用戶設備選擇拜訪公共陸地移動網絡的方法���、系統和設備的制作方法
【專利摘要】本發明公開了一種用戶設備(UE)選擇拜訪公共陸地移動網絡(VPLMN)的方法�����,認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN?ID發送給UE����,UE根據所述VPLMN?ID選擇VPLMN的核心網網元��,并與所述核心網網元執行互聯網密鑰交換協議(IKEv2)隧道建立流程�;本發明同時還公開了一種用戶設備選擇拜訪公共陸地移動網絡的系統和設備����,通過本發明的方案����,能夠保證UE選擇的VPLMN的核心網網元與第三代合作伙伴計劃驗證、授權和記賬代理位于同一個VPLMN��。
【專利說明】用戶設備選擇拜訪公共陸地移動網絡的方法����、系統和設備
【技術領域】
[0001]本發明涉及拜訪網絡的選擇技術,尤其涉及演進的分組系統(EPS��,EV0lVedPaCketSystem)中的用戶設備選擇拜訪公共陸地移動網絡的方法����、系統和設備。
【背景技術】
[0002]圖1為EPS的系統架構示意圖�����,如圖1所示����,在第三代合作伙伴計劃(3GPP����,3rdGeneration Partnership Project)的EPS中�����,非漫游場景的EPS網絡架構�,由演進的通用移動通信系統陸地無線接入網(E-UTRAN, Evolved Universal Terrestrial Radio AccessNetwork)���、移動管理單兀(MME, Mobility ManagementEntity)�����、服務網關(S-GW, ServingGateway)、分組數據網絡網關(P-GW 或者 FON GW, Packet Data Network Gateway)��、歸屬用戶服務器(HSS, HomeSubscriber Server)�、策略和計費規則功能實體(PCRF, Policy andCharging RulesFunction)及運營商的IP業務網等其他支撐節點組成。PCRF是策略和計費控制(PCC, Policy and Charging Control)的核心,負責策略決策和計費規則的制定�����。PCRF提供了基于業務數據流的網絡控制規則�����,這些網絡控制包括業務數據流的檢測���、門控(Gating Control)�、服務質量(QoS, Quality of Service)控制以及基于數據流的計費規則等�����。PCRF將其制定的策略和計費規則發送給策略和計費執行功能實體(PCEF�����,Policyand Charging Enforcement Function)執行,同時��,PCRF還需要保證這些規則和用戶的簽約信息一致�����。PCRF制定策略和計費規則的依據包括:從應用功能實體(AF,ApplicationFunction)獲取與業務相關的信息;從用戶簽約數據庫(SPR, Subscription ProfileRepository)獲取與用戶策略計費控制簽約信息��;從PCEF獲取與承載相關網絡的信息���。
[0003]EPS支持與非3GPP系統的互通���。與非3GPP系統的互通通過S2a/S2b/S2c接口實現����,P-GW作為3GPP與非3GPP系統間的錨點。如圖1所示�,在EPS的系統中��,非3GPP系統被分為可信任非3GPP IP接入網和不可信任非3GPP IP接入網??尚湃畏?GPP IP接入網和不可信任非3GPP IP接入網通過EPS的驗證��、授權和記賬(AAA, Authentication、Authorization>Accounting)服務器(Server)進行認證��;可信任非3GPP IP接入網可直接通過S2a接口與P-GW連接��;不可信任非3GPP IP接入網需經過演進的分組數據網關(eTOG���,EvolvedPacket Data Gateway)與 P-GW 相連,通過 ePDG 才能接入 P-GW ����;ePDG 與 P-GW 間的接口為S2b,并且用戶設備(UE, User Equipment)和ePDG之間采用Internet協議安全性(IPSec,IP and Security)對信令和數據進行加密保護���。S2c提供了 UE與P_GW之間的用戶面相關的控制和移動性支持�����,其支持的移動性管理協議為支持雙棧的移動IPv6 (DSMIPv6,Moblie IPv6 support for dualstack Hosts and Router)�。
[0004]目前很多運營商都很關注固網移動融合(FMC,Fixed Mobile Convergence)技術�����,并針對3GPP和寬帶論壇(BBF���,Broadband Forum)互聯互通技術進行了研究���。
[0005]圖2為UE通過BBF接入網(也稱固定寬帶接入網)接入3GPP核心網的策略互通場景下的家鄉路由漫游架構示意圖���,圖中BBF接入網被認為是不可信任的非3GPP接入網��。UE通過BBF接入網接入移動核心網。目前���,基于圖2的架構,有兩種業務的方式:一種是UE訪問業務是需要路由回EPC的�,路由方式為演進分組核心網路由(EPC-routed)�����,另一種是UE訪問的業務不回EPC,直接從BBF接入網路由到業務網絡�,稱為非無縫無線局域網卸載(NSffO, Non-Seamless WLAN Offload)�����。對于圖2所示的架構,BBF接入網需要通過拜訪公共陸地移動網絡(VPLMN, Visited Public Land Mobile Network)與歸屬公共陸地移動網絡(HPLMN)實現互通�����,包括認證����、數據路由和策略控制等��。
[0006]圖3為UE通過BBF接入網接入3GPP核心網的策略融合場景下的家鄉路由漫游架構示意圖�����,與圖2主要區別在于,BBF接入網和VPLMN屬于同一個運營商�,V-PCRF通過Gxd接口支持與IP Edge交互�����,H-PCRF需要通過V-PCRF與BBF接入網交互。
[0007]圖4為UE通過DSMIPv6協議接入3GPP時的附著流程圖,具體包括以下步驟:
[0008]步驟101,UE接入BBF接入網,執行基于3GPP (3GPP_based)的認證�,在認證過程中����,第三代合作伙伴計劃驗證�����、授權和記賬代理(3GPPAAAProxy)向寬帶論壇的驗證���、授權和記賬服務器(BBF AAA)返回自身所在VPLMN的VPLMN ID �����;
[0009]所述執行基于3GPP的認證為:BBF AAA通過3GPP AAA Proxy與3GPPAAA服務器進行交互,完成擴展認證協議(EAP, Extensible AuthenticationProtocol)認證,進一步的��,3GPPAAA服務器還與HSS進行交互�。
[0010]步驟102,BBF接入網中的IP Edge為UE分配本地IP地址�����;
[0011]步驟103:UE選擇位于VPLMN的ePDG�,并與ePDG執行互聯網密鑰交換協議(IKEv2,Internet Key Exchange)隧道建立流程;
[0012]在IKEv2隧道建立過程中,所述ePDG通過3GPP AAA Proxy與3GPP AAA服務器進行交互���,完成EAP認證;
[0013]所述UE選擇位于VPLMN的ePDG為:UE可以采用靜態配置或動態選擇ePDG,在動態選擇ePDG時���,UE使用自身已知的VPLMN ID作為運營商標識構造全質量域名(FQDN,FullQuality Domain Name),執行域名系統(DNS, Domain Name System)查找,獲得 VPLMN 中的ePDG的IP地址;
[0014]本步驟�����,在EAP認證過程中����,所述3GPPAAA服務器還與HSS交互。
[0015]步驟104,ePDG向UE發送最后一條IKEv2消息���,其中攜帶為UE分配的IP地址,所述為UE分配的IP地址標識為IP Address3���,作為UE的轉交地址(CoA);
[0016]步驟105����,UE和ePDG之間建立Internet協議安全性(IPSec)隧道���;
[0017]步驟106�,受步驟103觸發�����,ePDG發起網關控制會話建立流程��;
[0018]具體的,ePDG通過V-PCRF向H-PCRF發送網關控制會話建立消息,攜帶UE的IP地址�����、用戶標識����、PDN標識等信息��;H-PCRF返回確認消息�����。
[0019]步驟107,UE執行Bootstraping過程,其中��,UE獲取所要接入I3DN的P-GW的IP地址���,通過所述P-GW與3GPP AAA服務器進行通信完成EAP認證��,并且所述P-GW為UE分配一個IPv6地址或前綴作為UE的家鄉地址(HoA)����;
[0020]本步驟����,在EAP認證過程中,所述3GPPAAA服務器還與HSS交互���;
[0021]所述UE獲取所要接入I3DN的P-GW的IP地址為:所述UE根據接入點名稱(APN,Access Point Name)進行域名系統(DNS, Domain Name System)查找�����,獲得所要接入PDN的P-Gff的IP地址�����。
[0022]所述UE和所述P-GW之間交互DSMIPv6消息;[0023]為了保護UE和P-GW之間的DSMIPv6消息�����,UE使用IKEv2建立安全聯盟,并采用ΕΑΡ進行認證��。
[0024]步驟108��,UE向P-GW發送DSMIPv6綁定更新消息���,P_GW建立綁定上下文�����;
[0025]所述綁定更新消息中攜帶CoA和HoA ;所述綁定消息中,生命期參數不為零�。
[0026]步驟109����,P-GW中的PCEF向H-PCRF發送IP連接訪問網絡(IP-CAN����,IP-Connectivity Access Network)會話建立指不消息;H_PCRF根據IP-CAN會話建立指不消息中的用戶標識�����、UE的IP地址��、NSW0-APN進行QoS授權�,向P-GW中的PCEF返回確認消息����;
[0027]步驟110����,P-GW向UE返回綁定確認消息;
[0028]步驟111,Η-PCRF通過VPLMN的V-PCRF向BPCF發送PCRF發起的網關控制會話建立觸發消息,BPCF通過V-PCRF返回確認消息,并向Η-PCRF發起建立網關控制會話流程;
[0029]步驟112�����,BPCF向IP Edge提供策略����。
[0030]在上述接入認證過程中,UE在動態選擇ePDG時����,UE使用自身已知的VPLMN ID作為運營商標識構造FQDN執行DNS查找�����,獲得VPLMN中的ePDG的IP地址;然而,并不能保證UE自身已知的VPLMN ID與3GPP AAA Proxy所在VPLMN的VPLMN ID—致�,即不能保證UE選擇的ePDG與3GPP AAAProxy位于同一個VPLMN,進而不能保證EPC-routed選擇的V-PCRF與NSW0選擇的V-PCRF是同一個�����。
【發明內容】
[0031]有鑒于此,本發明的主要目的在于提供一種用戶設備選擇拜訪公共陸地移動網絡的方法、系統和設備���,保證UE通過DSMIPv6協議接入3GPP時,UE選擇的ePDG與3GPP AAAProxy位于同一個VPLMN。
[0032]為達到上述目的,本發明的技術方案是這樣實現的:
[0033]本發明提供的一種UE選擇VPLMN的方法�,該方法包括:
[0034]認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE’UE根據所述VPLMN ID選擇VPLMN的核心網網元����,并與所述核心網網元執行IKEv2隧道建立流程����。
[0035]上述方案中���,所述認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE為:
[0036]所述認證服務器為寬帶論壇的驗證�、授權和記賬服務器(BBF AAA),在UE執行接入認證時,所述BBF AAA接收第三代合作伙伴計劃驗證���、授權和記賬代理(3GPP AAA Proxy)發送的VPLMN ID或根據通信對端地址獲取3GPPAAA Proxy所在VPLMN的VPLMN ID,將所述VPLMN ID 發送給 UE。
[0037]上述方案中���,所述認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE為:
[0038]所述認證服務器為HSS和/或3GPP AAA服務器,在UE執行接入認證時�,所述HSS和/或3GPP AAA服務器保存3GPP AAA Proxy發送的VPLMN ID�����,在IKEv2隧道建立的過程中�,所述HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致�����,在不一致時�����,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID。[0039]上述方案中��,所述VPLMN的核心網網元為ePDG或P_GW���。
[0040]上述方案中����,所述UE根據所述VPLMN ID選擇VPLMN的核心網網元為:UE使用認證服務器發送的VPLMN ID作為運營商標識構造全質量域名(FQDN)���,執行域名系統(DNS)查找���,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址����。
[0041 ] 上述方案中,該方法還包括:在UE執行接入認證時�����,HSS和/或3GPPAAA服務器保存3GPPAAAProxy發送的VPLMN ID,在IKEv2隧道建立的過程中�����,HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID—致�����,在不一致時,所述HSS和/或3GPPAAA服務器向UE返回拒絕消息����,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID�。
[0042]本發明提供的一種UE選擇VPLMN的系統�����,該系統包括:認證服務器�����、UE��、VPLMN的核心網網元���;其中���,
[0043]所述認證服務器�,用于將UE執行接入認證時所選擇的VPLMN的VPLMNID發送給UE ��;
[0044]所述UE�,用于根據所述認證服務器發送的VPLMN的VPLMN ID,選擇VPLMN的核心網網元��,與所述核心網網元執行IKEv2隧道建立的流程�����;
[0045]所述VPLMN的核心網網元,用于完成IKEv2隧道建立的流程。
[0046]上述方案中,所述認證服務器為BBF AAA,用于在UE執行接入認證時,接收3GPPAAA Proxy發送的VPLMN ID或根據通信對端地址獲取3GPP AAAProxy所在VPLMN的VPLMNID,將所述VPLMN ID發送給UE ����;
[0047]該系統還包括:3GPP AAA Proxy,用于在UE執行接入認證時����,發送VPLMNID給BBFAAA。
[0048]上述方案中����,該系統還包括:HSS和/或3GPPAAA服務器����,用于在UE執行接入認證時�����,保存VPLMN ID,在IKEv2隧道建立的過程中,驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致����,在不一致時���,向UE返回拒絕消息����,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID����。
[0049]上述方案中,所述認證服務器為HSS和/或3GPPAAA服務器,用于在UE執行接入認證時,保存3GPP AAA Proxy發送的VPLMN ID��,在IKEv2隧道建立的過程中�,驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID ;
[0050]該系統還包括:3GPP AAA Proxy,用于在UE執行接入認證時����,向HSS和/或3GPPAAA服務器發送VPLMN ID��。
[0051]上述方案中,所述VPLMN的核心網網元為ePDG或P-GW。
[0052]上述方案中�,所述UE包括:網元選擇模塊���、隧道建立模塊���;其中��,
[0053]所述網元選擇模塊,用于根據所述認證服務器發送的VPLMN的VPLMNID����,選擇VPLMN 的 ePDG 或 P-GW ;
[0054]所述隧道建立模塊���,用于與網元選擇模塊選擇的ePDG或P-GW執行IKEv2隧道建立的流程。
[0055]上述方案中���,所述網元選擇模塊,具體用于使用認證服務器發送的VPLMNID作為運營商標識構造FQDN�,執行DNS查找��,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址。
[0056]上述方案中�����,所述認證服務器��,具體包括:ID獲取模塊�、驗證模塊���、應答模塊���;其中��,
[0057]所述ID獲取模塊���,用于在UE執行接入認證時����,保存3GPPAAAProxy發送的VPLMNID ;
[0058]所述驗證模塊,用于在IKEv2隧道建立的過程中,驗證ID獲取模塊保存的VPLMNID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致���,在不一致時,通知應答模塊向UE返回拒絕消息;
[0059]應答模塊����,用于向UE返回拒絕消息,所述拒絕消息攜帶拒絕原因值和ID獲取模塊保存的VPLMN ID���。
[0060]本發明提供的一種UE,所述UE包括:網元選擇模塊��、隧道建立模塊�����;其中����,
[0061]所述網元選擇模塊�����,用于根據所述認證服務器發送的VPLMN的VPLMNID����,選擇VPLMN 的 ePDG 或 P-GW ��;
[0062]所述隧道建立模塊��,用于與網元選擇模塊選擇的ePDG或P-GW執行IKEv2隧道建立的流程。
[0063]本發明提供的一種認證服務器���,所述認證服務器包括:ID獲取模塊、驗證模塊�����、應答模塊�����;其中,
[0064]所述ID獲取模塊�����,用于在UE執行接入認證時���,保存3GPPAAAProxy發送的VPLMNID ���;
[0065]所述驗證模塊����,用于在IKEv2隧道建立的過程中,驗證ID獲取模塊保存的VPLMNID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時���,通知應答模塊向UE返回拒絕消息;
[0066]應答模塊,用于向UE返回拒絕消息�。
[0067]本發明提供了一種用戶設備選擇拜訪公共陸地移動網絡的方法����、系統和設備���,認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE��,UE根據所述VPLMNID選擇VPLMN的核心網網元���,并與所述核心網網元完成IKEv2隧道建立流程��;如此,能夠保證UE通過DSMIPv6協議接入3GPP時�����,UE選擇的ePDG與3GPP AAA Proxy位于同一個VPLMN。
【專利附圖】
【附圖說明】
[0068]圖1為現有技術中EPS的系統架構示意圖��;
[0069]圖2為現有技術中UE通過BBF接入網接入3GPP核心網的策略互通場景下的家鄉路由漫游架構示意圖���;
[0070]圖3為現有技術中UE通過BBF接入網接入3GPP核心網的策略融合場景下的家鄉路由漫游架構示意圖���;
[0071]圖4為現有技術中UE通過DSMIPv6協議接入3GPP時的附著流程圖�����;
[0072]圖5為本發明實現UE選擇VPLMN的方法的流程示意圖;
[0073]圖6為本發明實現UE選擇VPLMN的系統的結構示意圖;
[0074]圖7為本發明實施例一實現UE選擇VPLMN的方法的流程示意圖���;[0075]圖8為本發明實施例二實現UE選擇VPLMN的方法的流程示意圖;
[0076]圖9為本發明實施例三中UE通過BBF接入網接入3GPP核心網的策略互通場景下的家鄉路由漫游架構不意圖�;
[0077]圖10為本發明實施例三中UE通過BBF接入網接入3GPP核心網的策略融合場景下的家鄉路由漫游架構示意圖�����;
[0078]圖11為本發明實施例三實現UE選擇VPLMN的方法的流程示意圖。
【具體實施方式】
[0079]本發明的基本思想是:認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMNID發送給UE’ UE根據所述VPLMN ID選擇VPLMN的核心網網元��,并與所述核心網網元執行IKEv2隧道建立流程����。
[0080]下面通過附圖及具體實施例對本發明做進一步的詳細說明。
[0081]本發明實現一種UE選擇VPLMN的方法,如圖5所示��,該方法包括以下幾個步驟:
[0082]步驟201:認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMNID發送給UE ����;
[0083]具體的,所述認證服務器為BBF AAA,在UE執行接入認證時�,所述BBFAAA接收3GPPAAA Proxy發送的VPLMN ID或根據通信對端地址獲取3GPPAAA Proxy所在VPLMN的VPLMNID,將所述VPLMN ID發送給UE ��;
[0084]或者,所述認證服務器為HSS和/或3GPP AAA服務器,在UE執行接入認證時,所述HSS和/或3GPP AAA服務器保存3GPP AAA Proxy發送的VPLMNID�,在IKEv2隧道建立的EAP認證過程中���,所述HSS和/或3GPPAAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時�,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息�����,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID。
[0085]步驟202:UE根據所述VPLMN ID選擇VPLMN的核心網網元�,并與所述核心網網元完成IKEv2隧道建立流程�;
[0086]所述VPLMN的核心網網元一般是ePDG或P-GW ���;
[0087]所述UE根據所述VPLMN ID選擇VPLMN的核心網網元����,具體為:UE使用認證服務器發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找�,獲得所述VPLMN ID對應的VPLMN 中 ePDG 或 P-GW 的 IP 地址�;
[0088]本步驟還包括:在所述認證服務器為BBF AAA時�����,所述HSS和/或3GPPAAA服務器保存3GPP AAA Proxy發送的VPLMN ID,在IKEv2隧道建立的過程中�����,所述HSS和/或3GPPAAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMNID 一致,在不一致時����,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息�,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID���,在一致時�,繼續建立IKEv2隧道,直到IKEv2隧道建立完成���。
[0089]在所述VPLMN的核心網網元為ePDG時���,上述方法還包括:在UE與ePDG完成IKEv2隧道建立之后��,UE和ePDG之間建立IPSec隧道���;
[0090]進一步的����,上述方法還包括:所述ePDG發起網關控制會話建立流程;UE執行Bootstraping過程,之后向P-GW發送DSMIPv6綁定更新消息���,P-Gff建立綁定上下文;P_GW中的PCEF向Η-PCRF發送IP-CAN會話建立指示消息�;H_PCRF根據IP-CAN會話建立指示消息中的用戶標識�、UE的IP地址���、NSWO-APN進行QoS授權����,向P-GW中的PCEF返回確認消息;P-GW向UE返回綁定確認消息�;H-PCRF通過VPLMN的V-PCRF向BPCF發送PCRF發起的網關控制會話觸發消息��,BPCF通過V-PCRF返回確認消息,并向Η-PCRF發起建立網關控制會話流程���;BPCF向IP Edge提供QoS策略。
[0091]為了實現上述方法�����,本發明還提供一種UE選擇VPLMN的系統�����,如圖6所示,該系統包括:認證服務器61、UE 62、VPLMN的核心網網元63 ;其中,
[0092]所述認證服務器61,用于將UE 62執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE 62 ;
[0093]所述UE 62,用于根據所述認證服務器61發送的VPLMN的VPLMN ID,選擇VPLMN的核心網網元63�����,與所述核心網網元63執行IKEv2隧道建立的流程�;
[0094]所述VPLMN的核心網網元63,用于完成IKEv2隧道建立的流程�����。
[0095]所述認證服務器61為BBF AAA�����,用于在UE 62執行接入認證時���,接收3GPPAAAProxy 64發送的VPLMN ID或根據通信對端地址獲取3GPP AAA Proxy 64所在VPLMN的VPLMN ID����,將所述 VPLMN ID 發送給 UE 62;
[0096]該系統還包括:3GPP AAA Proxy 64����,用于在UE 62執行接入認證時,發送VPLMN ID給 BBFAAA ;
[0097]該系統還包括:HSS和/或3GPP AAA服務器,用于在UE 62執行接入認證時,保存3GPPAAAProxy 64發送的VPLMN ID��,在IKEv2隧道建立的過程中�����,驗證自身保存的VPLMN ID是否與UE 62選擇的核心網網元63所在VPLMN的VPLMN ID 一致�,在不一致時����,向UE 62返回拒絕消息���,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID �����;
[0098]或者��,所述認證服務器61為HSS和/或3GPPAAA服務器�,用于在UE 62執行接入認證時��,保存3GPPAAA Proxy 64發送的VPLMN ID���,在IKEv2隧道建立的過程中��,驗證自身保存的VPLMN ID是否與UE 62選擇的核心網網元63所在VPLMN的VPLMN ID 一致,在不一致時,所述HSS和/或3GPP AAA服務器向UE 62返回拒絕消息����,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID ���;
[0099]該系統還包括:3GPP AAA Proxy 64���,用于在UE 62執行接入認證時����,向HSS和/或3GPP AAA服務器發送VPLMN ID���。
[0100]所述VPLMN的核心網網元63 —般是ePDG或P-GW ���;
[0101]所述UE 62具體包括:網元選擇模塊621�����、隧道建立模塊622 ;其中,
[0102]所述網元選擇模塊621��,用于根據所述認證服務器61發送的VPLMN的VPLMN ID,選擇 VPLMN 的 ePDG 或 P-GW ����;
[0103]所述隧道建立模塊622,用于與網元選擇模塊621選擇的ePDG或P_GW執行IKEv2隧道建立的流程����;
[0104]所述網元選擇模塊621�,具體用于使用認證服務器61發送的VPLMN ID作為運營商標識構造FQDN���,執行DNS查找����,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址。
[0105]所述認證服務器61為HSS和/或3GPPAAA服務器時���,具體包括:ID獲取模塊、驗證模塊���、應答模塊;其中�����,[0106]所述ID獲取模塊����,用于在UE 62執行接入認證時,保存3GPPAAAProxy發送的VPLMN ID �����;
[0107]所述驗證模塊�����,用于在IKEv2隧道建立的過程中,驗證ID獲取模塊保存的VPLMNID是否與UE 62選擇的核心網網元63所在VPLMN的VPLMN ID—致�����,在不一致時��,通知應答模塊向UE 62返回拒絕消息��;
[0108]應答模塊,用于向UE 62返回拒絕消息,所述拒絕消息攜帶拒絕原因值和ID獲取模塊保存的VPLMN ID���。
[0109]基于上述系統����,本發明還提供一種UE��,如圖6所示��,所述UE 62包括:網元選擇模塊621、隧道建立模塊622 ;其中���,
[0110]所述網元選擇模塊621,用于根據所述認證服務器61發送的VPLMN的VPLMN ID,選擇 VPLMN 的 ePDG 或 P-GW �;
[0111]所述隧道建立模塊622�,用于與網元選擇模塊621選擇的ePDG或P-GW執行IKEv2隧道建立的流程���;
[0112]所述網元選擇模塊621�,具體用于使用認證服務器61發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找�,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址。
[0113]基于上述系統�,本發明還提供一種認證服務器����,所述認證服務器為HSS和/或3GPPAAA服務器���,包括:ID獲取模塊��、驗證模塊�、應答模塊����;其中,
[0114]所述ID獲取模塊,用于在UE執行接入認證時����,保存3GPPAAAProxy發送的VPLMNID ���;
[0115]所述驗證模塊���,用于在IKEv2隧道建立的過程中����,驗證ID獲取模塊保存的VPLMNID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致�����,在不一致時���,通知應答模塊向UE返回拒絕消息��;
[0116]應答模塊���,用于向UE返回拒絕消息�����,所述拒絕消息中攜帶拒絕原因值和/或ID獲取模塊保存的VPLMN ID��。
[0117]下面結合具體實施例詳細說明本發明的方法的實現過程和原理。
[0118]實施例一
[0119]本實施例基于圖2或圖3的架構圖�����,本實施例實現UE選擇VPLMN的方法�,如圖7所示,包括以下步驟:
[0120]步驟301�����,UE接入BBF接入網���,執行基于3GPP的認證��,在認證過程中��,3GPP AAAProxy向BBF AAA返回自身所在VPLMN的VPLMN ID或BBF AAA根據通信對端地址獲取3GPPAAA Proxy 所在 VPLMN 的 VPLMN ID,所述 BBFAAA 將所述 VPLMN ID 發送給 UE ��;
[0121]所述執行基于3GPP的認證為:BBF AAA通過3GPP AAA Proxy與3GPPAAA服務器進行交互,完成EAP認證,進一步的�,3GPPAAA服務器還與HSS進行交互��。
[0122]BBF AAA 進一步將 VPLMN ID 通知給 IP Edge ;
[0123]進一步的,所述3GPPAAAProxy將VPLMN ID上報給3GPPAAA服務器或者3GPP AAA服務器根據通信對端地址獲取3GPP AAA Proxy所在VPLMN的VPLMN ID,3GPP AAA服務器保存所述VPLMN ID�,和/或3GPP AAA服務器將所述VPLMN ID發送至HSS��,HSS保存所述VPLMN ID。[0124]步驟302,BBF接入網中的IP Edge為UE分配本地IP地址���;
[0125]步驟303:UE根據BBF AAA發送的VPLMN ID選擇VPLMN的eTOG�,并與所述ePDG執行IKEv2隧道建立的流程;
[0126]在IKEv2隧道建立的過程中�����,所述ePDG通過3GPP AAA Proxy與3GPPAAA服務器進行交互�����,完成EAP認證�����;
[0127]所述UE根據BBF AAA發送的VPLMN ID選擇VPLMN的ePDG為:UE使用BBF AAA發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找�,獲得VPLMN中的ePDG的IP地址��;
[0128]本步驟,在EAP認證過程中�,所述3GPPAAA服務器還與HSS交互����;
[0129]本步驟還包括:在IKEv2隧道建立的過程中��,所述HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的ePDG所在VPLMN的VPLMN ID—致�����,在不一致時,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息�����,所述拒絕消息中攜帶拒絕原因值���,在一致時�����,繼續建立IKEv2隧道,直到IKEv2隧道建立完成;
[0130]具體的,UE向 ePDG 發送 IKE 認證請求(IKE_AUTH Request),ePDG 向 3GPP AAAProxy 發送認證授權請求消息(AAR, Authentication and AuthorizationRequest), 3GPPAAA proxy向3GPP AAA服務器發送AAR消息�����,AAR消息中攜帶3GPP AAA Proxy所在VPLMN的VPLMN ID�,3GPP AAA服務器在收到3GPP AAA Proxy發送的AAR消息后,將AAR消息中攜帶的VPLMN ID和3GPPAAA服務器在UE接入認證時保存的VPLMN ID或進一步向HSS請求獲得在用戶接入認證時保存的VPLMN ID進行比較,在不一致時�����,在向3GPP AAAproxy返回的認證授權應答(AAA, Authentication and Authorization Answer)消息中返回拒絕消息����,所述拒絕消息可以攜帶拒絕原因值,即VPLMN選擇不一致����,并且所述拒絕消息還可以攜帶UE接入認證時選擇的VPLMN ID, 3GPPAAA Proxy向ePDG轉發所述AAA消息�����,ePDG向UE發送IKE認證應答(IKE_AUTH Answer)消息,IKE認證應答消息中攜帶拒絕指示以及拒絕原因值�����,還可以在IKE認證應答消息中攜帶UE接入認證時選擇的VPLMN ID,其中原因值和VPLMN ID可以同時下發���,也可以任選一個下發。
[0131]步驟304-步驟312與步驟104-步驟112 —致��。
[0132]另外的實施例中�����,BBF AAA在步驟301中不向UE發送VPLMN ID,而是只在步驟303中,HSS和/或3GPP AAA服務器返回的拒絕消息中還攜帶自身保存的VPLMN ID,觸發UE重新進行ePDG選擇,再執行步驟303-步驟312���。
[0133]實施例二
[0134]本實施例基于圖2或3的架構圖,本實施例實現UE選擇VPLMN的方法,如圖8所示��,包括以下步驟:
[0135]步驟401��,UE接入BBF接入網���,執行基于3GPP的認證�����,在認證過程中,3GPPAAAProxy向BBFAAA返回自身所在VPLMN的VPLMN ID或BBF AAA根據通信對端地址獲取 3GPP AAA Proxy 所在 VPLMN 的 VPLMN ID,所述 BBFAAA 將所述 VPLMN ID 發送給 UE ;
[0136]所述執行基于3GPP的認證為:BBF AAA通過3GPP AAA Proxy與3GPPAAA服務器進行交互,完成EAP認證�,進一步的�,3GPPAAA服務器還與HSS進行交互���。
[0137]BBF AAA 進一步將 VPLMN ID 通知給 IP Edge ���;
[0138]進一步的����,所述3GPPAAAProxy將VPLMN ID上報給3GPPAAA服務器或者3GPP AAA服務器根據通信對端地址獲取3GPP AAA Proxy所在VPLMN的VPLMN ID,3GPPAAA服務器保存所述VPLMN ID,和/或3GPPAAA服務器將所述VPLMN ID發送至HSS,HSS保存所述VPLMNID。
[0139]步驟402,BBF接入網中的IP Edge為UE分配本地IP地址;
[0140]步驟403,UE根據BBF AAA發送的VPLMN ID選擇VPLMN的eTOG���,并與所述ePDG執行IKEv2隧道建立的流程;
[0141]在IKEv2隧道建立的過程中,所述ePDG通過3GPP AAA Proxy與3GPPAAA服務器進行交互���,完成ΕΑΡ認證;
[0142]所述UE根據BBF ΑΑΑ發送的VPLMN ID選擇VPLMN的ePDG為:UE使用BBF AAA發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找�,獲得VPLMN中的ePDG的IP地址����;
[0143]本步驟���,在ΕΑΡ認證過程中��,所述3GPPAAA服務器還與HSS交互;
[0144]本步驟還包括:在ΙΚΕν2隧道建立的過程中���,所述HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的ePDG所在VPLMN的VPLMN ID—致,在不一致時�,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息���,在一致時�����,繼續建立IKEv2隧道,直到IKEv2隧道建立完成�����;
[0145]具體的����,UE向ePDG發送IKE認證請求,ePDG向3GPPAAAProxy發送AAR消息�����,3GPPAAA proxy向3GPP AAA服務器發送AAR消息����,AAR消息中攜帶3GPP AAA Proxy所在VPLMN的VPLMN ID,3GPP AAA服務器在收到3GPP AAA Proxy發送的AAR消息后�,將AAR消息中攜帶的VPLMN ID和3GPP AM服務器在UE接入認證時保存的VPLMN ID或進一步向HSS請求獲得在用戶接入認證時保存的VPLMN ID進行比較,在不一致時,在向3GPP AAAproxy返回的AAA消息中返回拒絕消息����,所述拒絕消息可以攜帶拒絕原因值�,即VPLMN選擇不一致,并且所述拒絕消息還可以攜帶UE接入認證時選擇的VPLMN ID���,3GPP AAA Proxy向ePDG轉發所述AAA消息,ePDG向UE發送IKE認證應答消息����,IKE認證應答消息中攜帶拒絕指示以及拒絕原因值��,還可以在IKE認證應答消息中攜帶UE接入認證時選擇的VPLMN ID,其中原因值和VPLMN ID可以同時下發�����,也可以任選一個下發��。
[0146]步驟404����,受步驟403觸發����,ePDG發起網關控制會話建立流程;
[0147]具體的��,ePDG通過V-PCRF向Η-PCRF發送網關控制會話建立消息�����,攜帶UE的IP地址�����、用戶標識�����、PDN標識等信息��;H-PCRF返回確認消息。
[0148]步驟405��,ePDG選擇P_GW后向所選擇的P_GW發送DSMIPv6綁定更新消息��,P-GW建立綁定上下文��;
[0149]所述綁定更新消息中攜帶CoA和HoA ;所述綁定消息中,生命期參數不為零�。
[0150]步驟406���,P-GW向3GPP AAA服務器發送更新P_GW IP地址消息���,將P-GW的IP地址發送給3GPPAAA服務器�����;
[0151 ] 所述3GPP AAA服務器進一步與HSS交互,將P_GW的地址保存到HSS中。
[0152]步驟407����,P-GW中的PCEF向Η-PCRF發送IP-CAN會話建立指示消息�����;H_PCRF根據IP-CAN會話建立指示消息中的用戶標識、UE的IP地址�����、NSW0-APN進行QoS授權���,向P-GW中的PCEF返回確認消息�����;
[0153]步驟408���,P-GW向ePDG返回綁定確認消息��,攜帶為UE分配的IP地址;[0154]步驟409,綁定更新成功����,UE和ePDG之間建立IPSec隧道�����;
[0155]步驟410,ePDG向UE發送最后一條IKEv2消息,攜帶UE的IP地址;
[0156]步驟411,受到步驟404的觸發,V-PCRF發起網關控制會話建立流程�;
[0157]具體的���,圖2所示的架構中H-PCRF通過VPLMN的V-PCRF向BPCF發送PCRF發起的網關控制會話建立觸發消息�����,提供UE的本地IP地址;BPCF收到所述觸發消息�����,向V-PCRF發送網關控制會話建立消息���,V-PCRF返回確認消息����,并向H-PCRF發起建立網關控制會話流程;
[0158]圖3所示的架構中����,H-PCRF通過VPLMN的V-PCRF向IP Edge發送PCRF發起的網關控制會話建立觸發消息,提供UE的本地IP地址��;IP Edge收到所述觸發消息��,向V-PCRF發送網關控制會話建立消息���,V-PCRF返回確認消息��,并向H-PCRF發起建立網關控制會話流程。
[0159]步驟412����,BPCF或IP Edge向H-PCRF返回確認消息��。
[0160]另外的實施例中,BBF AAA在步驟401中不向UE發送VPLMN ID�����,而是只在步驟403中��,HSS和/或3GPP AAA服務器返回的拒絕消息中還攜帶自身保存的VPLMN ID�,觸發UE重新進行ePDG選擇�,再執行步驟403-步驟412。
[0161]實施例三
[0162]本實施例基于圖9或10的架構圖��,本實施例實現UE選擇VPLMN的方法�,如圖11所示,包括以下步驟:
[0163]步驟501��,UE接入BBF接入網����,執行基于3GPP的認證���,在認證過程中�����,3GPP AAAProxy向BBF AAA返回自身所在VPLMN的VPLMN ID或BBF AAA根據通信對端地址獲取3GPPAAA Proxy 所在 VPLMN 的 VPLMN ID,所述 BBFAAA 將所述 VPLMN ID 發送給 UE �;
[0164]所述執行基于3GPP的認證為:BBF AAA通過3GPP AAA Proxy與3GPPAAA服務器進行交互���,完成EAP認證,進一步的����,3GPP AAA服務器還與HSS進行交互�����。
[0165]BBF AAA 進一步將 VPLMN ID 通知給 IP Edge ;
[0166]進一步的���,所述3GPP AAA Proxy將VPLMN ID上報給3GPP AAA服務器或者3GPPAAA服務器根據通信對端地址獲取3GPP AAA Proxy所在VPLMN的VPLMN ID,3GPP AAA服務器保存所述VPLMN ID�����,和/或3GPP AAA服務器將所述VPLMN ID發送至HSS�,HSS保存所述VPLMN ID。
[0167]步驟502�����,BBF接入網中的IP Edge為UE分配本地IP地址��;
[0168]步驟503,UE執行Bootstraping流程,其中,UE根據BBF AAA發送的VPLMN ID選擇VPLMN的P-GW�����,并與所述P-GW執行IKEv2隧道建立的流程����;
[0169]在IKEv2隧道建立的過程中,所述P-GW通過3GPP AAA Proxy與3GPPAAA服務器進行交互,完成EAP認證���;
[0170]所述UE根據BBF AAA發送的VPLMN ID選擇VPLMN的P-GW為:UE使用BBF AAA發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找,獲得VPLMN中的P-GW的IP地址���;
[0171 ] 本步驟,在EAP認證過程中,所述3GPPAAA服務器還與HSS交互���;
[0172] 本步驟還包括:在IKEv2隧道建立的過程中,所述HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的P-GW所在VPLMN的VPLMN ID—致,在不一致時,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息����,在一致時�����,繼續建立IKEv2隧道,直到IKEv2隧道建立完成����;
[0173]具體的���,UE向P-GW發送IKE認證請求�,P-GW向3GPPAAAProxy發送AAR消息���,3GPPAAA proxy向3GPP AAA服務器發送AAR消息�����,AAR消息中攜帶3GPP AAA Proxy所在網絡的VPLMN ID,3GPP AAA服務器在收到3GPP AAA Proxy發送的后�,將消息中攜帶的VPLMN ID和3GPP AAA服務器在UE接入認證時保存的VPLMN ID或進一步向HSS請求獲得在UE接入認證時保存的VPLMN ID進行比較�����,在不一致時,在向3GPPAAAproxy返回的AAA消息中返回拒絕消息�,所述拒絕消息可以攜帶拒絕原因值�,即VPLMN選擇不一致�����,并且所述拒絕消息還可以攜帶UE接入認證時選擇的VPLMN ID, 3GPPAAA Proxy向P-GW轉發所述AAA消息�,P-GW向UE發送IKE認證應答(IKE_AUTH Answer)����,消息中攜帶拒絕指示以及拒絕原因值�����,還可以在IKE認證應答消息中攜帶UE接入認證時選擇的VPLMN ID,其中原因值和VPLMNID可以同時下發,也可以任選一個下發。
[0174]步驟504��,UE向P_GW發送DSMIPv6綁定更新消息�,P_GW建立綁定上下文;
[0175]所述綁定更新消息中攜帶CoA和HoA ;所述綁定消息中,生命期參數不為零�����。
[0176]步驟505�,P-GW中的PCEF向Η-PCRF發送IP-CAN會話建立指示消息;H_PCRF根據IP-CAN會話建立指示消息中的用戶標識、UE的IP地址��、NSW0-APN進行QoS授權�����,向P-GW中的PCEF返回確認消息;
[0177]步驟506��,P-GW向UE返回綁定確認消息�;
[0178]步驟507,受到步驟504的觸發�,V-PCRF發起網關控制會話建立流程���;
[0179]具體的�����,圖9所示的架構中,Η-PCRF通過VPLMN的V-PCRF向BPCF發送PCRF發起的網關控制會話建立觸發消息�����,提供UE的本地IP地址���;BPCF收到所述觸發消息��,向V-PCRF發送網關控制會話建立消息�����,V-PCRF返回確認消息,并向Η-PCRF發起建立網關控制會話流程;
[0180]圖10所示的架構中��,Η-PCRF通過VPLMN的V-PCRF向IP Edge發送PCRF發起的網關控制會話建立觸發消息�,提供UE的本地IP地址;IP Edge收到所述觸發消息�,向V-PCRF發送網關控制會話建立消息���,V-PCRF返回確認消息��,并向Η-PCRF發起建立網關控制會話流程����。
[0181]步驟508,BPCF或IP Edge向H-PCRF返回確認消息。
[0182]另外的實施例中�����,BBF AAA在步驟501中不向UE發送VPLMN ID��,而是只在步驟503中��,HSS和/或3GPP AAA服務器返回的拒絕消息中還攜帶自身保存的VPLMN ID,觸發UE重新進行P-GW選擇�����,再執行步驟503-步驟508��。
[0183]以上所述����,僅為本發明的較佳實施例而已����,并非用于限定本發明的保護范圍�。
【權利要求】
1.一種用戶設備(UE)選擇拜訪公共陸地移動網絡(VPLMN)的方法����,其特征在于,該方法包括:認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE����,UE根據所述VPLMN ID選擇VPLMN的核心網網元�����,并與所述核心網網元執行互聯網密鑰交換協議(IKEv2)隧道建立流程���。
2.根據權利要求1所述的方法�����,其特征在于�,所述認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE為:所述認證服務器為寬帶論壇的驗證��、授權和記賬服務器(BBF AAA)�����,在UE執行接入認證時,所述BBF AAA接收第三代合作伙伴計劃驗證、授權和記賬代理(3GPP AAA Proxy)發送的VPLMN ID或根據通信對端地址獲取3GPPAAA Proxy所在VPLMN的VPLMN ID,將所述VPLMN ID 發送給 UE���。
3.根據權利要求1所述的方法,其特征在于,所述認證服務器將UE執行接入認證時所選擇的VPLMN的VPLMN ID發送給UE為:所述認證服務器為歸屬用戶服務器(HSS)和/或3GPP AAA服務器,在UE執行接入認證時,所述HSS和/或3GPP AAA服務器保存3GPP AAA Proxy發送的VPLMN ID����,在IKEv2隧道建立的過程中��,所述HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息���,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID。
4.根據權利要求1所述的方法,其特征在于����,所述VPLMN的核心網網元為演進的分組數據網關(eTOG)或分組數據網絡網關(P-GW)�����。
5.根據權利要求4所述的方法���,其特征在于,所述UE根據所述VPLMNID選擇VPLMN的核心網網元為:UE使用認證服務器發送的VPLMN ID作為運營商標識構造全質量域名(FQDN)����,執行域名系統(DNS)查找���,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址��。
6.根據權利要求2所述的方法,其特征在于����,該方法還包括:在UE執行接入認證時�,HSS和/或3GPP AAA服務器保存3GPP AAA Proxy發送的VPLMNID�,在IKEv2隧道建立的過程中,HSS和/或3GPP AAA服務器驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致����,在不一致時�,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息���,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID�����。
7.一種UE選擇VPLMN的系統�,其特征在于,該系統包括:認證服務器��、UE�����、VPLMN的核心網網元;其中�,所述認證服務器��,用于將UE執行接入認證時所選擇的VPLMN的VPLMNID發送給UE ;所述UE�,用于根據所述認證服務器發送的VPLMN的VPLMN ID,選擇VPLMN的核心網網元�,與所述核心網網元執行IKEv2隧道建立的流程����;所述VPLMN的核心網網元,用于完成IKEv2隧道建立的流程��。
8.根據權利要求7所述的系統���,其特征在于���,所述認證服務器為BBFAAA�,用于在UE執行接入認證時,接收3GPP AAA Proxy發送的VPLMN ID或根據通信對端地址獲取3GPP AAAProxy 所在 VPLMN 的 VPLMN ID,將所述 VPLMN ID 發送給 UE ��;該系統還包括:3GPPAAA Proxy�,用于在UE執行接入認證時,發送VPLMNID給BBF AAA��。
9.根據權利要求8所述的系統����,其特征在于,該系統還包括:HSS和/或3GPPAAA服務器��,用于在UE執行接入認證時��,保存VPLMN ID����,在IKEv2隧道建立的過程中��,驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時��,向UE返回拒絕消息�,所述拒絕消息攜帶拒絕原因值和/或自身保存的VPLMN ID。
10.根據權利要求7所述的系統�,其特征在于�,所述認證服務器為HSS和/或3GPPAAA服務器�,用于在UE執行接入認證時,保存3GPP AAAProxy發送的VPLMN ID,在IKEv2隧道建立的過程中����,驗證自身保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMNID 一致�����,在不一致時,所述HSS和/或3GPP AAA服務器向UE返回拒絕消息,所述拒絕消息攜帶拒絕原因值和自身保存的VPLMN ID ; 該系統還包括:3GPP AAA Proxy,用于在UE執行接入認證時,向HSS和/或3GPP AAA服務器發送VPLMN ID����。
11.根據權利要求7所述的系統��,其特征在于,所述VPLMN的核心網網元為ePDG或P-GW0
12.根據權利要求11所述的系統,其特征在于�����,所述UE包括:網元選擇模塊���、隧道建立模塊��;其中��, 所述網元選擇模塊,用于根據所述認證服務器發送的VPLMN的VPLMNID����,選擇VPLMN的ePDG 或 P-GW ����; 所述隧道建立模塊��,用于 與網元選擇模塊選擇的ePDG或P-GW執行IKEv2隧道建立的流程�����。
13.根據權利要求12所述的系統,其特征在于,所述網元選擇模塊�,具體用于使用認證服務器發送的VPLMN ID作為運營商標識構造FQDN�,執行DNS查找�,獲得所述VPLMN ID對應的VPLMN中ePDG或P-GW的IP地址。
14.根據權利要求10所述的系統,其特征在于��,所述認證服務器����,具體包括:ID獲取模塊、驗證模塊、應答模塊;其中�����, 所述ID獲取模塊����,用于在UE執行接入認證時,保存3GPPAAAProxy發送的VPLMN ID ; 所述驗證模塊�����,用于在IKEv2隧道建立的過程中����,驗證ID獲取模塊保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致,在不一致時,通知應答模塊向UE返回拒絕消息; 應答模塊���,用于向UE返回拒絕消息����,所述拒絕消息攜帶拒絕原因值和ID獲取模塊保存的 VPLMN ID。
15.一種UE���,其特征在于,所述UE包括:網元選擇模塊����、隧道建立模塊���;其中�����, 所述網元選擇模塊,用于根據所述認證服務器發送的VPLMN的VPLMNID�����,選擇VPLMN的ePDG 或 P-GW ����; 所述隧道建立模塊,用于與網元選擇模塊選擇的ePDG或P-GW執行IKEv2隧道建立的流程�����。
16.根據權利要求15所述的UE�,其特征在于,所述網元選擇模塊���,具體用于使用認證服務器發送的VPLMN ID作為運營商標識構造FQDN,執行DNS查找�,獲得所述VPLMN ID對應的VPLMN 中 ePDG 或 P-GW 的 IP 地址���。
17.—種認證服務器,其特征在于����,所述認證服務器包括:ID獲取模塊�����、驗證模塊��、應答模塊;其中���,
所述ID獲取模塊,用于在UE執行接入認證時����,保存3GPPAAA Proxy發送的VPLMN ID �;所述驗證模塊�,用于在IKEv2隧道建立的過程中,驗證ID獲取模塊保存的VPLMN ID是否與UE選擇的核心網網元所在VPLMN的VPLMN ID 一致���,在不一致時,通知應答模塊向UE返回拒絕消息�����; 應答模塊�����,用于向UE返回拒絕消息���。
18.根據權利要求17所述的認證服務器�,其特征在于���,所述認證服務器為HSS和/或3GPP AAA服務器��。
19.根據權利要求17所述的認證服務器,其特征在于,所述拒絕消息中攜帶拒絕原因值和/或ID獲取模塊保存的VPLMN ID��。
【文檔編號】H04W48/18GK103702327SQ201210365839
【公開日】2014年4月2日 申請日期:2012年9月27日 優先權日:2012年9月27日
【發明者】周曉云 申請人:中興通訊股份有限公司