WO2010094244A1 - 一种进行接入认证的方法、装置及系统 - Google Patents

Description

一种进行接入认证的方法、 装置及系统 本申请要求于 2009 年 2 月 23 日提交中国专利局、 申请号为 200910037343.4,发明名称为"一种进行接入认证的方法、 装置及系统"的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及通信网络接入技术领域， 尤其涉及一种进行接入认证的方 法、 装置及系统。 背景技术 3GPP规范中将非 3GPP接入网分为两类： 一类是 Trusted non-3GPP IP access (可信的非 3GPP接入网） ， 如 CDMA 2000 ( Code Division Multiple Access,码分多址 )网络和 Wimax ( Worldwide Interoperability for Microwave Access,全球互动式 波接入）网络，另一类是 Untrusted non-3GPP IP access (不可信的非 3GPP接入网） ， 如 WLAN ( Wireless Local Area Network, 无 线局域网） 。 其中， Trusted non-3 GPP IP access可以通过 S2a或 S2c接口接入 PLMN( Public Land Mobile-communication Network,公众陆地移动通信网）， Untrusted non-3 GPP IP access可以通过 S2b或 S2c接口接入 PLMN。

UE(User Equipment, 用户设备)通过 Trusted non-3 GPP IP access接入 EPS(Evolved Packet System,演进的分组域系统)是基于 EAP-AKA(Extensible Authentication Protocol- Authentication and Key Agreement, 可扩展的认证协 议和认证与 密钥协商）或 ΕΑΡ-ΑΚΑ' ( Extensible Authentication Protocol-Authentication and Key Agreement ) 协议的， 且 3 GPP AAA ( Authentication Authorisation Accounting, 认证授权计费 )作为 EAP-AKA 的服务器。 Trusted non-3GPP IP access通过 S2a接口接入 EPS时， 接入认证基 于 EAP-AKA，协议。 Trusted non-3GPP IP access通过 S2c接口接入 EPS时， 接 入认证基于 IKEv2+EAP-AKA协议； Untrusted non-3GPP IP access通过 S2b的 认证方法是 IKEv2+EAP-AKA协议。但是目前已经存在的运营商网络并不是 所有的网络都支持 EAP-AKA或 EAP-AKA，。 例如， 基于 DSL ( Digital Subscriber Line， 数字用户线路） 的接入网络， 由于不支持 EAP(Extensible Authentication Protocol,可扩展的认证协议），所以不能执行 Trusted non-3GPP IP access认证流程。 这时的接入网可能会被运营商网络看作为 Untrusted non-3GPP IP access, 于是寻找 ePDG ( envoled Packet Data Gateway, 演进的 分组数据网关） ， 试图通过 ePDG接入网络。 但是对于目前的网络， 也不是 所有的网络都可以支持 ePDG的建设。

由于 UE不知道通过非 3GPP接入网接入 EPS系统该使用哪种认证方式， 从而导致 UE接入 EPS的效率低， 甚至可能无法通过非 3GPP网络接入到 EPS 中去。 发明内容 本发明实施例提供进行接入认证的方法、装置及系统，使得 UE能够获 知在通过非 3GPP接入网接入 EPS系统过程中该采用何种接入认证方式。

本发明实施例所要解决的技术问题在于： 提供一种告知 UE通过非 3GPP接入网接入 EPS系统采用何种接入认证方式进行接入认证的方法、装 置及系统。

本发明实施例提供一种进行接入认证的方法， 包括： 待接入 EPS系统的 终端设备获知可采用的接入认证方式， 并通过该接入认证方式完成接入认 证；上述接入认证方式与该终端设备当前所在的非 3GPP接入网类型相对应， 其中， 非 3GPP接入网类型包括： 可信的接入网、 不可信的接入网和特定的 接入网。

本发明实施例还提供一种进行接入认证的方法， 包括： 接入控制实体 告知待接入演进的分组域系统的终端设备可采用的接入认证方式， 以使该 终端设备通过该接入认证方式完成接入认证； 该接入认证方式与该终端设 备当前所在的非第三代合作计划接入网类型相对应， 其中， 非第三代合作 计划接入网类型包括： 可信的接入网、 不可信的接入网、 特定的接入网。

本发明实施例还提供了一种进行接入认证的系统， 包括： 接入控制实 体， 用于与待接入 EPS系统的终端设备进行通信，告知该终端设备可采用的 接入认证方式， 以使该终端设备通过该接入认证方式完成接入认证； 该接 入认证方式与该终端设备当前所在的非 3GPP接入网类型相对应， 其中， 非 3GPP接入网类型包括： 可信的接入网、 不可信的接入网和特定的接入网。

本发明实施例还提供了一种接入控制实体， 用于将可采用的接入认证 方式告知待接入 EPS系统的终端设备。该接入控制实体包括选择单元和发送 单元。 该选择单元用于根据待接入 EPS系统的终端设备当前所在的非 3GPP 接入网类型选择可采用的接入认证方式， 该接入认证方式与非 3GPP接入网 类型相对应， 其中， 非 3GPP接入网类型包括： 可信的接入网、 不可信的接 入网和特定的接入网； 该发送单元用于向该终端设备发送消息， 上述消息 包括将该选择单元选择的可采用的接入认证方式告知该终端设备的消息。

本发明实施例还提供了一种终端设备， 包括获取单元和执行单元。 该 获取单元用于获取其接入 EPS系统可采用的接入认证方式的消息，该接入认 证方式与该终端设备当前所在的非 3GPP接入网类型相对应， 其中， 非 3GPP 接入网类型包括： 可信的接入网、 不可信的接入网和特定的接入网； 该执 行单元用于根据该获取单元获取的接入认证方式执行接入认证。

由上技术方案可以看出， 本发明的进行接入认证的方法、 装置及系统 通过选择与不同的非 3GPP接入网类型相对应的可采用的接入认证方式， 提 高了用户终端设备接入网络的成功率， 同时解决了用户终端设备通过非 3GPP网^矣入网络时， 网络不支持 EAP, 也不支持 ePDG建设时， 无法进行 接入认证的问题。 附图说明 图 la为本发明进行接入认证的方法的第一实施例的流程示意图； 图 lb为本发明进行接入认证的方法的第二实施例的流程示意图； 图 lc为本发明进行接入认证的方法的第三实施例的流程示意图； 图 2为本发明进行接入认证的方法的第四实施例的流程示意图； 图 3为本发明进行接入认证的方法的第五实施例的流程示意图； 图 4为本发明进行接入认证的方法的第六实施例的流程示意图； 图 5为本发明进行接入认证的方法的第七实施例的流程示意图； 图 6为本发明进行接入认证的方法第八实施例的流程示意图； 图 7为本发明进行接入认证的系统的一个实施例的结构示意图； 图 8为图 7所示接入控制实体的一个实施例的结构示意图；

图 9a为图 7中的终端设备的一个实施例的结构示意图；

图 9b为图 7中的终端设备的另一实施例的结构示意图。 具体实施方式 图 la为本发明进行接入认证的方法的第一实施例的流程示意图。 如图 la所示， 本实施例的进行接入认证的方法包括：

步骤 S101 : 待接入 EPS系统的终端设备获知可采用的接入认证方式， 以通过该接入认证方式完成接入认证； 该接入认证方式与该终端设备当前 所在的非 3GPP接入网类型相对应， 其中， 非 3GPP接入网类型包括： 可信 的接入网、 不可信的接入网和特定的接入网。

上述终端设备接入 EPS可采用的接入认证方式可以通过一网络实体统 一告知，也可以 ^居非 3GPP接入网的网络特性主动判断该类型接入网可采 用的接入认证方式。

然后， 该终端设备即可采用获知的接入认证方式进行接入认证， 步骤 亂

本实施例的进行接入认证的方法通过选择与不同的非 3GPP接入网类 型相对应的可采用的接入认证方式， 提高了用户终端设备接入网络的成功 率， 同时解决了用户终端设备通过非 3GPP 网络接入网络时， 网络不支持 EAP, 也不支持 ePDG建设时， 无法进行接入认证的问题。

图 lb为本发明进行接入认证的方法的第二实施例的流程示意图。 如图 1 b所示， 该进行接入认证的方法包括：

步骤 S101':接入控制实体告知待接入 EPS系统的终端设备可采用的接 入认证方式， 上述接入认证方式与非 3GPP接入网类型相对应， 其中， 非 3GPP接入网类型包括： 可信的接入网、 不可信的接入网和特定的接入网。

当接入控制实体发现待接入的终端设备后， 可以主动通过广播消息或 其它底层发送的消息告知该终端设备可采用的接入认证方式， 即该消息可 以在网络层或数据链路层传输。 更具体的， 上述接入控制实体可以通过该 消息中携带的参数告知该终端设备其可采用的接入认证方式。

然后， 终端设备即可采用被告知的接入认证方式进行接入认证， 步骤

102'。

本实施例的接入 EPS系统的方法可以通过构造一个新的网络实体， 统 一由该网络实体告知 UE， 即终端设备， 其通过非 3GGP接入网接入 EPS 系统需要采用的哪一种认证方式或寻找哪一个接入网网关进行认证， 从而 提高了终端设备的接入效率， 同时避免了当接入网络即不支持 EAP, 也不 支持 ePDG建设时， UE无法与 EPS系统进行接入认证的情况。接入控制实 体也可以是接入网网关， 如 WiMAX网络中的 ASN Gateway(Access Service Network Gateway,接入服务网络网关)； 或者是其他能够给 UE信息的服务 器， 如 DHCP server ( Dynamic Host Configure Protocol Server, 动态主机配 置协议服务器）等。

图 lc为本发明进行接入认证的方法的第三实施例的流程示意图。 如图 1 c所示， 该进行接入认证的方法包括：

步骤 101": 接入控制实体收到来自待接入 EPS系统的终端设备的请求 接入认证方式的消息。 该消息可以在网络层或数据链路层传输。

步骤 102": 接入控制实体告知上述待接入 EPS系统的终端设备可采用 的接入认证方式， 该接入认证方式与非 3GPP接入网类型相对应， 其中， 3GPP接入网类型包括可信的接入网、 不可信的接入网和特定的接入网。 该 接入控制实体可以通过响应消息中携带的参数告知上述终端设备可采用的 接入认证方式。

然后， 上述终端设备即可采用被告知的接入认证方式进行接入认证， 步骤 103"。

才艮据本实施例的接入 EPS系统的方法， 可以构造一个新的网络实体， 统一由该网络实体告知 UE， 即终端设备， 其通过非 3GGP接入网接入 EPS 系统需要采用的哪一种认证方式或寻找哪一个接入网关进行认证， 从而提 高了终端设备的接入效率， 同时避免了当接入网络即不支持 EAP, 也不支 持 ePDG建设时， UE无法与 EPS系统进行接入认证的情况。

图 2为本发明进行接入认证的方法的第四实施例的流程示意图。 在本实 施例中， 以接入控制实体为非 3GPP接入网内的网络实体为例， 说明本发明 的进行接入认证的方法。

步骤 201： UE从非 3GPP接入网获得临时的 IP地址。

步骤 202: UE查找非 3GPP接入网内的接入控制实体。

该接入网可以为 CDMA2000、 WiMAX, WLAN网络等， 该非 3GPP接 入网内的实体可以包括： 接入网网关， 如 WiMAX网络中的 ASN Gateway(Access Service Network Gateway,接入服务网络网关）； 或者是其他 能够给 UE信息的服务器， 如 DHCP server ( Dynamic Host Configure Protocol Server, 动态主机配置协议服务器）等等。

步骤 203: UE以前述分配的临时 IP地址与该接入控制实体建立安全关 联。建立安全关联可以通过 IKE— SAJNIT消息完成密钥的协商、 nonce值交 换等实现。

具体的， IKE— SAJNIT消息包含两条消息： 一条是由发起方发送的 IKE SA INIT Request消息。 在 IKE— SAJNIT Request消息中可以包含 HDR、 SAil、 Kei、 Ni参数。 其中， HDR包含安全参数索引 SPIs, 版本号 和一些标志； SAil包括发起方建立 IKE SA所支持的加密算法； KE是发起 方的 Diffie-Hellman value; N是随机数载荷。 IKE— SAJNIT消息中的另一条 消息是由响应方发起的 IKE— SAJNIT— Response消息，在这条消息中包含了 HDR、 SArl、 Ker、 Nr、 [CERTREQ]参数。 SArl中包括响应方选择的算法， [CERTREQ]是证书请求， 其它参数与 IKE— SA— INIT Request消息中的参数 相对应。 通过交换 IKE— SA— INIT消息， 发起方和响应方协商了所需要的加 密算法、 认证算法； 通过交换随机数和 KE， 完成了 DH ( Diffie-Hellman ) 交换， 双方可计算出共享的密钥， 这个密钥用来保护后面的数据以及生成 IPsec SA所需要的密钥。 在本实施例中， 发起方为 UE， 响应方为非 3GPP 接入网中的接入控制实体。

步骤 204: UE向该接入控制实体发送请求接入认证方式的消息。 UE向 Non-3GPP IP Access发送 IKE— AUTH Request消息， 该消息中可以包含参 数: HDR、 SK{IDi， IDr, AUTH, SAi2、 TSi、 TSr}等。 其中， HDR包含 SPIs , 版本号和一些标志。 SK表示 文被保护。 此处将 AUTH ( Authentication, 身份认证）参数设置为空来表明向接入控制实体请求接 入认证方式。 SAi2携带了用于 IPsec SA的密码算法列表。 TS表示被 IPsec SA 保护的数据流。

步骤 205： 该接入控制实体将 IKE— AUTH Response消息根据该 UE获取 的临时 IP地址发送至该 UE， 以告知 UE可采用的接入认证方式。 该接入控 制实体可以通过该消息中包含的 N[x]参数告知 UE可采用的接入认证方式。

一般情况下， IKE— AUTH Response消息中可以不带 N[x]参数， 只有出 现错误时才带。本发明中通过该参数来告知参数来告知 UE采用哪一种认证 方式。 N也就是 Notify Payload, 该参数通常用来承载信息知会数据， 如： 错误条件或数据的状态信息等。 X表示一些可选的参数类型值，一些 Notify 类型值已经固定作为某一种错误类型的发生的情况下使用， 因此可使用一 些余留类型值作为本发明的告知消息类型。

可选的， 除了 N[x]参数以外， 也可以使用其他有预留的值的参数， 作 为认证方式的 7 载参数。 具体的， IKE— AUTH Response消息中还可以包含参数 HDR、 SK{IDi， IDr, AUTH, SAr2、 TSi、 TSr、 [CERT]}等。 其中， HDR包含 SPIs, 版本 号和一些标志。 SK表示报文被保护。 AUTH用来证明知道与 ID相关的秘 密，同时对之前和当前的数据包进行完整性保护。 SAi2携带了用于 IPsec SA 的密码算法列表。 TS表示被 IPsec SA保护的数据流。

步骤 206: UE采用被告知的认证方式与接入网关进行接入认证。该接入 网关可以为接入网的网关， 也可以为核心网的网关。

本实施例中， 消息采用 IKE ( Internet Key Exchange， 英特网密钥交换协 议）承载， 从而可通过 IKE+证书的方式对承载的消息进行完整性保护。 也 可以通过其它方式承载消息， 如通过 Diameter (直径协议）、 HTTP ( Hyper Text Transfer Protocol， 超文本传输协议 )等方式承载消息。

在本实施例中， 接入控制实体通过 IKE— AUTH Response 消息中的 N[x] 载荷将网络侧决定采用的认证方式告知给 UE。 X取不同值， N[x]所表示的认 证方式也不同， 在与现有的 X使用值不冲突的情况下， 可分别表示可信的非 3GPP接入网的接入认证方式，如 EAP-AKA或 ΕΑΡ-ΑΚΑ'; 不可信的非 3GPP 接入网的接入认证方式， 如 IKEv2+EAP-AKA; 或者是特定的非 3GPP接入 网的接入认证方式。 这样， 实现了通过该非 3GPP接入网内的接入控制实体 统一告知 UE到底采用哪一种接入认证方式的方法。

图 3为本发明进行接入认证的方法的第五实施例的流程示意图。 本实施 例的应用场景是，在 UE中没有预配置为按照可信的非 3GPP接入网的接入认 证方式进行认证， 也没有预配置为按照不可信的非 3GPP接入网的接入认证 方式进行认证。 在本实施例中， 以接入控制实体为 Preservation PDN GW ( Preservation Packet Data Network Gateway,分组数据网关保护实体 )为例， 说明本发明的进行接入认证的方法。

如图 3所示， 本实施例的进行接入认证的方法包括：

步骤 301： UE从非 3GPP接入网获得临时的 IP地址。

步骤 302: UE发现和选择 Preservation PDN GW₀ 上述 Preservation PDN GW为本发明实施例中提供的一个网络新增的实 体， 具有保护 PDN GW的功能， 能够为 UE提供接入认证方式。

步骤 303： UE以前述分配的临时 IP地址与该 Preservation PDN GW建立安 全关联。建立安全关联可以通过 IKE— SA—INIT消息完成密钥的协商、 nonce 值交换等实现。

具体的， IKE— SAJNIT消息包含两条消息： 一条是由发起方发送的 IKE SA INIT Request消息。 在 IKE— SAJNIT Request消息中可以包含 HDR、 SAil、 Kei、 Ni参数。 其中， HDR包含安全参数索引 SPIs, 版本号 和一些标志； SAil包括发起方建立 IKE SA所支持的加密算法； KE是发起 方的 Diffie-Hellman value; N是随机数载荷。 IKE— SAJNIT消息中的另一条 消息是由响应方发起的 IKE— SAJNIT— Response消息，在这条消息中包含了 HDR、 SArl、 Ker、 Nr、 [CERTREQ]参数。 SArl中包括响应方选择的算法， [CERTREQ]是证书请求， 其它参数与 IKE— SA— INIT Request消息中的参数 相对应。 通过交换 IKE— SA— INIT消息， 发起方和响应方协商了所需要的加 密算法、 认证算法； 通过交换随机数和 KE， 完成了 DH ( Diffie-Hellman ) 交换， 双方可计算出共享的密钥， 这个密钥用来保护后面的数据以及生成 IPsec SA所需要的密钥。在本实施例中，发起方为 UE，响应方为 Preservation PDN GW。

步骤 304: UE向 Preservation PDN GW发送请求接入认证方式的消息。 UE向 Non-3GPP IP Access发送 IKE— AUTH Request消息，该消息中可以包含 参数： HDR、 SK{IDi， IDr, AUTH, SAi2、 TSi、 TSr}等。 其中， HDR包 含 SPIs, 版本号和一些标志。 SK表示报文被保护。 此处将 AUTH参数设置 为空来表明向接入控制实体请求接入认证方式。 SAi2携带了用于 IPsec SA 的密码算法列表。 TS表示被 IPsec SA保护的数据流。

步骤 305: 该 Preservation PDN GW将 IKE— AUTH Response消息发送至 前述 UE的临时 IP地址， 以告知 UE可采用的接入认证方式。 该接入控制实 体可以通过该消息中包含的 N[x]参数告知 UE可采用的接入认证方式。 步骤 306: UE采用被告知的接入认证方式进行接入认证。

本实施例中， 消息采用 IKE承载， 从而可通过 IKE+证书的方式对承载的 消息进行完整性保护。 也可以通过其它方式承载消息， 如通过 Diameter、 HTTP等方式承载消息。

本实施例中的 Preservation PDN GW是与 PDN GW的保护实体， 可以被 看成是核心网与 non-3 GPP接入网络通信的安全网关。 其除了具有本发明所 述的功能外， 该实体可以预留其他功能供网络使用。

在本实施例中， 接入控制实体通过 IKE— AUTH Response 消息中的 N[x] 载荷将网络侧决定采用的认证方式告知给 UE。 X取不同值， N[x]所表示的认 证方式也不同， 在与现有的 X使用值不冲突的情况下， 可分别表示可信的非 3GPP接入网的接入认证方式，如 EAP-AKA或 ΕΑΡ-ΑΚΑ'; 不可信的非 3GPP 接入网的接入认证方式， 如 IKEv2+EAP-AKA; 或者是特定的非 3GPP接入 网的接入认证方式。 这样， 实现了通过 Preservation PDN GW统一告知 UE到 底采用哪一种接入认证方式接入 EPS系统的方法。

图 4为本发明进行接入认证的方法的第六实施例的流程示意图。 本实施 例的应用场景是，在 UE中预配置为按照可信的非 3GPP接入网的接入认证方 式进行认证。 在本实施例中， 以接入控制实体为 Preservation PDN GW为例， 说明本发明进行接入认证的方法。

如图 4所示， 本实施例的进行接入认证的方法包括：

步骤 401： UE从非 3GPP接入网获得临时的 IP地址。

步骤 402: UE与非 3GPP接入网络进行 EAP认证， 若认证失败， 则进入 步骤 403。

步骤 403: UE进行 ePDG的寻找和发现， 即将该非 3GPP接入网作为不可 信的接入网进行接入。 若发现 ePDG, 则以不可信的接入网的相应的接入认 证方式进行接入认证。 若该非 3GPP接入网没有 ePDG的建设， ePDG发现失 败， 则进入步骤 404。

步骤 404: UE发现和选择 Preservation PDN GW。 上述 Preservation PDN GW为本发明实施例中提供的一个网络新增实 体， 具有保护 PDN GW的功能， 能够为 UE提供接入认证方式。

步骤 405： UE以前述分配的临时 IP地址与该 Preservation PDN GW建立安 全关联。建立安全关联可以通过 IKE— SA—INIT消息完成密钥的协商、 nonce 值交换等实现。

步骤 406 : UE向 Preservation PDN GW发送请求接入认证方式的 IKE AUTH Request消息。 该消息中可以包含参数： HDR、 SK{IDi， IDr, AUTH、 SAi2、 TSi、 TSr}等。 其中， HDR包含 SPIs, 版本号和一些标志。 SK表示报文被保护。 此处将 AUTH参数设置为空来表明向接入控制实体请 求接入认证方式。 SAi2携带了用于 IPsec SA的密码算法列表。 TS表示被 IPsec SA保护的数据流。

步骤 407: 该 Preservation PDN GW将 IKE— AUTH Response消息发送至 UE的临时 IP地址， 告知 UE可采用的接入认证方式。 该接入控制实体可以通 过该消息中包含的 N[x]参数告知 UE可采用的接入认证方式。

步骤 408： UE采用被告知的接入认证方式进行接入认证。

本实施例中步骤 404至步骤 408与第三实施例的步骤 301至 305相同， 在 这里不再详细描述。

在本实施例中， 接入控制实体通过 IKE— AUTH Response 消息中的 N[x] 载荷将网络侧决定采用的认证方式告知给 UE。 X取不同值， N[x]所表示的认 证方式也不同， 在与现有的 X使用值不冲突的情况下， 可分别表示可信的非 3GPP接入网的接入认证方式，如 EAP-AKA或 ΕΑΡ-ΑΚΑ'; 不可信的非 3GPP 接入网的接入认证方式， 如 IKEv2+EAP-AKA; 或者是特定的非 3GPP接入 网的接入认证方式。 这样， 实现了通过 Preservation PDN GW统一告知 UE到 底采用哪一种接入认证方式接入 EPS系统的方法。

图 5为本发明进行接入认证的方法的第七实施例的流程示意图。 本实施 例的应用场景是， 在 UE中预配置为按照非可信的 non-3GPP接入网接入认证 方式进行认证。 在本实施例中， 以接入控制实体为 Preservation PDN GW为 例， 说明本发明的进行接入认证的方法。

如图 5所示， 本实施例的进行接入认证的方法包括：

步骤 501 : UE从接入网获得临时的 IP地址。

步骤 502: UE进行 ePDG的寻找和发现即将该非 3GPP接入网作为不可信 的接入网进行接入。 若发现 ePDG, 则以不可信的接入网的相应的接入认证 方式进行接入认证。 若该非 3GPP接入网没有 ePDG的建设， ePDG发现失败， 则进入步骤 503。

步骤 503： UE发现和选择 Preservation PDN GW。

上述 Preservation PDN GW为本发明实施例中提供的一个网络新增实 体， 具有保护 PDN GW的功能， 能够为 UE提供接入认证方式。

步骤 504: UE以前述分配的临时 IP地址与该 Preservation PDN GW建立安 全关联。建立安全关联可以通过 IKE— SA—INIT消息完成密钥的协商、 nonce 值交换等实现。

步骤 505 : UE向 Preservation PDN GW发送请求接入认证方式的 IKE— AUTH Request消息。 该消息中可以包含参数： HDR、 SK{IDi， IDr, AUTH、 SAi2、 TSi、 TSr}等。 其中， HDR包含 SPIs, 版本号和一些标志。 SK表示报文被保护。 此处将 AUTH参数设置为空来表明向接入控制实体请 求接入认证方式。 SAi2携带了用于 IPsec SA的密码算法列表。 TS表示被 IPsec SA保护的数据流。

步骤 506:该 Preservation PDN GW将 IKE— AUTH Response消息发送至前 述 UE的临时 IP地址， 以告知 UE可采用的接入认证方式。 该接入控制实体可 以通过该消息中包含的 N[x]参数告知 UE可采用的接入认证方式。

步骤 507: UE采用被告知的认证方式进行接入认证。

本实施例中步骤 502至步骤 507与第四实施例中的步骤 403至 408相同， 在这里不再详细描述。

在本实施例中，接入控制实体通过 IKE— AUTH Response 消息中的 N[x] 载荷将网络侧决定采用的接入认证方式告知给 UE。 X取不同值， N[x]所表示 的接入认证方式也不同， 在与现有的 X使用值不冲突的情况下， 可分别表示 可信的非 3GPP接入网的接入认证方式， 如 EAP-AKA或 ΕΑΡ-ΑΚΑ'; 不可信 的非 3GPP接入网的接入认证方式， 如 IKEv2+EAP-AKA; 或者是特定的非 3GPP接入网的接入认证方式。 这样， 实现了通过 Preservation PDN GW统一 告知 UE到底采用哪一种接入认证方式接入 EPS系统的方法。

图 6为本发明进行接入认证的方法的第八实施例的流程示意图。 在本实 施例中， 通过在 UE中预配置的方法来接入 EPS系统的方法。

如图 6所示， 本实施例的进行接入认证的方法包括：

步骤 601 : 在 UE中预配置非 3GPP接入网类型的列表及与其相应的可 采用的接入认证方式， 非 3GPP接入网类型包括： 可信的接入网、 不可信的 接入网和特定的接入网。

具体的， 该特定的接入网即不可使用可信的接入网的接入认证方式， 也不可使用不可信的接入网的接入认证方式。

步骤 602: UE获知其要接入的非 3GPP接入网的类型。 UE可以根据收 到的消息中包含的网络特性来获知非 3GPP接入网的类型。

然后， UE才 据前述列表及该终端设备当前所在的非 3GPP接入网类型 获知可采用的接入认证方式， 具体为：

步骤 603:若为可信的接入网，则基于可扩展的认证协议进行接入认证。 当 Wimax网络和 CDMA2000网 矣入时，使用 EAP-AKA或 ΕΑΡ-ΑΚΑ' 接入认证方式。

步骤 604: 若为不可信的接入网， 则查找 ePDG, 通过 ePDG进行接入 认证。

具体的， 如 WLAN网 矣入时， 使用 IKEv2+EAP-AKA认证方式。 步骤 605:若为特定的接入网， 则根据 UE和网络侧已定的接入方式进行 接入认证。 即当网络不支持 EAP-AKA, 又没有 ePDG建设时， 通过特定的方 式进行接入认证。

本实施例的进行接入认证的方法，通过在 UE中配置非 3GPP接入网类型 的列表及与其相应的可采用的接入认证方式， 从而实现了当 UE获知其当前 所在的非 3GPP接入网类型时， 即可获知其相应的可采用的接入认证方式， 从而提高了 UE的接入效率。

本领域普通技术人员可以理解， 上述各实施例中的全部或部分步骤可 以通过程序指令相关的硬件来实现， 所述的程序可以存储于计算机可读取 存储介质中， 所述的存储介质， 可以是 ROM/RAM、 磁碟、 光盘等。

还可以理解的是， 虽然上述说明中， 为便于理解， 对方法的步骤采用 了顺序性描述， 但是应当指出的是， 对于上述步骤的顺序并不做严格的限 制。

图 7为本发明进行接入认证的系统的一个实施例的结构示意图。 如图 7 所示， 本实施例的进行接入认证的系统 70包括： 接入控制实体 72和接入网 关 73。 其中， 该接入控制实体 72用于与待接入 EPS系统的终端设备 71进行通 信， 告知该终端设备 71可采用的接入认证方式， 以使该终端设备 71通过被 告知的接入认证方式完成接入认证。 上述接入认证方式与非 3GPP接入网类 型相对应， 其中， 非 3GPP接入网包括： 可信的接入网、 不可信的接入网和 特定的接入网。 该接入网关 73用于根据该终端设备 71获知的可采用的接入 认证方式与所述终端设备 71进行接入认证。

上述接入网关 73可以为接入网的网关， 如 ePDG等， 也可以为核心网的 网关， 主要功能为提供用户数据包的路由和封装以及为用户分配 IP地址等。

具体地， 如果通过 EPS系统中的接入控制实体告知， 则该接入网关为 PDN GW, 该接入控制实体为 Preservation PDN GW。 该响应消息基于网络 密钥交换协议传输并通过其携带的告知参数 Notify Payload告知该终端设备 71其可采用的接入认证方式。

需要注意的是， 本实施例的接入控制实体为本发明实施例中提供的一 个网络新增网络实体， 具有保护 PDN GW的功能， 能够为 UE提供接入认证 方式。

可选的， 该接入控制实体的功能也可以合并到其它网络实体中实现， 比如合并到接入网关 73， 如 PDN GW或 ePDG中。

图 8为图 7所示接入控制实体的一个实施例的结构示意图。 如图 8所示， 本实施例的接入控制实体 80包括： 选择单元 81和发送单元 83。

其中，该选择单元 81用于根据待接入 EPS系统的终端设备当前所在的非 3GPP接入网类型选择可采用的接入认证方式，该接入认证方式与非 3GPP接 入网类型相对应， 其中， 非 3GPP接入网类型包括： 可信的接入网、 不可信 的接入网和特定的接入网；该发送单元 83用于向待接入 EPS系统的终端设备 发送消息， 该消息包括将该选择单元选择的可采用的接入认证方式告知上 述终端设备的消息。该发送单元 83发送的告知终端设备接入 EPS系统可采用 的接入认证方式的消息可以基于网络密钥交换协议传输的， 该消息通过其 携带的告知参数 Notify Payload告知该终端设备可采用的接入认证方式。

具体的， 在 EPS系统中， 该接入控制实体为 Preservation PDN GW, 是一 个网络新增实体， 具有保护 PDN GW的功能， 能够为 Ιϋ供接入认证方式。 该接入控制实体还可以为非 3GPP接入网内的实体，如 WiMAX网络中的 ASN Gateway, 或者是其他能够给 UE信息的服务器， 如 DHCP server等等。

图 9a为图 7中的终端设备的一个实施例的结构示意图， 本实施例的终端 设备适用于本发明接入 EPS系统的方法的第三至第七实施例。 如图 9a所示， 该终端设备包括： 获取单元 92、 接收单元 93及执行单元 94。

其中， 该接收单元 93用于接收该接入控制实体 72发送的消息， 该消息 包括告知可采用的接入认证方式的响应消息， 可采用的接入认证方式与该 终端设备当前所在的非 3GPP接入网类型相对应， 其中， 非 3GPP接入网类型 包括： 可信的接入网、 不可信的接入网和特定的接入网；

该获取单元 92用于从该接收单元 93接收到的告知接入接入认证方式的 消息中获知接入 EPS系统可采用的接入认证方式；

该执行单元 94用于根据该获取单元 93获取的接入认证方式执行接入认 证。

具体的， 该接收单元 93接收的告知可采用的接入认证方式的响应消息 可以基于网络密钥交换协议传输， 该响应消息携带有用于告知可采用的接 入认证方式的告知参数 Notify Payload。

需要说明的， 该终端设备还可以包括发送单元， 用于向接入控制实体 发送请求接入认证方式的消息。 也可以等待被接入控制实体发现后， 主动 通过广播消息或其它底层发送的消息告知该终端设备可采用的接入认证方 式， 即该消息可以在网络层或数据链路层传输， 此种情况对应于本发明接 入 EPS系统的方法的第二实施例。

图 9b为图 7中的终端设备的另一实施例的结构示意图， 本实施例的终端 设备适用于本发明接入 EPS系统的方法的第八实施例。 如图 9b所示， 该终端 设备包括： 存储单元 1001、 获取单元 1002及执行单元 1003。

其中， 该存储单元 1001用于保存非 3GPP接入网类型的列表及其相对应 的可采用的接入认证方式； 其中， 该非 3GPP接入网类型包括： 可信的接入 网、 不可信的接入网个特定的接入网。

该获取单元 1002用于根据该终端设备当前所在的非 3GPP接入网类型及 该存储单元 1001中保存的列表获取接入认证方式；

该执行单元 1003用于根据该获取单元 1002获取的接入认证方式进行接 入认证。

具体的， 该特定的接入网为不可使用可信的接入网的接入认证方式， 也不可使用不可信的接入网的接入认证方式的非 3GPP接入网。

本领域普通技术人员可以理解： 实施例中的装置中的模块可以按照实 施例描述分布于实施例的装置中， 也可以进行相应变化位于不同于本实施 例的一个或多个装置中。 上述实施例的模块可以合并为一个模块， 也可以 进一步拆分成多个子模块。

上述本发明实施例序号仅仅为了描述， 不代表实施例的优劣。 以上结 合最佳实施例对本发明进行了描述， 但本发明并不局限于以上揭示的实施 例， 而应当涵盖各种根据本发明的本质进行的修改、 等效组合。

Claims

权利要求

1. 一种进行接入认证的方法， 其特征在于， 包括：

待接入演进的分组域系统的终端设备获知可采用的接入认证方式， 并 通过所述接入认证方式完成接入认证；

所述接入认证方式与所述终端设备当前所在的非第三代合作计划接入 网类型相对应， 其中， 所述非第三代合作计划接入网类型包括： 可信的接 入网、 不可信的接入网和特定的接入网。

2. 如权利要求 1所述的方法， 其特征在于， 所述终端设备获知可采用的 接入认证方式， 具体包括：

所述终端设备收到来自接入控制实体的告知可采用的接入认证方式的 消息。

3. 如权利要求 2所述的方法， 其特征在于，在所述终端设备收到来自接 入控制实体的告知可采用的接入认证方式的消息之前， 还包括：

向所述接入控制实体发送请求接入认证方式的消息。

4. 如权利要求 3所述的方法， 其特征在于， 向所述接入控制实体发送请 求接入认证方式的消息， 具体包括：

向所述接入控制实体发送身份认证 AUTH参数为空的消息以表明请求 接入认证方式。

5. 如权利要求 2所述的方法， 其特征在于， 所述终端设备收到来自接入 控制实体的告知可采用的接入认证方式的消息， 具体包括：

所述终端设备收到所述接入控制实体告知可采用的接入认证方式的网 络层消息或数据链路层消息， 所述网络层消息或数据链路层消息中携带有 用于告知所述终端设备可采用的接入认证方式的参数。

6. 如权利要求 5所述的方法， 其特征在于，在所述终端设备收到所述接 入控制实体告知可采用的接入认证方式的网络层消息之前， 还包括：

所述终端设备从所述非第三代合作计划接入网获取一个网络地址， 则所述终端设备收到所述接入控制实体告知可采用的接入认证方式的 网络层消息包括：

所述终端设备收到所述接入控制实体发送至所述网络地址的告知可采 用的接入认证方式的网络层消息。

7. 如权利要求 5或 6所述的方法， 其特征在于， 所述终端设备收到所述 接入控制实体告知可采用的接入认证方式的网络层消息， 具体包括：

所述终端设备收到所述接入控制实体发送的网络密钥交换认证消息， 且通过所述网络密钥交换认证消息中的告知参数 Notify Payload获知可采用 的接入认证方式。

8. 如权利要求 1所述的方法， 其特征在于，在所述终端设备获知可采用 的接入认证方式之前， 还包括：

在所述终端设备中预配置非第三代合作计划接入网类型的列表及与其 相应的可采用的接入认证方式；

所述终端设备获知可采用的接入认证方式包括：

根据所述列表选择与所述终端设备当前所在的非第三代合作计划接入 网类型相对应的可采用的接入认证方式。

9. 如权利要求 8所述的方法， 其特征在于，

若所述终端设备当前所在的非第三代合作计划接入网为可信的接入 网， 则所述可采用的接入认证方式包括： 基于可扩展的认证协议进行接入 认证；

若所述终端设备当前所在的非第三代合作计划接入网为不可信的接入 网， 则所述可采用的接入认证方式包括： 查找演进的分组数据网关， 并通 过所述分组数据网关进行接入认证；

若所述终端设备当前所在的非第三代合作计划接入网为特定的接入 网， 则所述可采用的接入认证方式包括： 才 据预定的接入方式进行接入认 证。

10. 一种进行接入认证的方法， 其特征在于， 包括： 接入控制实体告知待接入演进的分组域系统的终端设备可采用的接入 认证方式， 以使所述终端设备通过所述接入认证方式完成接入认证；

所述接入认证方式与所述终端设备当前所在的非第三代合作计划接入 网类型相对应， 其中， 所述非第三代合作计划接入网类型包括： 可信的接 入网、 不可信的接入网、 特定的接入网。

11. 如权利要求 10所述的方法， 其特征在于，在接入控制实体告知待接 入演进的分组域系统的终端设备可采用的接入认证方式之前， 还包括： 所述接入控制实体收到来自所述终端设备的请求接入认证方式的消

12. 一种进行接入认证的系统， 其特征在于， 包括：

接入控制实体， 用于与待接入演进的分组域系统的终端设备进行通信， 告知所述终端设备可采用的接入认证方式， 以使所述终端设备通过所述接 入认证方式完成接入认证；

所述接入认证方式与所述终端设备当前所在的非第三代合作计划接入 网类型相对应， 其中， 所述非第三代合作计划接入网类型包括： 可信的接 入网、 不可信的接入网、 特定的接入网。

13. 如权利要求 12所述的系统， 其特征在于， 还包括：

接入网关， 用于根据所述终端设备可采用的接入认证方式与所述终端 设备进行接入认证。

14. 如权利要求 13所述的系统， 其特征在于： 所述接入控制实体与所述 接入网关为一体或者独立于所述接入网关且具有保护接入网关的功能。

15. 一种接入控制实体， 其特征在于， 包括：

选择单元， 用于根据待接入演进的分组域系统的终端设备当前所在的 非第三代合作计划接入网类型选择可采用的接入认证方式， 所述接入认证 方式与所述非第三代合作计划接入网类型相对应， 其中， 所述非第三代合 作计划接入网类型包括： 可信的接入网、 不可信的接入网、 特定的接入网； 及 发送单元， 用于向所述终端设备发送消息， 所述消息包括将所述选择 单元选择的可采用的接入认证方式告知所述终端设备的消息。

16.一种终端设备， 其特征在于， 包括：

获取单元， 用于获取其接入演进的分组域系统可采用的接入认证方式， 所述接入认证方式与所述终端设备当前所在的非第三代合作计划接入网类 型相对应， 其中， 所述非第三代合作计划接入网类型包括： 可信的接入网、 不可信的接入网， 特定的接入网； 及

执行单元， 用于根据所述获取单元获取的接入认证方式执行接入认证。

17. 如权利要求 16所述的终端设备， 其特征在于， 还包括：

接收单元， 用于接收来自接入控制实体的告知可采用的接入认证方式 的消息；

则所述获取单元从所述接收单元收到的告知接入认证方式的消息中获 知接入演进的分组域系统可采用的接入认证方式。

18. 如权利要求 16所述的终端设备， 其特征在于， 还包括：

存储单元， 用于保存非第三代合作计划接入网类型的列表及其相对应 的可采用的接入认证方式， 其中， 所述非第三代合作计划接入网类型包括： 可信的接入网、 不可信的接入网、 特定的接入网；

则所述获取单元根据所述终端设备当前所在的非第三代合作计划接入 网类型及所述存储单元中保存的列表获取接入认证方式。