本發明涉及通信領域，具體而言，涉及一種基于演進分組數據網關的重認證識別方法及裝置。

背景技術：

隨著第四代移動通信技術的發展，人們對語音服務的質量要求越來越高。在蘋果在推出iPhone6宣布將支持基于無線保真的語音通話(Voice over Wireless Fidelity，簡稱為VoWiFi)時，VoWiFi逐漸轉入大家的視線。VoWiFi利用通過改善的網絡基礎設施來提供新的語音服務交付方式，而這種方式可以彌補4G網絡室外基站對室內的覆蓋不夠，使得用戶接收信號較差的不足，畢竟WiFi(Wireless Fidelity，簡稱為WiFi)網絡在室內的覆蓋普及程度已經非常高。目前實現VoWiFi主要有兩種方式，語音數據通過WiFi接入運營商核心網可被視為可信任接入和不可信任接入。

可信任接入的方式是在運營商的WiFi網絡下完成的，這種情況下，用戶的終端不需要與網絡建立網絡協議安全性(Internet Protocol Security，簡稱為IPSec)隧道，而直接通過分組數據網關(PDN Gateway，簡稱為PGW)就能接入到移動核心網，但這種方式需要運營商大量布局自己的WiFi網絡，增加了運營成本。

如圖1所示，不可信任接入是指用戶通過非運營商提供的WiFi網絡進行的接入。這種情況下用戶終端發出的數據需要通過網絡新增的演進分組數據網關(Evolved Packet Data Gateway，簡稱ePDG)接入核心網，終端和ePDG之間通過IPSec隧道傳輸數據，使得不可信網絡的網元無法感知數據傳輸，從而保證數據傳輸的安全性。不可信任接入方式由于可以充分利用現有的WiFi網絡，不需要在WiFi網絡方面增加運營成本，日漸為各大運營商所親睞。

不可信任接入時認證是基于客戶識別模塊(Subscriber Identity Module，簡稱為SIM)卡完成的，使外界入侵者無法訪問到ePDG和核心網。 此時，認證與重認證就凸顯出在不可信任接入方式時的重要性。而3GPP協議僅僅定義用戶設備(User Equipment，簡稱為UE)怎樣利用ePDG網絡來進行認證和重認證，卻沒有定義ePDG怎樣識別重認證。

根據相關技術，UE在進行重認證時，僅在重認證的互聯網密鑰交換認證(Internet Key Exchange Authentication，簡稱為IKE_AUTH)即第一個認證(Authentication，簡稱為AUTH)請求消息中攜帶重認證網絡接入標識(Network Access Identifier，簡稱為NAI)，而認證授權計費服務器(Authentication Authorization Accounting Server，簡稱為AAA Server)在下發重認證NAI和偽隨機NAI給UE時，是通過加密的可擴展認證協議(Extensible Authentication Protocol，簡稱EAP)消息傳遞的，ePDG無法感知，所以ePDG無法識別這是一個重認證NAI。即使UE在重認證的IKE AUTH(Identity)消息中同時攜帶UE原來的IP地址，ePDG也無法區分這是一個跨LTE切換流程還是一個重認證流程。此時ePDG會把重認證流程當成一個初始接入流程進行處理，需要把所有信息都傳遞給AAA，由AAA來判斷這是否是一個重認證請求，增加了處理的復雜性，同時網元間交互消息也會增多。

針對相關技術中上述的問題，目前尚未提出有效的解決方案。

技術實現要素：

本發明提供了一種基于演進分組數據網關的重認證識別方法及裝置，以至少解決上述問題。

根據本發明的一個方面，提供了一種重認證識別方法，包括：演進分組數據網關ePDG接收用戶設備UE發送的重認證請求消息，其中所述重認證請求消息包括重認證標識；所述ePDG根據所述重認證標識識別出當前流程是重認證流程，并關聯原有用戶數據，通知認證授權計費AAA服務器進行重認證。

優選的，所述重認證標識是UE在初始認證時，由認證授權計費AAA服務器分配給UE的國際移動用戶識別碼IMSI消息中攜帶。

優選的，所述重認證標識是UE和ePDG在初始認證時共同協商的、用于識別重認證的擴展標識。

優選的，所述重認證標識是用于標識重認證的標識位或標識字符串。

優選的，所述重認證請求消息中還攜帶所述UE的網絡協議IP地址和/或接入點APN。

根據本發明的一個方面，還提供了一種演進分組數據網關ePDG，包括：接收單元，用于接收用戶設備UE發送的重認證請求消息，其中所述重認證請求消息包括重認證標識；識別單元，用于根據所述重認證標識識別出當前流 程是重認證流程，并關聯原有用戶數據，通知服務器進行重認證。

優選的，所述重認證標識是UE在初始認證時，由認證授權計費AAA服務器分配給UE的IMSI消息中攜帶。

優選的，所述重認證標識是UE和ePDG在初始認證時共同協商的、用于識別重認證的擴展標識。

優選的，所述重認證標識是用于標識重認證的標識位或標識字符串。

優選的，所述重認證請求消息中還攜帶所述UE的網絡協議IP地址和/或接入點APN。

據本發明的又一個方面，還提供了一種重認證識別系統，包括：用戶設備UE、演進分組數據網關ePDG和認證授權計費AAA服務器；其中，所述UE，用于向所述ePDG發送重認證請求消息，其中所述重認證請求消息包括重認證標識；所述ePDG，用于根據所述重認證標識識別出當前流程是重認證流程，并關聯原有用戶數據，通知所述AAA服務器；所述AAA服務器，用于啟動重認證流程。

通過本發明方法，采用增加在重認證請求消息時攜帶重認證標識的方式，解決了ePDG無法主動識別重認證流程的問題，進而達到了能夠使ePDG在重認證初始階段主動識別出處于重認證流程中，進而降低了ePDG上用戶資源的消耗，簡化了整個基于演進分組數據網關的重認證流程。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1為相關技術的非漫游演進分組系統架構圖；

圖2為本發明實施例提供的一種重認證識別方法流程圖；

圖3為本發明實施例提供的演進分組數據網關ePDG結構框圖；

圖4為本發明示例1提供的用戶基于ePDG的EAP-AKA快速重認證流程圖；

圖5為本發明示例2提供的用戶基于ePDG初始會話建立EAP-AKA初始認證流程圖；

圖6為本發明示例2提供的用戶基于ePDG的EAP-AKA快速重認證流程圖；

圖7為本發明實施例提供的一種重認證識別系統框圖。

具體實施方式

需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結合實施例來詳細說明本發明。

實施例1

本發明實施例1提供了一種重認證識別方法，如圖2所示，包括如下的步驟：

S200，演進分組數據網關ePDG接收用戶設備UE發送的重認證請求消息，其中所述重認證請求消息包括重認證標識；

S202，所述ePDG根據所述重認證標識識別出當前流程是重認證流程，并關聯原有用戶數據，通知服務器進行重認證。

作為可選方案，其中所述重認證標識是UE在初始認證時，由認證授權計費AAA服務器分配給UE的國際移動用戶識別碼(International Mobile Subscriber Identification Number，簡稱為IMSI)消息中攜帶。

作為可選方案，其中所述重認證標識是UE和ePDG在初始認證時共同協商的用于識別重認證的任何擴展標識。

作為可選方案，其中所述重認證標識是用于重認證的標識位或標識字符串。

作為可選方案，其中所述重認證請求消息中還攜帶所述UE的網絡協議IP地址和/或接入點APN。

實施例2

本發明實施例2提供了一種演進分組數據網關ePDG，如圖3所示，包括接收單元300，用于接收用戶設備UE發送的重認證請求消息，其中所述重認證請求消息包括重認證標識；識別單元302，用于根據所述重認證標識識別出當前流程是重認證流程，并關聯原有用戶數據，通知服務器進行重認證。該裝置對應于上述方法，具體內容不在詳述。

通過上述技術方案，采用增加在重認證請求消息時攜帶重認證標識的方法，解決了ePDG無法主動識別重認證流程的問題，進而達到了能夠使ePDG 在重認證初始階段主動識別出處于重認證流程中，進而降低了ePDG上用戶資源的消耗，簡化了整個基于演進分組數據網關的重認證流程。

為了使本發明的技術方案和實現方法更加清楚，下面將結合優選示例對其實現過程進行詳細描述。

示例1

請參考圖4，圖4為本發明示例1提供的用戶基于ePDG的第三代認證與密鑰協商協議可擴展認證協議(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement，簡稱為EAP-AKA)快速重認證流程圖，如圖4所示，本發明示例1中，用戶基于ePDG的EAP-AKA快速重認證流程包括以下步驟：

S402.UE和ePDG交互第一對消息，即互聯網密鑰交換安全聯盟發起(Internet Key Exchange Security Association Initiate，簡稱為IKE_SA_INIT)請求和響應，ePDG和UE協商加密算法、交換隨機數NONCES和執行Diffie-Hellman密鑰交換協議/算法(Diffie-Hellman Key Exchange/Agreement Algorithm，簡稱為Diffie_Hellman)交換；

S404.UE向ePDG發送IKE_AUTH請求消息，攜帶用戶標識永久NAI和重認證標識，可以是Flag標識位或標識字符串。重認證Flag標識位或標識字符串可以在原來的IKE Config載荷或Notify載荷中擴展一個屬性類型，也可以擴展一個新的載荷。

可選的，請求消息中還攜帶UE原來分配的IP地址和/或UE原來使用的接入點(Access Point Name，簡稱為APN)；

S406.ePDG通過收到消息中的重認證標識識別出這是一個重認證流程，并通過消息中的IP地址以及APN定位到原來用戶數據，向AAA Server發送Diameter EAP請求(Diameter EAP Request，簡稱為DER)消息，攜帶用戶標識、APN、隧道建立指示和EAP屬性，并通知AAA服務器UE請求重認證。

S408.AAA Server識別出UE發起EAP-AKA快速重認證流程，向ePDG回DEA消息，攜帶EAP-AKA重認證請求，EAP-Request消息中包含計數器、交換隨機數NONCE、MAC和用于下一次快速重認證受保護的快速重認證標識；

S410.ePDG通過IKE_AUTH響應消息將EAP-AKA重認證請求轉發給UE；

S412.UE校驗計數器至最新，消息認證碼正確，并向ePDG發送IKE_AUTH請求消息，攜帶EAP-AKA重認證響應，包含相同計數器值(由AAA Server累加)和計算的消息認證碼；

S414.ePDG通過DER消息將EAP-AKA重認證響應轉發給3GPP AAA Server；

S416.ePDG使用秘鑰材料計算出AUTH參數，以便驗證IKE_SA_INIT消息，向ePDG發送IKE_AUTH請求消息；

S418.ePDG返回IKE_AUTH響應，攜帶EAP-success，指示EAP認證成功；

S420.UE使用自己導出的秘鑰材料計算產生AUTH發給ePDG，以便ePDG驗證UE發送的IKE_SA_INIT消息，向ePDG發送IKE_AUTH請求消息；

S422.ePDG驗證從UE收到的AUTH載荷是否正確，驗證成功后向UE發送KE_AUTH響應消息。如果UE請求動態地址，ePDG在配置載荷中包含分配給UE的IP地址，然后和AUTH參數、安全聯盟、流量選擇器一起發送給UE，結束IKEv2協商。至此，用戶重認證流程結束。

示例2

圖5為本發明示例2提供的用戶基于ePDG初始會話建立EAP-AKA初始認證流程圖，如圖5所示，本發明示例2中，用戶基于ePDG初始會話建立EAP-AKA初始認證流程包括以下步驟：

S502.UE和ePDG交互第一對消息即IKE_SA_INIT請求和響應，ePDG和UE協商加密算法、交換NONCES和執行Diffie_Hellman交換；

S504.UE向ePDG發送IKE_AUTH請求消息，攜帶用戶標識NAI(永久NAI)和APN信息，開始協商child SA；UE通過不包含認證參數向ePDG指明使用EAP over IKEv2認證方式，如果UE需要動態分配遠端地址，需要攜帶配置載荷；；

S506.ePDG向AAA Server發送DER消息，攜帶用戶標識、APN；

S508.AAA Server通過發送DEA消息發起認證挑戰，不再請求用戶標識；

S510.3ePDG發送IKE_AUTH響應消息，攜帶ePDG標識，并轉發從AAA Server接收到的EAP消息(EAP-/AKA挑戰請求)，用于開始IKEv2層面的EAP 流程；

S512.UE檢查認證參數，向ePDG發送IKE_AUTH請求消息，除了IKE頭外僅攜帶EAP載荷，攜帶挑戰響應；

S514.ePDG通過向AAA Server發送DER消息轉發EAP-AKA挑戰響應給AAA Server；

S516.當所有檢查都成功，AAA Server發送最終的DEA響應給ePDG，攜帶指示成功結果碼、相關業務認證信息和秘鑰材料；

S518.ePDG通過向UE發送IKE_AUTH響應消息，轉發EAP最終的成功或者失敗；

S520.UE使用自己導出的秘鑰材料作為輸入生成AUTH參數，用于認證IKE_SA_INIT階段消息，向ePDG發送IKE_AUTH請求消息；

S522.ePDG驗證從UE收到的AUTH載荷是否正確，驗證成功后向UE發送KE_AUTH響應消息，消息中可以把AAA分配的真實IMSI傳遞給UE，可通過擴展配置載荷消息的屬性類型攜帶。如果UE請求動態地址，PDG在CFG_REPLY參數中包含分配給UE的remote IP地址，然后和AUTH參數、安全聯盟、選擇符一起發送給UE，結束IKEv2協商。也可以是UE和ePDG在初始認證階段共同協商出的可用于識別重認證的任何擴展標識。

重認證標識可以是UE進行初始認證時AAA分配給UE的IMSI，此時需要由ePDG在初始認證的最后一條IKE AUTH響應中，增加字段把AAA分配的真實IMSI傳遞給UE，后續UE進行重認證時，攜帶這個真實的IMSI，ePDG通過這個真實的IMSI來發現已經存在此用戶，識別出這是一個重認證流程。IMSI建議在IKE的Notify載荷中擴展一個屬性類型，用于攜帶。

至此UE初始建立結束。

圖6為本發明示例2提供的用戶基于ePDG的EAP-AKA快速重認證流程圖，如圖6所示，本發明示例2中，用戶基于ePDG的EAP-AKA快速重認證流程包括以下步驟：

S602.UE和ePDG交互第一對消息即IKE_SA_INIT請求和響應，ePDG和UE協商加密算法、交換nonces和執行Diffie_Hellman交換；

S604.UE向ePDG發送IKE_AUTH請求消息，攜帶快速重認證NAI和圖5中初始認證過程中AAA分配的IMSI。

可選的，還可以包括UE原來分配的IP地址和/或UE原來使用的APN；

S606.ePDG通過收到消息中攜帶的IMSI識別出這是一個重認證流程，并通過消息中的IMSI、IP地址以及APN定位到原來用戶數據區，使用和初始認證相同的會話session向3GPP AAA Server發送DER(Diameter EAP Request)消息，攜帶用戶標識、APN、隧道建立指示和EAP屬性，并通知AAA Server UE請求重認證；

S608.3GPP AAA Server識別出UE發起EAP-AKA快速重認證流程，向ePDG回DEA消息，攜帶EAP-AKA重認證請求，EAP-Request消息中包含計數器、NONCE、MAC和用于下一次快速重認證受保護的快速重認證標識；

S610.ePDG通過IKE_AUTH響應消息將EAP-AKA重認證請求轉發給UE；

S612.UE校驗計數器至最新，消息認證碼正確，并向ePDG發送IKE_AUTH請求消息，攜帶EAP-AKA重認證響應，包含相同計數器值(由AAA Server累加)和計算的消息認證碼；

S614.ePDG通過DER消息將EAP-AKA重認證響應轉發給3GPP AAA Server；

S616.ePDG使用秘鑰材料計算出AUTH參數，以便驗證IKE_SA_INIT消息，向ePDG發送IKE_AUTH請求消息；

S618.ePDG返回IKE_AUTH響應，攜帶EAP-success，指示EAP認證成功；

S620.UE使用自己導出的秘鑰材料計算產生AUTH發給ePDG，以便ePDG驗證UE發送的IKE_SA_INIT消息，向ePDG發送IKE_AUTH請求消息；

S622.ePDG驗證從UE收到的AUTH載荷是否正確，驗證成功后向UE發送KE_AUTH響應消息。如果UE請求動態地址，ePDG在配置載荷中包含分配給UE的IP地址，然后和AUTH參數、安全聯盟、流量選擇器一起發送給UE，結束IKEv2協商。至此，用戶重認證流程結束。

實施例3

本發明實施例3提供了一種重認證識別系統，如圖7，包括用戶設備UE、 演進分組數據網關ePDG和認證授權計費AAA服務器；其中，所述UE，用于向所述ePDG發送重認證請求消息，其中所述重認證請求消息包括重認證標識；所述ePDG，用于根據所述重認證標識識別出當前流程是重認證流程，并關聯原有用戶數據，通知服務器；所述AAA服務器，用于啟動重認證流程。

需要說明的是，上述實施例中描述的系統對應于上述的方法實施例，其具體的實現過程在方法實施例中已經進行過詳細說明，在此不再贅述。

綜上所述，根據本發明的上述實施例，達到了能夠使ePDG在重認證初始階段主動識別出處于重認證流程中，進而降低了ePDG上用戶資源的消耗，簡化了整個基于演進分組數據網關的重認證流程。

顯然，本領域的技術人員應該明白，上述的本發明的各模塊或各步驟可以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲在存儲裝置中由計算裝置來執行，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現。這樣，本發明不限制于任何特定的硬件和軟件結合。

以上所述僅為本發明的優選實施例而已，并不用于限制本發明，對于本領域的技術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。