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的。

进一步地，所述用户终端使用已建立的pdn连接的msk之前还包括：

所述用户终端在建立首个pdn连接时，接收网络安全系统aaa授权的所有接入点信息。

本发明实施例还提供了一种多公用数据网pdn连接的建立方法，包括：

演进的分组数据网关epdg接收用户终端发送的携带有认证参数和增加的安全参数索引spi信息的鉴权请求消息；

所述epdg根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数；

所述epdg选择分组数据网网关pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址；

所述epdg向所述用户终端返回ip地址。

进一步地，所述epdg接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息之前还包括：

所述epdg接收所述用户终端发送的隧道建立请求；

所述epdg向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

本发明实施例还提供了一种多公用数据网pdn连接的建立装置，包括：

第一处理模块，用于使用已建立的pdn连接的主会话密钥msk，计算产生认证参数，同时增加已建立的pdn连接的安全参数索引spi信息；

第一发送模块，用于将所述认证参数和增加的spi信息发送给演进的分组数据网关epdg；

第一接收模块，用于接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的分组数据网网关pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的。

进一步地，所述第一接收模块还用于在建立首个pdn连接时，接收网络安全系统aaa授权的所有接入点信息。

本发明实施例还提供了一种多公用数据网pdn连接的建立装置，包括：

第二接收模块，用于接收用户终端发送的携带有认证参数和增加的安全参数索引spi信息的鉴权请求消息；

验证模块，用于根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数；

第二处理模块，用于选择分组数据网网关pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址；

第二发送模块，用于向所述用户终端返回ip地址。

进一步地，

所述第二接收模块还用于在所述用户终端建立首个pdn连接后，接收所述用户终端发送的隧道建立请求；

所述第二发送模块还用于向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

本发明实施例还提供了一种多公用数据网pdn连接的建立系统，包括：

用户终端，用于使用已建立的pdn连接的主会话密钥msk，计算产生认证参数，同时增加已建立的pdn连接的安全参数索引spi信息，将所述认证参数和增加的spi信息发送给演进的分组数据网关epdg，接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的分组数据网网关pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的；

所述epdg，用于接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息，根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数，选择分组数据网网关pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址，向所述用户终端返回ip地址。

进一步地，所述用户终端还用于在建立首个pdn连接时，接收网络安全系统aaa授权的所有接入点信息；

所述epdg，还用于在所述用户终端建立首个pdn连接后，接收所述用户终端发送的隧道建立请求，向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

本发明的实施例具有以下有益效果：

通过本发明的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

附图说明

图1为现有技术建立多pdn连接的信令交互示意图；

图2为本发明实施例建立多pdn连接的信令交互示意图；

图3本发明实施例扩展的ikev2信令负荷的示意图。

具体实施方式

为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明的实施例针对现有技术中建立多pdn连接的流程比较复杂的问题，提供一种多pdn连接的建立方法、装置及系统，能够简化建立多pdn连接的流程。

本发明实施例提供了一种多pdn连接的建立方法，包括：

用户终端使用已建立的pdn连接的msk(mastersessionkey，主会话密钥)，计算产生认证参数，同时增加已建立的pdn连接的spi(securityparameterindex，安全参数索引)信息；

所述用户终端将所述认证参数和增加的spi信息发送给epdg；

所述用户终端接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的。

通过本实施例的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

进一步地，所述用户终端使用已建立的pdn连接的msk之前还包括：

所述用户终端在建立首个pdn连接时，接收aaa(authentication,authorization，accounting，网络安全系统)授权的所有接入点信息。

本发明实施例还提供了一种多pdn连接的建立方法，包括：

epdg接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息；

所述epdg根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数；

所述epdg选择pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址；

所述epdg向所述用户终端返回ip地址。

通过本实施例的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

进一步地，所述epdg接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息之前还包括：

所述epdg接收所述用户终端发送的隧道建立请求；

所述epdg向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

本发明实施例还提供了一种多pdn连接的建立装置，包括：

第一处理模块，用于使用已建立的pdn连接的msk，计算产生认证参数，同时增加已建立的pdn连接的spi信息；

第一发送模块，用于将所述认证参数和增加的spi信息发送给epdg；

第一接收模块，用于接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的。

通过本实施例的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

进一步地，所述第一接收模块还用于在建立首个pdn连接时，接收网络安全系统aaa授权的所有接入点信息。

本发明实施例还提供了一种多pdn连接的建立装置，包括：

第二接收模块，用于接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息；

验证模块，用于根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数；

第二处理模块，用于选择pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址；

第二发送模块，用于向所述用户终端返回ip地址。

通过本实施例的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

进一步地，

所述第二接收模块还用于在所述用户终端建立首个pdn连接后，接收所述用户终端发送的隧道建立请求；

所述第二发送模块还用于向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

本发明实施例还提供了一种多pdn连接的建立系统，包括：

用户终端，用于使用已建立的pdn连接的msk，计算产生认证参数，同时增加已建立的pdn连接的spi信息，将所述认证参数和增加的spi信息发送给epdg，接收所述epdg对所述认证参数验证通过后返回的ip地址，所述ip地址为所述epdg向选择的pgw发送创建会话请求后，接收到的所述pgw返回的会话建立成功消息中所携带的；

所述epdg，用于接收用户终端发送的携带有认证参数和增加的spi信息的鉴权请求消息，根据所述增加的spi信息查找所述用户终端的用户信息并验证通过所述认证参数，选择pgw，向所述pgw发送创建会话请求，接收所述pgw返回的会话建立成功消息，其中携带有分配给用户终端的ip地址，向所述用户终端返回ip地址。

通过本实施例的技术方案，在建立首个pdn连接后，再建立新的pdn连接时，能够节省了ue和epdg之间、epdg和aaa之间的交互信令，提高了ue建立多pdn连接的速度，节省了系统资源。

进一步地，所述用户终端还用于在建立首个pdn连接时，接收网络安全系统aaa授权的所有接入点信息；

所述epdg，还用于在所述用户终端建立首个pdn连接后，接收所述用户终端发送的隧道建立请求，向所述用户终端返回响应消息，所述响应消息中包括有加密算法的协商信息。

图1为现有技术建立多pdn连接的信令交互示意图，如图1所示，具体包括以下步骤：

步骤1、建立首个pdn连接，ue和epdg交互ike_sa_init消息，开始建立隧道；

步骤2、ue向epdg发送鉴权请求消息，携带用户标识等信息；

步骤3、epdg向aaa请求认证和授权消息，携带用户标识等信息；

步骤4、如果aaa没有用户数据，需要到hss(归属签约用户服务器)获取。aaa在有了用户数据之后，发起eap请求，携带aka挑战；

步骤5、epdg向ue转发eap请求，携带aka挑战；

步骤6、ue认证通过，生成eap响应，携带aka挑战响应；

步骤7、epdg向aaa转发eap响应，携带aka挑战响应；

步骤8、aaa通知epdg认证成功，携带用户信息；

步骤9、epdg选择pgw，向pgw发送创建会话请求；

步骤10、pgw返回建立会话成功，携带给ue分配的ip等；

步骤11、epdg返回ue响应，指示认证成功；

步骤12、ue进行完整性和真实性验证，计算产生auth(认证)参数发给epdg；

步骤13、epdg验证通过，给ue发送pgw分配的ip等信息，首个pdn连接建立完成；

步骤14、开始建立新的pdn连接，ue和epdg交互ike_sa_init消息，建立隧道；

步骤15、ue向epdg发送鉴权请求消息，携带用户标识等信息；

步骤16、epdg向aaa请求认证和授权消息，携带用户标识等信息；

步骤17、因为不是首个pdn连接，aaa上已经有了用户信息，不用到hss获取，aaa发起eap请求，携带aka挑战；

步骤18、epdg向ue转发eap请求，携带aka挑战；

步骤19、ue认证通过，生成eap响应，携带aka挑战响应；

步骤20、epdg向aaa转发eap响应，携带aka挑战响应；

步骤21、aaa通知epdg认证成功，携带用户信息；

步骤22、epdg选择pgw，向pgw发送创建会话请求；

步骤23、pgw返回建立会话成功，携带给ue分配的ip等；

步骤24、epdg返回ue响应，指示认证成功；

步骤25、ue进行完整性和真实性验证，计算产生auth参数发给epdg；

步骤26、epdg验证通过，给ue发送pgw分配的ip等信息，新的pdn连接建立完成。

可以看出，现有技术在首次建立pdn连接后，在建立新的pdn连接时，仍然需要重复首次建立pdn连接的步骤，信令交互繁多。为了解决上述问题，本实施例的建立多pdn连接的信令交互示意图如图2所示，包括以下步骤：

步骤1、建立首个pdn连接，ue和epdg交互ike_sa_init消息，开始建立隧道；

步骤2、ue向epdg发送鉴权请求消息，携带用户标识等信息；

步骤3、epdg向aaa请求认证和授权消息，携带用户标识等信息；

步骤4、如果aaa没有用户数据，需要到hss获取。aaa在有了用户数据之后，发起eap请求，携带aka挑战；

步骤5、epdg向ue转发eap请求，携带aka挑战；

步骤6、ue认证通过，生成eap响应，携带aka挑战响应；

步骤7、epdg向aaa转发eap响应，携带aka挑战响应；

步骤8、aaa通知epdg认证成功，携带用户信息，aaa授权用户所有apn(接入点)的信息；

步骤9、epdg选择pgw，向pgw发送创建会话请求；

步骤10、pgw返回建立会话成功，携带给ue分配的ip等；

步骤11、epdg返回ue响应，指示认证成功；

步骤12、ue进行完整性和真实性验证，计算产生auth参数发给epdg；

步骤13、epdg验证通过，给ue发送pgw分配的ip等信息，首个pdn连接建立完成；

步骤14、开始建立新的pdn连接，ue和epdg交互ike_sa_init消息，建立隧道；

步骤15、ue向epdg发送鉴权请求消息，携带用户标识等信息，并使用首个pdn连接下发的msk，计算产生auth参数，同时增加已建立pdn连接的spi信息；

步骤16--步骤21、epdg根据spi找到用户信息，验证auth参数通过，跳过步骤16到21，直接开始步骤22；

步骤22、epdg选择pgw，向pgw发送创建会话请求；

步骤23、pgw返回建立会话成功，携带给ue分配的ip等；

步骤24--步骤25、跳过这2步，直接开始步骤26；

步骤26、epdg给ue发送pgw分配的ip等信息，新的pdn连接建立完成。

其中，图3为本发明扩展的ikev2信令负荷示意图，描述如下：扩展ikev2信息的payload头，存放已建立pdn连接的spi。扩展的payload类型值定义为49，长度是8个字节。

本发明实施例中，ue支持在发起多pdn连接时，使用已建立pdn连接的msk，计算产生auth参数，同时增加已建立pdn连接的spi信息；epdg支持根据已建立pdn连接的spi信息，找到相关的用户信息，验证auth参数，选择pgw发送创建会话请求；aaa支持在建立首个pdn连接时，授权用户所有apn的信息。

采用本发明的技术方案，与现有技术相比，节省了ue和epdg之间、epdg和aaa之间的认证和授权消息，建立首个pdn连接后，建立新的pdn连接原先至少需要14条信令，现在可以减少到6条信令，明显节省了网络的流量，减少了所用的时间，降低了各个网元的负荷，效果非常显著。

此说明书中所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。

本发明实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同物理上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。

实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。

在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(vlsi)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

在本发明各方法实施例中，所述各步骤的序号并不能用于限定各步骤的先后顺序，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，对各步骤的先后变化也在本发明的保护范围之内。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。