重认证识别方法、演进分组数据网关及系统与流程

本发明涉及通信领域，具体而言，涉及一种基于演进分组数据网关的重认证识别方法及装置。

背景技术：

随着第四代移动通信技术的发展，人们对语音服务的质量要求越来越高。在苹果在推出iPhone6宣布将支持基于无线保真的语音通话(Voice over Wireless Fidelity，简称为VoWiFi)时，VoWiFi逐渐转入大家的视线。VoWiFi利用通过改善的网络基础设施来提供新的语音服务交付方式，而这种方式可以弥补4G网络室外基站对室内的覆盖不够，使得用户接收信号较差的不足，毕竟WiFi(Wireless Fidelity，简称为WiFi)网络在室内的覆盖普及程度已经非常高。目前实现VoWiFi主要有两种方式，语音数据通过WiFi接入运营商核心网可被视为可信任接入和不可信任接入。

可信任接入的方式是在运营商的WiFi网络下完成的，这种情况下，用户的终端不需要与网络建立网络协议安全性(Internet Protocol Security，简称为IPSec)隧道，而直接通过分组数据网关(PDN Gateway，简称为PGW)就能接入到移动核心网，但这种方式需要运营商大量布局自己的WiFi网络，增加了运营成本。

如图1所示，不可信任接入是指用户通过非运营商提供的WiFi网络进行的接入。这种情况下用户终端发出的数据需要通过网络新增的演进分组数据网关(Evolved Packet Data Gateway，简称ePDG)接入核心网，终端和ePDG之间通过IPSec隧道传输数据，使得不可信网络的网元无法感知数据传输，从而保证数据传输的安全性。不可信任接入方式由于可以充分利用现有的WiFi网络，不需要在WiFi网络方面增加运营成本，日渐为各大运营商所亲睐。

不可信任接入时认证是基于客户识别模块(Subscriber Identity Module，简称为SIM)卡完成的，使外界入侵者无法访问到ePDG和核心网。 此时，认证与重认证就凸显出在不可信任接入方式时的重要性。而3GPP协议仅仅定义用户设备(User Equipment，简称为UE)怎样利用ePDG网络来进行认证和重认证，却没有定义ePDG怎样识别重认证。

根据相关技术，UE在进行重认证时，仅在重认证的互联网密钥交换认证(Internet Key Exchange Authentication，简称为IKE_AUTH)即第一个认证(Authentication，简称为AUTH)请求消息中携带重认证网络接入标识(Network Access Identifier，简称为NAI)，而认证授权计费服务器(Authentication Authorization Accounting Server，简称为AAA Server)在下发重认证NAI和伪随机NAI给UE时，是通过加密的可扩展认证协议(Extensible Authentication Protocol，简称EAP)消息传递的，ePDG无法感知，所以ePDG无法识别这是一个重认证NAI。即使UE在重认证的IKE AUTH(Identity)消息中同时携带UE原来的IP地址，ePDG也无法区分这是一个跨LTE切换流程还是一个重认证流程。此时ePDG会把重认证流程当成一个初始接入流程进行处理，需要把所有信息都传递给AAA，由AAA来判断这是否是一个重认证请求，增加了处理的复杂性，同时网元间交互消息也会增多。

针对相关技术中上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明提供了一种基于演进分组数据网关的重认证识别方法及装置，以至少解决上述问题。

根据本发明的一个方面，提供了一种重认证识别方法，包括：演进分组数据网关ePDG接收用户设备UE发送的重认证请求消息，其中所述重认证请求消息包括重认证标识；所述ePDG根据所述重认证标识识别出当前流程是重认证流程，并关联原有用户数据，通知认证授权计费AAA服务器进行重认证。

优选的，所述重认证标识是UE在初始认证时，由认证授权计费AAA服务器分配给UE的国际移动用户识别码IMSI消息中携带。

优选的，所述重认证标识是UE和ePDG在初始认证时共同协商的、用于识别重认证的扩展标识。

优选的，所述重认证标识是用于标识重认证的标识位或标识字符串。

优选的，所述重认证请求消息中还携带所述UE的网络协议IP地址和/或接入点APN。

根据本发明的一个方面，还提供了一种演进分组数据网关ePDG，包括：接收单元，用于接收用户设备UE发送的重认证请求消息，其中所述重认证请求消息包括重认证标识；识别单元，用于根据所述重认证标识识别出当前流 程是重认证流程，并关联原有用户数据，通知服务器进行重认证。

优选的，所述重认证标识是UE在初始认证时，由认证授权计费AAA服务器分配给UE的IMSI消息中携带。

优选的，所述重认证标识是UE和ePDG在初始认证时共同协商的、用于识别重认证的扩展标识。

优选的，所述重认证标识是用于标识重认证的标识位或标识字符串。

优选的，所述重认证请求消息中还携带所述UE的网络协议IP地址和/或接入点APN。

据本发明的又一个方面，还提供了一种重认证识别系统，包括：用户设备UE、演进分组数据网关ePDG和认证授权计费AAA服务器；其中，所述UE，用于向所述ePDG发送重认证请求消息，其中所述重认证请求消息包括重认证标识；所述ePDG，用于根据所述重认证标识识别出当前流程是重认证流程，并关联原有用户数据，通知所述AAA服务器；所述AAA服务器，用于启动重认证流程。

通过本发明方法，采用增加在重认证请求消息时携带重认证标识的方式，解决了ePDG无法主动识别重认证流程的问题，进而达到了能够使ePDG在重认证初始阶段主动识别出处于重认证流程中，进而降低了ePDG上用户资源的消耗，简化了整个基于演进分组数据网关的重认证流程。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为相关技术的非漫游演进分组系统架构图；

图2为本发明实施例提供的一种重认证识别方法流程图；

图3为本发明实施例提供的演进分组数据网关ePDG结构框图；

图4为本发明示例1提供的用户基于ePDG的EAP-AKA快速重认证流程图；

图5为本发明示例2提供的用户基于ePDG初始会话建立EAP-AKA初始认证流程图；

图6为本发明示例2提供的用户基于ePDG的EAP-AKA快速重认证流程图；

图7为本发明实施例提供的一种重认证识别系统框图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

实施例1

本发明实施例1提供了一种重认证识别方法，如图2所示，包括如下的步骤：

S200，演进分组数据网关ePDG接收用户设备UE发送的重认证请求消息，其中所述重认证请求消息包括重认证标识；

S202，所述ePDG根据所述重认证标识识别出当前流程是重认证流程，并关联原有用户数据，通知服务器进行重认证。

作为可选方案，其中所述重认证标识是UE在初始认证时，由认证授权计费AAA服务器分配给UE的国际移动用户识别码(International Mobile Subscriber Identification Number，简称为IMSI)消息中携带。

作为可选方案，其中所述重认证标识是UE和ePDG在初始认证时共同协商的用于识别重认证的任何扩展标识。

作为可选方案，其中所述重认证标识是用于重认证的标识位或标识字符串。

作为可选方案，其中所述重认证请求消息中还携带所述UE的网络协议IP地址和/或接入点APN。

实施例2

本发明实施例2提供了一种演进分组数据网关ePDG，如图3所示，包括接收单元300，用于接收用户设备UE发送的重认证请求消息，其中所述重认证请求消息包括重认证标识；识别单元302，用于根据所述重认证标识识别出当前流程是重认证流程，并关联原有用户数据，通知服务器进行重认证。该装置对应于上述方法，具体内容不在详述。

通过上述技术方案，采用增加在重认证请求消息时携带重认证标识的方法，解决了ePDG无法主动识别重认证流程的问题，进而达到了能够使ePDG 在重认证初始阶段主动识别出处于重认证流程中，进而降低了ePDG上用户资源的消耗，简化了整个基于演进分组数据网关的重认证流程。

为了使本发明的技术方案和实现方法更加清楚，下面将结合优选示例对其实现过程进行详细描述。

示例1

请参考图4，图4为本发明示例1提供的用户基于ePDG的第三代认证与密钥协商协议可扩展认证协议(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement，简称为EAP-AKA)快速重认证流程图，如图4所示，本发明示例1中，用户基于ePDG的EAP-AKA快速重认证流程包括以下步骤：

S402.UE和ePDG交互第一对消息，即互联网密钥交换安全联盟发起(Internet Key Exchange Security Association Initiate，简称为IKE_SA_INIT)请求和响应，ePDG和UE协商加密算法、交换随机数NONCES和执行Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm，简称为Diffie_Hellman)交换；

S404.UE向ePDG发送IKE_AUTH请求消息，携带用户标识永久NAI和重认证标识，可以是Flag标识位或标识字符串。重认证Flag标识位或标识字符串可以在原来的IKE Config载荷或Notify载荷中扩展一个属性类型，也可以扩展一个新的载荷。

可选的，请求消息中还携带UE原来分配的IP地址和/或UE原来使用的接入点(Access Point Name，简称为APN)；

S406.ePDG通过收到消息中的重认证标识识别出这是一个重认证流程，并通过消息中的IP地址以及APN定位到原来用户数据，向AAA Server发送Diameter EAP请求(Diameter EAP Request，简称为DER)消息，携带用户标识、APN、隧道建立指示和EAP属性，并通知AAA服务器UE请求重认证。

S408.AAA Server识别出UE发起EAP-AKA快速重认证流程，向ePDG回DEA消息，携带EAP-AKA重认证请求，EAP-Request消息中包含计数器、交换随机数NONCE、MAC和用于下一次快速重认证受保护的快速重认证标识；

S410.ePDG通过IKE_AUTH响应消息将EAP-AKA重认证请求转发给UE；

S412.UE校验计数器至最新，消息认证码正确，并向ePDG发送IKE_AUTH请求消息，携带EAP-AKA重认证响应，包含相同计数器值(由AAA Server累加)和计算的消息认证码；

S414.ePDG通过DER消息将EAP-AKA重认证响应转发给3GPP AAA Server；

S416.ePDG使用秘钥材料计算出AUTH参数，以便验证IKE_SA_INIT消息，向ePDG发送IKE_AUTH请求消息；

S418.ePDG返回IKE_AUTH响应，携带EAP-success，指示EAP认证成功；

S420.UE使用自己导出的秘钥材料计算产生AUTH发给ePDG，以便ePDG验证UE发送的IKE_SA_INIT消息，向ePDG发送IKE_AUTH请求消息；

S422.ePDG验证从UE收到的AUTH载荷是否正确，验证成功后向UE发送KE_AUTH响应消息。如果UE请求动态地址，ePDG在配置载荷中包含分配给UE的IP地址，然后和AUTH参数、安全联盟、流量选择器一起发送给UE，结束IKEv2协商。至此，用户重认证流程结束。

示例2

图5为本发明示例2提供的用户基于ePDG初始会话建立EAP-AKA初始认证流程图，如图5所示，本发明示例2中，用户基于ePDG初始会话建立EAP-AKA初始认证流程包括以下步骤：

S502.UE和ePDG交互第一对消息即IKE_SA_INIT请求和响应，ePDG和UE协商加密算法、交换NONCES和执行Diffie_Hellman交换；

S504.UE向ePDG发送IKE_AUTH请求消息，携带用户标识NAI(永久NAI)和APN信息，开始协商child SA；UE通过不包含认证参数向ePDG指明使用EAP over IKEv2认证方式，如果UE需要动态分配远端地址，需要携带配置载荷；；

S506.ePDG向AAA Server发送DER消息，携带用户标识、APN；

S508.AAA Server通过发送DEA消息发起认证挑战，不再请求用户标识；

S510.3ePDG发送IKE_AUTH响应消息，携带ePDG标识，并转发从AAA Server接收到的EAP消息(EAP-/AKA挑战请求)，用于开始IKEv2层面的EAP 流程；

S512.UE检查认证参数，向ePDG发送IKE_AUTH请求消息，除了IKE头外仅携带EAP载荷，携带挑战响应；

S514.ePDG通过向AAA Server发送DER消息转发EAP-AKA挑战响应给AAA Server；

S516.当所有检查都成功，AAA Server发送最终的DEA响应给ePDG，携带指示成功结果码、相关业务认证信息和秘钥材料；

S518.ePDG通过向UE发送IKE_AUTH响应消息，转发EAP最终的成功或者失败；

S520.UE使用自己导出的秘钥材料作为输入生成AUTH参数，用于认证IKE_SA_INIT阶段消息，向ePDG发送IKE_AUTH请求消息；

S522.ePDG验证从UE收到的AUTH载荷是否正确，验证成功后向UE发送KE_AUTH响应消息，消息中可以把AAA分配的真实IMSI传递给UE，可通过扩展配置载荷消息的属性类型携带。如果UE请求动态地址，PDG在CFG_REPLY参数中包含分配给UE的remote IP地址，然后和AUTH参数、安全联盟、选择符一起发送给UE，结束IKEv2协商。也可以是UE和ePDG在初始认证阶段共同协商出的可用于识别重认证的任何扩展标识。

重认证标识可以是UE进行初始认证时AAA分配给UE的IMSI，此时需要由ePDG在初始认证的最后一条IKE AUTH响应中，增加字段把AAA分配的真实IMSI传递给UE，后续UE进行重认证时，携带这个真实的IMSI，ePDG通过这个真实的IMSI来发现已经存在此用户，识别出这是一个重认证流程。IMSI建议在IKE的Notify载荷中扩展一个属性类型，用于携带。

至此UE初始建立结束。

图6为本发明示例2提供的用户基于ePDG的EAP-AKA快速重认证流程图，如图6所示，本发明示例2中，用户基于ePDG的EAP-AKA快速重认证流程包括以下步骤：

S602.UE和ePDG交互第一对消息即IKE_SA_INIT请求和响应，ePDG和UE协商加密算法、交换nonces和执行Diffie_Hellman交换；

S604.UE向ePDG发送IKE_AUTH请求消息，携带快速重认证NAI和图5中初始认证过程中AAA分配的IMSI。

可选的，还可以包括UE原来分配的IP地址和/或UE原来使用的APN；

S606.ePDG通过收到消息中携带的IMSI识别出这是一个重认证流程，并通过消息中的IMSI、IP地址以及APN定位到原来用户数据区，使用和初始认证相同的会话session向3GPP AAA Server发送DER(Diameter EAP Request)消息，携带用户标识、APN、隧道建立指示和EAP属性，并通知AAA Server UE请求重认证；

S608.3GPP AAA Server识别出UE发起EAP-AKA快速重认证流程，向ePDG回DEA消息，携带EAP-AKA重认证请求，EAP-Request消息中包含计数器、NONCE、MAC和用于下一次快速重认证受保护的快速重认证标识；

S610.ePDG通过IKE_AUTH响应消息将EAP-AKA重认证请求转发给UE；

S612.UE校验计数器至最新，消息认证码正确，并向ePDG发送IKE_AUTH请求消息，携带EAP-AKA重认证响应，包含相同计数器值(由AAA Server累加)和计算的消息认证码；

S614.ePDG通过DER消息将EAP-AKA重认证响应转发给3GPP AAA Server；

S616.ePDG使用秘钥材料计算出AUTH参数，以便验证IKE_SA_INIT消息，向ePDG发送IKE_AUTH请求消息；

S618.ePDG返回IKE_AUTH响应，携带EAP-success，指示EAP认证成功；

S620.UE使用自己导出的秘钥材料计算产生AUTH发给ePDG，以便ePDG验证UE发送的IKE_SA_INIT消息，向ePDG发送IKE_AUTH请求消息；

S622.ePDG验证从UE收到的AUTH载荷是否正确，验证成功后向UE发送KE_AUTH响应消息。如果UE请求动态地址，ePDG在配置载荷中包含分配给UE的IP地址，然后和AUTH参数、安全联盟、流量选择器一起发送给UE，结束IKEv2协商。至此，用户重认证流程结束。

实施例3

本发明实施例3提供了一种重认证识别系统，如图7，包括用户设备UE、 演进分组数据网关ePDG和认证授权计费AAA服务器；其中，所述UE，用于向所述ePDG发送重认证请求消息，其中所述重认证请求消息包括重认证标识；所述ePDG，用于根据所述重认证标识识别出当前流程是重认证流程，并关联原有用户数据，通知服务器；所述AAA服务器，用于启动重认证流程。

需要说明的是，上述实施例中描述的系统对应于上述的方法实施例，其具体的实现过程在方法实施例中已经进行过详细说明，在此不再赘述。

综上所述，根据本发明的上述实施例，达到了能够使ePDG在重认证初始阶段主动识别出处于重认证流程中，进而降低了ePDG上用户资源的消耗，简化了整个基于演进分组数据网关的重认证流程。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。