本文提出的实施例涉及活动性检查,具体地,涉及用于使用互联网密钥交换消息来配置活动性检查的方法、用户设备、核心网节点、计算机程序和计算机程序产品。
背景技术:
在通信网络中,针对给定的通信协议、其参数和部署有该通信网络的物理环境,获得良好性能和容量可能是一种挑战。
例如,为通信网络中的给定通信协议提供良好性能和容量的一个参数是例如在不可信的非3gpp接入网(其中3gpp是第三代合作伙伴计划的缩写)上提供有效和可靠的活动性检查(也称为失效对等体体检测)的能力。
活动性检查能够确保互联网密钥交换(如互联网密钥交换v1(ikev1)或互联网密钥交换v2(ikev2))安全关联的两端是活动的。
一般来说,活动性检查可以包括:互联网密钥交换安全关联的一个端点发送没有有效载荷(除语法所需的空加密的有效载荷之外)的信息请求消息,而互联网密钥交换安全关联的另一个端点用信息响应消息进行响应。根据ietf(互联网工程任务组)rfc(请求注释)5996的协议期望在端点在给定超时内没有接收到任何加密保护的互联网协议安全(ipsec)或互联网密钥交换分组作为互联网密钥交换安全关联的一部分的情况下,周期性地发送信息请求消息。
当在不信任的接入网中使用互联网密钥交换时,用户设备和演进的分组数据网关(epdg)充当互联网密钥交换安全关联的端点。
epdg可以发送信息请求消息来监视用户设备的活动性,但这需要epdg中的定时器。
用户设备可以发送信息请求消息来监视epdg的活动性,但是运营商无法控制超时为多少。因此,网络控制来自用户设备的活动性检查的实际使用的可能性有限。
因此,需要针对用户设备的改进的活动性检查。
技术实现要素:
本文的实施例的目的是提供对用户设备的有效的活动性检查。
根据第一方案,提出了一种使用互联网密钥交换消息来配置活动性检查的方法。该方法由用户设备(例如ue)执行。所述方法包括向核心网节点发送第一互联网密钥交换消息,所述第一互联网密钥交换消息包括指示支持接收用于活动性检查的超时时段的配置属性。该方法包括从核心网节点接收第二互联网密钥交换消息,所述第二互联网密钥交换消息包括指示用于所述活动性检查的超时时段的配置属性。
有利地,这提供了在用户设备中的有效活动性检查。
有利地,这实现了来自核心网节点对活动性检查的用户设备使用的动态控制。
有利地,这实现了对由执行其活动性检查部分的用户设备使用的超时时段进行控制。
根据第二方案,提出了一种使用互联网密钥交换消息来配置活动性检查的用户设备。所述用户设备包括处理单元。所述处理单元被配置为使用户设备向核心网节点发送第一互联网密钥交换消息,所述第一互联网密钥交换消息包括指示支持接收活动性检查的超时时段的配置属性。处理单元被配置为使用户设备从核心网节点接收第二互联网密钥交换消息,所述第二互联网密钥交换消息包括指示所述活动性检查的超时时段的配置属性。
根据第三方案,提出了一种使用互联网密钥交换消息来配置活动性检查的计算机程序,所述计算机程序包括计算机程序代码,所述计算机程序代码当在用户设备的处理单元上运行时使得所述用户设备执行根据第一方案所述的方法。
根据第四方案,提出了一种使用互联网密钥交换消息来配置活动性检查的方法。该方法由核心网节点执行。该方法包括从用户设备接收第一互联网密钥交换消息,所述第一互联网密钥交换消息包括指示支持接收活动性检查的超时时段的配置属性。该方法包括向所述用户设备发送第二互联网密钥交换消息,所述第二互联网密钥交换消息包括指示所述活动性检查的超时时段的配置属性。
根据第五方案,提出了一种使用互联网密钥交换消息来配置活动性检查的核心网节点。该核心网节点包括处理单元。该处理单元被配置为使核心网节点从用户设备接收第一互联网密钥交换消息,所述第一互联网密钥交换消息包括指示支持接收活动性检查的超时时段的配置属性。该处理单元被配置为使核心网节点向用户设备发送第二互联网密钥交换消息,所述第二互联网密钥交换消息包括指示所述活动性检查的超时时段的配置属性。
根据实施例,核心网节点是演进分组数据网关(epdg)。
根据第六方案,提出了一种使用互联网密钥交换消息来配置活动性检查的计算机程序,所述计算机程序包括计算机程序代码,所述计算机程序代码当在核心网节点的处理单元上运行时使得所述核心网节点执行根据第四方案所述的方法。
根据本发明的第七方案,提出了一种计算机程序产品,包括根据第三和第六方案中至少一个的计算机程序以及存储所述计算机程序的计算机可读装置。
应当注意到:第一、第二、第三、第四、第五、第六和第七方案中的任何特征可被应用于任何其他方案(只要在合适的情况下)。类似地,第一方案的任何优点可以被同样分别适用于第二、第三、第四、第五、第六和/或第七方案,且反之亦然。通过以下详细公开、所附从属权利要求以及附图,所附实施例的其他目标、特征和优点将变得显而易见。
一般地,除非本文另有明确说明,否则权利要求中使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明,否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明,否则本文公开的任何方法的步骤不必以所公开的确切顺序来执行。
附图说明
下面参照附图以示例方式描述本发明构思,附图中:
图1是示出了根据实施例的通信网络的示意图;
图2a是示出了根据实施例的用户设备ue的功能单元的示意图;
图2b是示出了根据实施例的用户设备的功能模块的示意图;
图3a是示出了根据实施例的核心网节点的功能单元的示意图;
图2b是示出了根据实施例的核心网节点的功能模块的示意图;
图4示出了根据实施例的包括计算机可读装置在内的计算机程序产品的一个示例;
图5、图6、图7和图8是根据实施例的方法的流程图;以及
图9是根据实施例的信令图;以及
图10是根据实施例的用于活动性检查的超时时段属性的示意图。
具体实施方式
现在将在下文参考其中示出本发明的特定实施例的附图来更全面地描述发明构思。然而,本发明构思可以按多种不同形式来体现,并且不应当被解释为受到本文阐述的实施例的限制。而是,通过示例给出这些实施例,使得本公开将透彻和完整,并且向本领域技术人员充分地传达本发明构思的范围。在说明书全文中,相似的标记指代相似的要素。由虚线示出的任何步骤或特征应当被视为可选的。
图1示出了可以应用本文呈现的实施例的举例说明的无线通信网络10的概览示意图。图1的无线通信网络10是基于长期演进(lte)的。应当指出,术语“lte”和“基于lte”在此被用于包括当前和将来的基于lte的网络,例如高级lte网络。应当理解,尽管图1示出了基于lte的通信网络,但是本文的示例实施例也可以用于包括与图1中的网络的节点和功能相对应的节点和功能的其他无线通信网络,例如全球通信系统(gsm)或通用移动电信系统(umts)。
无线通信网络包括一个或多个enodeb形式的基站,其可操作地连接到服务网关(sgw),进而可操作地连接到移动性管理实体(mme)和分组数据网络网关(pgw),分组数据网络网关进而可操作地连接到策略和计费规则功能(pcrf)。enodeb是与用户设备11接口连接的无线接入节点。网络的enodeb形成所谓的演进通用陆地无线接入网(e-utran),用于通过诸如lte-uu的空中接口与用户设备进行通信。lte中的核心网被称为演进分组核心(epc),并且epc与e-utran一起被称为演进分组系统(eps)。sgw通过s1-u接口路由和转发用户数据分组,同时也作为在enodeb间切换期间的用户平面的移动性锚点,并且作为lte与其他第三代合作伙伴计划(3gpp)技术之间的移动性锚点(终止s4接口并中继2g/3g系统和pgw之间的业务)。对于空闲状态的用户设备而言,当下行链路数据到达用户设备时,sgw终止下行链路数据路径并触发寻呼,并进一步管理和存储用户设备上下文,例如ip承载服务的参数、网络内部路由信息。sgw经由接口s11与mme通信,并经由s5接口与pgw通信。此外,sgw可以经由s12接口与通用陆地无线电接入网(utran)的nodeb通信,并与gsmedge(“用于gsm演进的增强数据速率”)无线电接入网(geran)的基站收发机(bts)通信。
mme负责空闲模式用户设备跟踪和寻呼过程,该过程包括重传。其包括在承载激活/去激活过程中,并且还负责在初始附接和在涉及核心网(cn)节点重定位的lte内切换时选择用于用户设备的sgw。其负责通过与归属订户服务器(hss)进行交互来认证用户。非接入层(nas)信令在mme终止,并且其还负责产生临时标识并经由s1-mme接口向用户设备分配临时标识。其检查用户设备在服务提供商的公共陆地移动网络(plmn)上驻留的授权,并实施用户设备漫游限制。mme是网络中用于nas信令的加密/完整性保护的终止点,并处理安全密钥管理。mme还提供用于在lte和2g/3g接入网之间的移动性的控制面功能,其中s3接口从服务通用分组无线业务(gprs)支持节点(sgsn)终止于mme。mme还终止用于漫游用户设备的归属hss的s6a接口。此外,存在被配置为在mme之间通信以用于mme重定位和mme到mme信息传送的接口s10。
pgw通过作为用户设备的业务的出口和入口来向用户设备提供与外部分组数据网络(pdn)的连接性。用户设备可以同时与多于一个的pgw连接以访问多个pdn。pgw执行策略实施、针对每个用户的分组过滤、收费支持、合法拦截和分组屏蔽。pgw的另一个作用是作为3gpp和非3gpp技术(如wimax和3gpp2(cdma1x和evdo))之间的移动性的锚点。pgw和分组数据网络(例如互联网)之间的接口被称为sgi。分组数据网络可以是运营商外部公共或私有分组数据网络、或运营商内部分组数据网络,例如用于提供ip多媒体子系统(ims)服务。
pcrf相对于网络的用户设备实时地确定策略规则。这可以例如包括实时地聚合去往和来自核心网和网络的操作支持系统等的信息,以基于这样的规则或类似的规则来支持对当前在网络中活动的用户设备的规则的创建和/或自动地做出策略决策。pcrf经由接口gx向pgw提供这样的规则或类似的规则,以由运行的pgw用作策略和计费执行功能(pcef)。pcrf还经由rx接口与分组数据网络进行通信。
演进分组数据网关(epdg)12的一个主要功能是确保通过不可信的非3gpp接入与连接到epc的用户设备的数据传输。为此,epdg充当与用户设备建立的ipsec隧道的终止节点。
3gppaaa服务器位于3gpp家庭公共陆地移动网络(hplmn)内。它执行认证、授权和计费(aaa)功能,也可以充当aaa代理服务器。对于wlan3gppip接口,它向pdg、wlan接入网关和wlan接入网提供授权、策略实施和路由信息。
如上所述,用户设备可以发送信息请求消息来监视epdg的活动性,但是运营商无法控制超时为多少。因此,网络控制来自用户设备的活动性检查的实际使用的可能性有限。
使网络中的节点能够配置用户设备如何利用由网络指定的超时来发送信息请求消息会是有用的。这将使得网络能够动态地控制和调整活动性检查的使用,例如避免网络上的不必要的业务负载。
此外,即使用户设备接收到加密保护的ipsec/ikev2分组但是在给定超时内不发送任何加密保护的ipsec/ikev2分组作为ikev2安全关联的一部分,也要求用户设备发送信息请求会是有用的。这将消除在核心网节点(如epdg)中运行用于活动性检查的计时器的需要,而是依赖于用户设备在给定超时内发送加密保护的ipsec/ikev2分组(不论是ikev2/ipsec分组还是信息请求)。
如上所述,epdg可以发送信息请求消息来监视用户设备的活动性,但这需要epdg中的定时器。
ikev1中存在类似的问题,其中根据ietf(互联网工程任务组)rfc(请求注释)3706的失效对等体检测协议被用于检测对等体的活动性检查。不发送ikev2informational请求消息,而是可以发送rfc3706定义的r-u-there消息。不发送ikev2informational响应消息,而是可以发送rfc3706定义的r-u-there-ack消息。
这里公开的实施例涉及使用互联网密钥交换消息的活动性检查。为了获得这种活动性检查,提供了一种用户设备、由用户设备执行的方法、包括例如以计算机程序产品的形式的代码在内的计算机程序,其中当所述计算机程序在用户设备的处理单元上运行时使得用户设备执行所述方法。为了获得这种活动性检查,还提供了一种核心网节点(例如epdg)、由核心网节点执行的方法、以及包括例如以计算机程序产品的形式的代码在内的计算机程序,其中当所述计算机程序在核心网节点的处理单元上运行时使得核心网节点执行所述方法。
图2a以多个功能单元的方式示意性地示出了根据实施例的用户设备11的组件。使用能够执行计算机程序产品41a(如图4)(例如,具有存储介质23的形式)中存储的软件指令的合适的中央处理单元(cpu)、多处理器、微控制器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)等中的一种或多种的任意组合来提供处理单元21。处理单元21由此被布置为执行本文公开的方法。存储介质23还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。用户设备还可以包括用于与网络中的节点、设备、用户设备、逻辑实体进行通信的通信接口22。由此,通信接口22可以包括一个或多个发射机和接收机,所述发射机和接收机包括模拟数字组件和合适数量的无线通信天线。处理单元21例如通过向通信接口22和存储介质23发送数据和控制信号、通过从通信接口22接收数据和报告、以及通过从存储介质23中获取数据和指令来控制用户设备的总体操作。省略用户设备的其他组件以及有关功能以不使本文提出的概念模糊。在广义上,用户设备可以是无线设备(例如便携式无线设备),并且可以被提供为移动站、移动电话、手持电话、无线本地回路电话、智能电话、膝上型计算机、平板计算机、无线调制解调器、传感器或物联网设备。
图2b以多个功能模块的方式示意性地示出了根据实施例的用户设备11的组件。图2b的用户设备40包括多个功能模块;被配置为执行下面的步骤s102的发送第一模块21a以及被配置为执行下面的步骤s104的接收第二模块21b。图2b的用户设备11还可以包括多个可选的功能模块,例如以下任何项:被配置为执行下面的步骤s106的活动性检查模块21c、被配置为执行下面的步骤s108的发送请求模块21d、被配置为执行下面的步骤s110的确定失败模块21e和被配置为执行下面的步骤s112和s114的丢弃模块21f。以下将在可以使用功能模块21a-21e的上下文中进一步公开每个功能模块21a-21e的功能。一般地,每个功能模块21a-21e可以在硬件或在软件中实现。优选地,一个或多个或所有功能模块21a-21e可以由处理单元21实现,可能与功能单元22和/或23协作。处理单元21可以因此被布置为从存储介质23获取由功能模块21a-21e提供的指令,并且被布置为执行这些指令,从而执行下文将公开的任何步骤。
图3a以多个功能单元的方式示意性地示出了根据实施例的核心网节点12的组件。使用能够执行计算机程序产品41b(如图4)(例如,具有存储介质33的形式)中存储的软件指令的合适的中央处理单元(cpu)、多处理器、微控制器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)等中的一种或多种的任意组合来提供处理单元31。处理单元31由此被布置为执行本文公开的方法。存储介质33还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。核心网节点12还可以包括用于与网络中的节点、设备、用户设备、逻辑实体进行通信的通信接口32。由此,通信接口32可以包括一个或多个发射机和接收机,发射机和接收机包括模拟和数字组件以及合适数量的无线通信天线和/或有线通信端口。处理单元31例如通过向通信接口32和存储介质33发送数据和控制信号、通过从通信接口32接收数据和报告、以及通过从存储介质33中获取数据和指令来控制核心网节点12的总体操作。省略核心网节点12的其他元件以及有关功能以不使本文提出的概念模糊。根据实施例,核心网节点是演进分组数据网关(epdg)。
图3b以多个功能模块的方式示意性地示出了根据实施例的核心网节点12的组件。图3b的核心网节点12包括多个功能模块:被配置为执行下面的步骤s202的接收第一模块31a以及被配置为执行下面的s210的发送第二模块31b。图3b的核心网节点12还可以包括多个可选的功能模块,例如以下任何项:被配置为执行下面的步骤s206的指示模块31c、被配置为执行下面的步骤s208的接收值模块31d、被配置为执行下面的步骤s212的请求模块31e、被配置为执行下面的步骤s214的发送响应模块31f以及被配置为执行下面的步骤s204的确定模块31g。以下将在可以使用功能模块31a-31g的上下文中进一步公开每个功能模块31a-31g的功能。一般地,每个功能模块31a-31g可以在硬件或在软件中实现。优选地,一个或多个或所有功能模块31a-31g可以由处理单元31实现,可能与功能单元32和/或33协作。处理单元31可以因此被布置为从存储介质33获取由功能模块31a-31g提供的指令,并且被布置为执行这些指令,从而执行下文将公开的任何步骤。
图4示出了包括计算机可读装置43在内的计算机程序产品41a、41b的一个示例。在该计算机可读装置43上,可以存储计算机程序42a,该计算机程序42a可以使得处理单元21和操作耦接到处理单元21的实体和设备(例如,通信接口22和存储介质23)执行根据本文描述的实施例的方法。计算机程序42a和/或计算机程序产品41a可以因此提供执行如本文公开的用户设备的任何步骤的装置。在该计算机可读装置43上,可以存储计算机程序42b,该计算机程序42b可以使得处理单元31和操作耦接到处理单元41的实体和设备(例如,通信接口32和存储介质33)执行根据本文描述的实施例的方法。计算机程序42b和/或计算机程序产品41b可以因此提供执行如本文公开的核心网节点的任何步骤的装置。
在图4的示例中,计算机程序产品41a、41b被示为光盘,例如cd(高密度盘)或dvd(数字多功能盘)或蓝光盘。计算机程序产品41a、41b还可以体现为存储器,例如随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom)、或电子可擦除可编程只读存储器(eeprom)和更具体地作为外部存储器中的设备的非易失性存储介质,例如usb(通用串行总线)存储器、或闪存(例如高密度闪存)。因此,尽管计算机程序42a、42b在这里被示意性地示出为所描述的光盘上的轨道,计算机程序42a、42b可以用适于计算机程序产品41a、41b的任意方式进行存储。
图5和图6是示出了由用户设备11执行的使用互联网密钥交换消息配置活动性检查的方法的实施例的流程图。图7和图8是示出了由核心网节点11执行的使用互联网密钥交换消息配置活动性检查的方法的实施例的流程图。这些方法有利地提供为计算机程序42a、42b。
现在参考图5,图5示出了根据实施例的由用户设备11执行的使用互联网密钥交换消息来配置活动性检查的方法。
用户设备被配置为在步骤s102中向核心网节点发送第一互联网密钥交换消息。第一互联网密钥交换消息包括指示支持接收活动性检查的超时时段的配置属性。
如下面将进一步公开的,假设该消息被核心网节点接收,核心网节点进而对该消息进行响应。因此,用户设备被配置为在步骤s104中从核心网节点接收第二互联网密钥交换消息。第二互联网密钥交换消息包括指示活动性检查的超时时段的配置属性。
现在将公开与由用户设备11执行的使用互联网密钥交换消息的活动性检查的进一步细节相关的实施例。
可以存在不同的方式来提供第一互联网密钥交换消息和第二互联网密钥交换消息。现在将进而公开与其相关的实施例。根据实施例,第一互联网密钥交换消息是ike_auth请求消息。根据实施例,第二互联网密钥交换消息是ike_auth响应消息。
可以存在不同的方式来提供指示支持接收活动性检查的超时时段的配置属性、以及指示支持接收活动性检查的超时时段的配置属性。现在将进而公开与其相关的实施例。根据实施例,指示支持接收活动性检查的超时时段的配置属性是长度字段被设置为零的活动性检查的超时时段属性。根据实施例,在cfg_request配置有效载荷中提供指示支持接收活动性检查的超时时段的配置属性。根据实施例,指示所述活动性检查的超时时段的配置属性是具有超时时段字段的活动性检查的超时时段属性。根据实施例,在cfg_reply配置有效载荷中提供指示所述活动性检查的超时时段的配置属性。
指示活动性检查的超时时段的配置属性可以基于本地策略。备选地,指示活动性检查的超时时段的配置属性基于来自配置系统或管理系统的信息。以下将提供其进一步的细节。
现在参考图6,图6示出了根据其他实施例的由用户设备11执行的使用互联网密钥交换消息配置活动性检查的方法。
可以在互联网密钥交换版本2(ikev2)消息中发送第一互联网密钥交换消息,并且可以在ikev2消息中接收第二互联网密钥交换消息。更具体地,在一个实施例中,如果ue支持被配置用于活动性检查的能力,则ue包括ikev2配置属性,该属性指示被配置用于在向核心网节点12发送的ikev2消息中的活动性检查的能力。在本实施例中,如果ue支持被配置用于活动性检查的能力,并且ikev2配置属性指示接收到的ikev2消息中的活动性检查的超时时段,则ue根据该ikev2配置属性的值执行活动性检查。因此,用户设备可以被配置为在步骤s106中根据指示活动性检查的超时时段的配置属性来执行活动性检查。
在一个实施例中,ikev2配置属性还包括指示,所述指示对当ue在给定超时中接收到加密保护的互联网协议安全(ipsec)或ikev2分组、但是在该给定超时中不发送任何加密保护的ipsec/ikev2分组作为ikev2安全关联的一部分时ue是否也需要发送ikev2informational请求进行指示。第二互联网密钥交换消息的配置属性可以包括指示:所述指示对在用户设备在超时时段内接收到加密保护的ipsec分组和加密的互联网密钥交换分组中的至少一个的情况下用户设备是否也需要发送信息请求进行指示。信息请求可以包括在ikev2informational请求消息中。
活动性检查可以是互联网密钥交换安全关联的一部分,并且在所述超时时段内,用户设备不发送任何加密保护的ipsec分组或加密的互联网密钥交换分组作为互联网密钥交换安全关联的一部分。因此,用户设备可以被配置为:如果活动性检查的超时时段属性包括在接收到的指示所述活动性检查的超时时段的配置属性中,并且如果在活动性检查的超时时段内没有接收到加密保护的ipsec分组或加密的互联网密钥交换分组,则在步骤s108中,发送无有效载荷的信息请求。
在活动性检查是互联网密钥交换安全关联的一部分的实施例中,用户设备被配置为在没有接收到对所发送的无有效载荷的信息请求做出响应的信息响应的情况下,在步骤s110中,确定互联网密钥交换安全关联失败。用户设备还被配置为在步骤s112中丢弃与互联网密钥交换安全关联相关联的任何状态信息;和/或在步骤s114中,丢弃使用互联网密钥交换安全关联协商的任何ipsec安全关联。
在一个实施例中,互联网密钥交换版本1(ikev1)与失效对等体检测协议(rfc3706)一起使用。也就是说,不使用如上所述的ikev2配置属性,而是使用携带该信息的新的ikev1属性。也就是说,根据实施例,在ikev1消息中发送第一互联网密钥交换消息,并且在ikev1消息中接收第二互联网密钥交换消息。
此外,不是发送ikev2informational请求消息,而是发送rfc3706定义的r-u-there消息;以及不是发送ikev2informational响应消息,而是发送rfc3706定义的r-u-there-ack消息。也就是说,根据实施例,第二互联网密钥交换消息的配置属性包括指示:所述指示对在用户设备在超时时段内接收到加密保护的ipsec分组和加密的互联网密钥交换分组的至少一个的情况下用户设备是否也需要发送are-you-there(你在吗)消息进行指示。are-you-there消息可以包括在rfc3706定义的r-u-there消息中。
现在参考图7,图7示出了根据实施例的由核心网节点12执行的使用互联网密钥交换消息来配置活动性检查的方法。
如上所述,用户设备11在步骤s102中向核心网节点12发送消息。为了公开本文所公开的发明构思的目的,假设该消息被核心网节点12接收。因此,核心网节点被配置为在步骤s202中从用户设备11接收包括指示支持接收活动性检查的超时时段的配置属性在内的第一互联网密钥交换消息。核心网节点12响应该接收到的消息。具体地,核心网节点被配置为在步骤s210中向用户设备发送包括指示活动性检查的超时时段的配置属性在内的第二互联网密钥交换消息。
现在将公开与由核心网节点12执行的使用互联网密钥交换消息的活动性检查的进一步细节相关的实施例。
现在参考图8,图8示出了根据其他实施例的由核心网节点12执行的使用互联网密钥交换消息来配置活动性检查的方法。
在一个实施例中,如果核心网节点12支持能够配置用户设备进行活动性检查的能力,并且指示被配置用于活动性检查的能力的ikev2配置属性包括在所接收的ikev2消息中,则核心网网络节点12在向用户设备发送的ikev2消息中包括指示活动性检查的超时时段的ikev2配置属性。
核心网节点12可以有不同的方式来确定指示超时时段的配置属性的内容。现在将进而公开与其相关的不同实施例。
例如,核心网节点12可以基于本地策略来确定指示超时时段的配置属性的内容。因此,根据实施方式,核心网节点被配置为在步骤s204中,基于本地策略确定指示活动性检查的超时时段的配置属性中的超时时段的值。
例如,核心网节点12可以基于来自其他配置或管理系统的信息来确定指示超时时段的配置属性的内容。
例如,核心网节点12可以通过向pgw指示核心网节点支持能够将用户设备配置用于活动性检查的能力以及pgw例如经由gtp或经由pmip向核心网节点提供该配置属性的值,来确定指示超时时段的配置属性的内容。因此,根据实施例,核心网节点被配置为在步骤s206中向分组数据网络网关pgw指示核心网节点支持接收所述活动性检查的超时时段。然后,核心网节点可以被配置为在步骤s208中从pgw接收指示活动性检查的超时时段的配置属性的值。该值可以经由一般分组无线电业务隧道协议(gtp)来接收。备选地,该值可以经由代理移动互联网协议(pmip)来接收。
现在将公开表示支持接收活动性检查的超时时段的配置属性的其他示例。例如,指示支持接收活动性检查的超时时段的配置属性可以是长度字段被设置为零的活动性检查的超时时段属性。例如,可以在cfg_request配置有效载荷中提供指示支持接收活动性检查的超时时段的配置属性。例如,指示所述活动性检查的超时时段的配置属性可以是具有超时时段字段的活动性检查的超时时段属性。例如,可以在cfg_reply配置有效载荷中提供指示活动性检查的超时时段的配置属性。
如上面关于用户设备的实施例所述,在一个实施例中,消息基于与失效对等体体检测协议(rfc3706)一起使用的ikev1。这样的实施例同样适用于核心网节点。因此,不使用如本文所公开的ikev2配置属性,而是使用携带该信息的新的ikev1属性。不发送/接收ikev2informational请求消息的替代,而是可以发送/接收rfc3706定义的r-u-there消息。不发送/接收ikev2informational响应消息,而是可以发送/接收rfc3706定义的r-u-there-ack消息。因此,根据实施例,核心网节点被配置为在步骤s212中从用户设备接收信息请求消息;以及响应于此,在步骤s214中,向用户设备发送信息响应消息。信息响应消息可以包括在ikev2informational响应消息中。信息响应消息可以包括在rfc3706定义的r-u-there-ack消息中。
现在将详细描述基于以上公开的至少一些实施例以及基于3gppts24.302、版本13.0.0、第7.2.2和7.4.1节的使用互联网密钥交换消息配置活动性检查的一个具体实施例。该具体实施例基于隧道建立。在该实施例中,在epdg中提供核心网节点的功能。
一旦选择了epdg,用户设备就根据ietfrfc5996和3gppts33.402(例如版本12.5.0、第8.2.2节),使用ikev2协议来发起ipsec隧道建立过程。
用户设备向选定的epdg发送ike_sa_init请求消息,以建立ikev2安全关联。在接收到ike_sa_init响应时,用户设备向epdg发送ike_auth请求消息,该消息包括需要在ikev2cfg_request配置有效载荷中配置的ip地址类型(ipv4地址或ipv6前缀或两者)。如果用户设备要求ipv4地址和ipv6前缀两者,则用户设备在cfg_request配置有效载荷中发送两个配置属性,一个配置属性用于ipv4地址,一个配置属性用于ipv6前缀。ike_auth请求消息在“idr”有效载荷中包括apn并且在“idi”有效载荷中包括nai。用户设备通过省略idr有效载荷来指示针对默认apn的请求,这符合根据ietfrfc5996的ikev2协议。ike_auth请求消息可以在通知有效载荷中包括用户设备所支持的所谓mobike的指示。用户设备还可以在cfg_request配置有效载荷中包括internal_ip6_dns或internal_ip4_dns属性。根据ietfrfc5996,用户设备可以获得在cfg_reply有效载荷中寻址的零个或多个dns服务器。用户设备还可以在cfg_request配置有效载荷中包括p-cscf_ip6_address属性、p-cscf_ip4_address属性或这两者。用户设备可以在ietfdraft-gundavelli-ipsecme-3gpp-ims-options中指定的cfg_reply配置有效载荷中获得零个或多个p-cscf服务器地址。用户设备还可以在cfg_request配置有效载荷中包括如本文公开的指示支持接收活动性检查的超时时段的timeout_period_for_liveness_check属性。如果本文公开的timeout_period_for_liveness_check属性(即,指示活动性检查的超时时段)包括在cfg_reply配置有效载荷中,则用户设备执行隧道活动性检查。
在ikev2认证和安全关联建立期间,如果用户设备支持关于所支持的移动性协议的明确指示,则用户设备提供指示。
在用于初始附接的ikev2认证和隧道建立期间,用户设备提供关于附接类型的指示,其指示初始附接。为了指示由于初始附接而导致的附接,用户设备在ike_auth请求消息中的cfg_request配置有效载荷中包括internal_ip4_address或internal_ip6_address属性或这两者。internal_ip4_address不包括值,并且长度字段被设置为0(即,零)。internal_ip6_address不包括值,并且长度字段被设置为0(即,零)。
在用于切换的ikev2认证和隧道建立期间,不支持nbm的ip地址保留的用户设备指示如上所述的初始附接。
在用于切换的ikev2认证和安全关联建立期间,支持nbm的ip地址保留的用户设备提供关于附接类型的指示,其指示切换附接。为了指示由于切换导致的附接,在ipsec隧道建立期间,用户设备包括先前分配的归属地址信息。根据ip版本,用户设备在ike_auth请求消息中的cfg_request配置有效载荷中包括internal_ip4_address或internal_ip6_address属性或这两者,以指示根据ikev2协议的归属地址信息。用户设备支持ipsecesp,以便在用户设备和epdg之间提供安全隧道。
用户设备可以支持ikev2协议中的多个认证交换,以支持利用外部aaa服务器对允许ue支持pap认证过程或chap认证过程或这两者的认证和授权。
如果使用nbm,并且用户设备希望访问外部pdn,并因此需要利用外部aaa服务器进行认证和授权,则用户设备执行以下操作:
如果ike_sa_init响应包含“multiple_auth_supported”通知有效载荷,则用户设备将在ike_auth请求中包括“multiple_auth_supported”通知有效载荷
并执行进一步的认证步骤。
如果ike_sa_init响应不包含“multiple_auth_supported”通知有效载荷,则用户设备执行由用户设备发起的连接断开。随后的用户设备动作取决于实施(例如,取决于是否选择了新的epdg)。
如果使用nbm,并且如果用户设备从epdg接收到包含通知有效载荷的ike_auth响应消息(其中所述通知有效载荷具有在通知数据字段中包括ip地址信息的专用通知消息类型pdn_connection_rejection),则用户设备在可操作地连接到当前epdg期间不尝试重新建立该pdn连接,并且用户设备关闭相关的ikev2安全关联状态。
如果使用nbm,并且如果用户设备从epdg接收到包含通知有效载荷的ike_auth响应消息(其中所述通知有效载荷具有专用通知消息类型pdn_connection_rejection而不具有通知数据字段),则用户设备在连接到当前epdg期间不尝试建立到该apn的附加pdn连接。用户设备关闭相关的ikev2安全关联状态。随后,如果到给定apn的一个或多个现有pdn连接被释放,则用户设备可以尝试建立到给定apn的附加pdn连接。在可操作地连接到当前epdg的情况下,如果该pdn连接是给定apn的第一pdn连接,则用户设备不尝试建立到给定apn的pdn连接。
如果使用nbm,并且如果用户设备从epdg接收到包括通知有效载荷的ike_auth响应消息(其中所述通知有效载荷具有专用通知消息类型max_connection_reached),则用户设备在可操作地连接到当前epdg期间不尝试建立任何附加pdn连接。用户设备关闭相关的ikev2安全关联状态。随后,如果一个或多个现有pdn连接被释放,则用户设备可以尝试建立附加的pdn连接。
在被3gppaaa服务器认证成功之后,用户设备从epdg接收包括单个cfg_reply配置有效载荷(其包括所分配的远程ip地址信息(ipv4地址或ipv6前缀))的ike_auth响应消息。根据所使用的ip移动性管理机制,以下情况可以不同:
如果dsmipv6用于ip移动性管理,则用户设备将基于cfg_reply配置有效载荷的internal_ip4_address或internal_ip6_subnet属性中包含的ip地址信息来配置远程ip地址。用户设备使用远程ip地址作为用于联系ha的转交地址。
如果nbm用于ip移动性管理并且用户设备执行初始附接,则用户设备基于来自cfg_reply配置有效载荷的地址信息来配置归属地址。否则,如果使用nbm并且用户设备执行切换附接,则在cfg_reply配置有效载荷中提供的地址信息与用户设备在切换之前配置的ip地址匹配的情况下,用户设备继续使用其在切换之前配置的ip地址。如果用户设备的ip地址与cfg_reply配置有效载荷的地址信息不匹配,则用户设备将基于cfg_reply配置有效载荷的internal_ip4_address或internal_ip6_subnet属性中包含的ip地址信息来配置新的归属地址。在后一种情况下,ip地址保留是不可能的。
如果用户设备支持dsmipv6,则用户设备可以通过包括相应的包含home_agent_address属性的cfg_request配置有效载荷来请求haip地址。在该属性中请求的haip地址用于与epdg建立ipsec隧道的apn。在cfg_request中,用户设备将home_agent_address属性的ipv6地址字段和可选ipv4地址字段分别设置为0::0和0.0.0.0。如果用户设备无法通过ikev2信令获取ha的ip地址,则用户设备将使用归属代理地址发现。
在用户设备想要建立多个pdn连接的情况下,并且如果用户设备使用dsmipv6进行移动性管理,则在建立了到epdg的ikev2安全关联之后,用户设备使用dns来发现haip地址以用于附加pdn连接。
如果指示活动性检查的超时时段的timeout_period_for_liveness_check属性包括在cfg_reply配置有效载荷中,并且用户设备在timeout_period_for_liveness_check属性中指示的活动性检查的超时时段内没有接收到任何加密保护的ikev2或ipsec消息,则用户设备发送无有效载荷的informational请求。如果没有收到针对informational请求的informational响应,则用户设备认为ikev2安全关联失败,并丢弃与ikev2安全关联相关联的所有状态以及之前使用ike安全关联协商的任何ipsec安全关联。
在从请求建立隧道的用户设备接收到ike_auth请求消息时,epdg继续进行认证和授权,下面将给出进一步的细节。
在用户设备的认证和授权过程中,3gppaaa服务器向epdg提供关于选定ip移动性机制的指示。
epdg继续进行ipsec隧道建立完成,并在最终ike_auth响应消息的ikev2配置有效载荷(cfg_reply)中向用户设备中继远程ip地址信息。如果使用nbm作为ip移动性机制,则epdg经由单个cfg_reply配置有效载荷将ipv4地址或ipv6归属网络前缀或这两者分配给用户设备。如果用户设备要求ipv4地址和ipv6前缀两者,但由于订阅限制或网络偏好,epdg仅分配ipv4地址或ipv6归属网络前缀,则epdg通过单个cfg_reply配置有效载荷包括所分配的远程ip地址信息(ipv4地址或ipv6前缀)。如果epdg分配ipv4地址,则cfg_reply包括internal_ip4_address属性。如果epdg分配ipv6归属网络前缀,则cfg_reply包括internal_ip6_subnet配置属性。epdg从pdngw(pgw)获取ipv4地址和/或ipv6归属网络前缀。如果用户设备在隧道建立期间不向epdg提供apn,则epdg在ike_auth响应消息的idr有效载荷中包括默认apn。如果用户设备在cfg_request配置有效载荷中包括internal_ip6_dns或internal_ip4_dns,则根据ietfrfc5996,epdg在包括零个或多个dns服务器地址的cfg_reply配置有效载荷中包括相同的属性。如果用户设备在cfg_request配置有效载荷中包括p-cscf_ip6_address属性、p-cscf_ip4_address属性或这两者,则epdg可以在ietfdraft-gundavelli-ipsecme-3gpp-ims-options中指定的cfg_reply配置有效载荷中包括一个或多个相同属性的实例。如果用户设备在cfg_request配置有效载荷中包括指示支持接收活动性检查的超时时段的timeout_period_for_liveness_check属性,则epdg可以在cfg_reply配置有效载荷中包括指示活动性检查的超时时段的timeout_period_for_liveness_check属性。
如果使用dsmipv6作为ip移动性机制,则根据cfg_request有效载荷中的由用户设备提供的信息,epdg经由单个cfg_reply配置有效载荷向用户设备分配本地ipv4地址或本地ipv6地址(或本地ipv6前缀)。如果epdg分配本地ipv4地址,则cfg_reply包括internal_ip4_address属性。如果epdg分配本地ipv6地址或本地ipv6前缀,则cfg_reply相应地包括internal_ip6_address或internal_ip6_subnet属性。如果用户设备在隧道建立期间向epdg提供apn,则epdg不改变所提供的apn并将apn包括在ike_auth响应消息的idr有效载荷中。现在在用户设备和epdg之间建立了ipsec隧道。
如果使用nbm,并且epdg例如由于指示用户设备不能再接受给定apn的pdn连接请求的特定条件、网络策略或epdg能力而需要拒绝pdn连接,则epdg在ike_auth响应消息中包括具有专用通知消息类型pdn_connection_rejection的通知有效载荷。另外,如果来自用户设备的ike_auth请求消息指示切换附接,则通知有效载荷的通知数据字段包括来自切换附接指示的ip地址信息。如果用户设备指示初始附接,则省略通知数据字段。如果epdg由于网络策略或能力而需要拒绝pdn连接,以指示用户设备不能再接受与任何apn的pdn连接请求,则epdg在包含idr有效载荷的ike_auth响应消息中包括具有专用通知消息类型max_connection_reached的通知有效载荷。如果epdg确定用户设备不被允许访问epc,则epdg在ike_auth响应消息中包括具有通知消息类型authentication_failed的通知有效载荷。
如果用户设备通过包括先前分配的归属地址信息来指示切换附接并且epdg从3gppaaa服务器获得一个或多个pdngw标识,则epdg在随后的pdngw选择过程中使用这些标识的pdngw。如果用户设备指示初始附接(即不包括归属地址信息),则epdg可以运行其初始pdngw选择处理来确定pdngw,而不使用接收到的pdngw标识。
epdg支持ipsecesp,以便在用户设备和epdg之间提供安全隧道。
在ikev2认证和隧道建立过程中,如果用户设备请求了haip地址,并且如果dsmipv6被选择且如果haip地址可用,则epdg通过在cfg_reply配置有效载荷中包括home_agent_address属性,来为由ike_auth请求消息中的“idr”有效载荷指定的相应apn提供haip地址(ipv6地址和可选的ipv4地址)。在cfg_reply中,epdg分别将home_agent_address属性的ipv6归属代理地址字段和可选的ipv4归属代理地址字段设置为ha的ipv6地址和ha的ipv4地址。如果epdg上没有可用的ipv4ha地址,或者如果用户设备没有请求ipv4ha地址,则epdg将省略ipv4归属代理地址字段。如果epdg不能为相应的apn提供ipv6ha地址,则epdg不在cfg_reply中包括home_agent_address属性。
epdg可以支持ikev2协议中的多个认证交换,以便支持利用外部aaa服务器对用户设备的附加认证和授权。
如果epdg支持利用外部aaa服务器对用户设备的认证和授权,则在接收到ike_sa_init消息时,epdg在给用户设备的ike_sa_init响应消息中包括“multiple_auth_supported”类型的通知有效载荷。
在成功完成访问epc的用户设备的认证和授权过程,并且在接收到包含“another_auth_follows”类型的通知有效载荷的ike_auth请求时,epdg发送包含“auth”有效载荷的ike_auth响应。
在从用户设备接收到包括“idi”有效载荷中的专用网络中的用户标识在内的后续ike_auth请求时,epdg执行以下操作:
如果需要pap认证,则epdg在ike_auth响应消息中向用户设备发送eap-gtc请求。在接收到用户设备的eap-gtc响应后,epdg使用外部aaa服务器对用户(用户设备)进行认证。
如果需要chap认证,则epdg向用户设备发送eapmd5质询请求。在来自用户设备的ike_auth请求消息中接收到eapmd5质询响应后,epdg用外部aaa服务器认证用户(用户设备)。如果epdg从用户设备接收到包含eap-gtc类型的legacy-nak响应,则epdg可以改变认证和授权过程。如果epdg不改变认证和授权过程,或者如果epdg接收到不包括eap-gtc的legacy-nak响应,则epdg向用户设备发送eap-失败。
一般信令针对利用外部aaa服务器的认证和授权流动。
一般来说,ietfrfc5996的要求适用于本实施例。
根据该实施例的timeout_period_for_liveness_check属性如图10所示。
在图10中,属性的条目被编码如下:r比特在第一个八位字节中。指示timeout_period_for_liveness_check的属性类型字段的值为xx。长度字段被设置为零或四。如果长度字段被设置为零,则不包括超时时段字段。如果不包括超时时段字段,则其指示支持接收活动性检查的超时时段。如果包括超时时段字段,则超时周期字段指示单位为秒的活动性检查的超时时段。
在该实施例中,网络中的隧道终点是epdg。作为隧道建立尝试的一部分,请求使用某个apn。当ue新尝试隧道建立时,ue使用ikev2。作为ikev2启动器的ue的认证终止于3gppaaa服务器。ue通过ikev2向epdg发送eap消息。epdg通过ikev2提取从ue接收的eap消息,并将其发送给3gppaaa服务器。ue使用ikev2的配置有效载荷来获取远程ip地址。
在下文中,省略了关于认证的eap-aka消息参数和过程;仅公开了与在ikev2中的eap-aka的使用相关的决策和处理。
用于完全认证的消息流在图9的信令图中示出。
由于用户设备和epdg产生随机值作为用于推导ikev2中的加密和认证密钥的输入,因此提供了重放保护。至少因为这个原因,3gppaaa服务器不需要再次使用eap-aka特定方法来请求用户标识,因为3gppaaa服务器确定没有中间节点修改或改变了用户标识。
s301ue和epdg交换被称为ike_sa_init的第一对消息,其中epdg和ue协商加密算法,交换随机值并执行diffie_hellman交换。在图9的信令图中,步骤s301中的属性x表示指示支持接收活动性检查的超时时段的配置属性。
s302ue在ike_auth阶段的该第一消息中发送(idi有效载荷中的)用户标识和(idr有效载荷中的)apn信息,并开始协商子安全关联。ue省略auth参数,以向epdg指示它希望通过ikev2使用eap。用户标识符合网络访问标识符(nai)格式,并包含针对eap-aka定义的imsi或假名。ue在ike_auth请求消息中发送配置有效载荷(cfg_request)以获得ipv4和/或ipv6归属ip地址和/或归属代理地址。
s303epdg向3gppaaa服务器发送认证和授权请求消息,其包含用户标识和apn。ue使用nai;3gppaaa服务器基于nai的领域(realm)部分来识别正在执行用于与仅允许eap-aka的epdg(不是还允许eap-sim的i-wlanpdg)进行隧道建立的组合的认证和授权。不同的diameter应用id将有助于3gppaaa服务器区分用于可信访问的认证(需要eap-aka认证)和eps(仅允许eap-aka)中的隧道建立的认证。
s3043gppaaa服务器从hss/hlr获取认证向量(如果这些参数在3gppaaa服务器中不可用)。3gppaaa服务器基于所接收到的用户标识(根nai或假名)执行对认证用户(ue)的imsi的查找,并且在向hss发送的请求中包括eap-aka作为请求的认证方法。hss然后产生具有amf分离比特=0的认证向量,并将其发送回3gppaaa服务器。
s3053gppaaa服务器发起认证质询。不再请求用户标识。
s306epdg以其身份、证书进行响应,并发送auth参数以保护其(在ike_sa_init交换中)发送给ue的先前消息。包括从3gppaaa服务器接收到的eap消息(eap请求/aka质询),以便通过ikev2开始eap过程。
s307ue检查认证参数并对认证质询进行响应。ikev2消息中唯一的有效载荷(除了头部之外)是eap消息。
s308epdg将eap-响应/aka-质询消息转发给3gppaaa服务器。
s308.a3gppaaa服务器检查认证响应是否正确。
s308.b-e如果将动态ip移动性选择嵌入到认证和授权中,则所选择的移动性模式在aka-通知请求中通过diametera&a应答和ike_auth消息被发送给用户(ue)。ue通过ikev2对其进行响应,并且epdg将响应转发给3gppaaa服务器。
s308a3gppaaa服务器向hss发起用户简档获取和3gppaaa服务器注册。如果用户被授权用于非3gpp接入,则3gppaaa服务器检查用户设备的订阅。
s309当所有检查成功时,3gppaaa服务器向epdg发送包括相关服务授权信息、eap成功和密钥材料在内的最终认证和授权应答(其结果代码指示成功)。该密钥材料包括在认证过程中产生的msk。当使用diameter实现epdg和3gppaaa服务器之间的swm和swd接口时,msk被封装在eap-master-session-key-avp中。
s310为了认证ike_sa_init阶段消息,epdg使用msk来产生auth参数。这两个第一消息之前未被认证,因为没有密钥材料可用。在eap交换(msk)中产生的共享密钥当在通过ikev2使用时被用于产生auth参数。
s311eap成功/失败消息通过ikev2转发给用户设备。
s312用户设备将自己的msk副本作为输入来产生auth参数,以认证第一ike_sa_init消息。向epdg发送auth参数。
s313epdg检查从用户设备接收到的auth的正确性。此时用户设备被认证。如果使用情况s2b,则现在可以开始epdg和pdngw之间的pmip信令。只有在成功完成pmip绑定更新过程之后,epdg才会继续执行这里所述的过程中的下一步。
s314epdg计算认证第二ike_sa_init消息的auth参数。epdg在配置有效载荷(cfg_reply)中发送分配的远程ip地址。
s315auth参数与配置有效载荷、安全关联和ikev2参数的其余部分一起被发送给ue,ikev2协商终止。在图9的信令图中,步骤s315中的属性y表示指示活动性检查的超时时段的配置属性。
以上已经参考一些实施例主要描述了发明构思。然而,本领域技术人员容易理解的是:上述公开之外的在如由所附专利权利要求所限定的发明构思的范围之内的其它实施例同样是可能的。