[发明专利]通过非受信任网络的外部认证支持

说明书

技术领域

本发明涉及用于通过非受信任网络（例如，通过非受信任的非3GPP网络）的外部认证支持的装置、方法和计算机程序产品。

背景技术

以下在本说明书中使用的缩写的含义适用：

3GPP 第三代合作伙伴计划

AAA 认证、鉴权和计费

APN 接入点名称

CHAP 挑战握手认证协议

EAP 可扩展认证协议

EAP-GTC EAP通用令牌卡

eNode-B LTE基站（也称为eNB）

EPC 演进型分组核心

EPS 演进型分组系统

ePDG 演进型分组数据网关

GGSN 网关GPRS支持节点

GPRS 通用分组无线业务

GTPv2 GPRS隧道协议版本2

IDi 标识-发起方

IDr 标识-响应方

IETF 因特网工程任务组

IKEv2 因特网密钥交换版本2

IP 因特网协议

IPSec 因特网协议安全性

LCP 链路控制协议

LTE 长期演进

LTE-A 高级LTE

MN 移动节点

MSISDN 移动站点综合服务数据网络

MT 移动终端

PAP 密码认证协议

PCO 协议配置选项

PDG 分组数据网关

PDN 分组数据网络

PDP 分组数据协议

PGW PDN网关（PDN GW）

 代理MIPv6

PPP 点对点协议

TE 终端设备

UE 用户设备。

本说明书基本上涉及3GPP演进型分组系统（EPS），更加特别地涉及当UE经由非受信任的非3GPP接入网络连接至EPC时的情形。当UE经由非受信任的非3GPP接入网络连接至EPC（演进型分组核心）时，在UE和3GPP网络之间存在IPSec隧道以拥有安全通信。3GPP网络中的IPSec隧道端点是ePDG（演进型分组数据网关）。在UE和ePDG之间使用IKEv2来建立IPSec隧道。

在例如如3GPP TS 23.060中所规定的GPRS中以及在EPS中，当UE经由3GPP接入或受信任的非3GPP接入网络连接至3GPP分组核心网络时，利用外部AAA服务器使用PAP或CHAP的认证是可能的。该外部认证的细节例如在3GPP TS 29.061中被规定。

外部认证需要在UE和外部AAA服务器之间交换认证信息。

为了这个目的，规定了协议配置选项（PCO）信息元素，其能够当UE附着到3GPP接入网络时被用于在UE和核心网络之间传送用户凭证。该用户凭证例如是PAP或CHAP参数（PAP：密码认证协议，CHAP：挑战握手协议）内的用户名和用户密码。

当UE经由非受信任的非3GPP接入网络连接至EPC时，在UE和3GPP网络之间存在IPSec隧道以建立安全通信。IPSec隧道在3GPP网络一侧的端点为ePDG（演进型分组数据网络）。例如，在UE和ePDG之间使用IKEv2（因特网密钥交换版本2）来建立IPSec隧道。

然而，目前并没有如何在使用非受信任的非3GPP接入的UE与核心网络之间传送用户凭证的解决方案，并且没有在UE和ePDG之间定义的PCO机制等。

鉴于上述，不存在可行机制用于为ePDG提供当对UE经由非受信任的接入网络向外部网络的接入进行认证时要被使用的所需认证数据。

因此，存在对用于通过非受信任接入的外部认证支持（即，用于支持通过非受信任接入网络向外部分组数据网络的认证）的机制的需要。

发明内容

本发明的实施例旨在解决上述问题和/或难题中的至少一部分。

本发明的实施例被作出以提供用于通过非受信任接入的外部认证支持（即，用于支持通过非受信任接入网络向外部分组数据网络的认证）的机制。

根据本发明的示例性第一方面，提供了。

根据本发明的示例性第一方面，提供了一种方法，包括：创建第一认证请求以跨越非安全接入网络向为用户设备提供连通性的通信网络认证该用户设备，其中该认证请求是密钥信息交换机制的认证请求并且认证数据被插入在该认证请求中，

发送该第一认证请求以基于该认证数据将该用户设备与该通信网络进行认证，