Результат интеллектуальной деятельности: ПОДДЕРЖКА ВНЕШНЕЙ АУТЕНТИФИКАЦИИ ЧЕРЕЗ НЕЗАЩИЩЕННУЮ СЕТЬ

ОБЛАСТЬ ТЕХНИКИ

Настоящее изобретение относится к устройствам, способам и компьютерному программному продукту для поддержки внешней аутентификации по незащищенной сети, например по сети, отличной от сети 3GPP.

УРОВЕНЬ ТЕХНИКИ

В описании используются следующие аббревиатуры.

Настоящее описание в основном относится к усовершенствованной системе передачи пакетных данных (EPS, Evolved Packet System), реализованной согласно стандарту 3GPP, а более конкретно - к сценарию, в котором устройство UE соединяется с сетью ЕРС (evolved packet core) через незащищенную сеть доступа, отличную от сети 3GPP. Если устройство UE соединяется с сетью ЕРС через незащищенную сеть доступа, отличную от сети 3GPP, то между устройством UE и сетью 3GPP устанавливается IPSec-туннель для обеспечения защищенной связи. Конечным пунктом IPSec-туннеля в сети 3GPP является шлюз ePDG. Для установления IPSec-туннеля между устройством UE и шлюзом ePDG используется протокол IKEv2.

В системе GPRS, например, как указано в документе 3GPP TS 23.060, и в системе EPS, если устройство UE соединяется с базовой сетью 3GPP передачи пакетных данных через средства доступа 3GPP или защищенную сеть доступа, отличную от 3GPP, то возможна аутентификация, выполняемая на внешнем AAA-сервере с использованием протоколов РАР или CHAP. Подробная информация о процедуре внешней аутентификации приводится, например, в документе 3GPP TS 29.061.

Для выполнения внешней аутентификации требуется обмен информацией об аутентификации между устройством UE и внешним AAA-сервером.

Для этого указываются информационные элементы вариантов конфигурации протокола (РСО), которые могут использоваться для переноса пользовательских учетных данных между устройством UE и базовой сетью при подсоединении устройства UE к сети доступа 3GPP. К пользовательским учетным данным относятся, например, имя пользователя и пароль пользователя, указываемые с помощью параметров РАР или CHAP.

Если устройство UE соединяется с сетью ЕРС через незащищенную сеть доступа, отличную от сети 3GPP, то между устройством UE и сетью 3GPP устанавливается IPSec-туннель для обеспечения защищенной связи. Конечным пунктом IPSec-туннеля на стороне сети 3GPP является шлюз ePDG. Например, для установления IPSec-туннеля между устройством UE и шлюзом ePDG используется протокол IKEv2.

Однако в настоящее время отсутствует решение, позволяющее переносить пользовательские учетные данные между устройством UE, использующим незащищенный доступ, отличный от 3GPP, и базовой сетью, а также отсутствует механизм РСО или другой подобный механизм, определенный между устройством UE и шлюзом ePDG.

Как следует из вышеуказанного, подходящие механизмы для обеспечения шлюза ePDG требуемыми данными аутентификации, подлежащими использованию при аутентификации доступа устройства UE к внешней сети через незащищенную сеть доступа, отсутствуют.

Соответственно, имеется необходимость в реализации механизмов поддержки внешней аутентификации через средства незащищенного доступа, то есть для поддержки аутентификации во внешней сети передачи пакетных данных через незащищенную сеть доступа.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Целью настоящего изобретения является решение, по меньшей мере частично, указанных выше вопросов и/или проблем.

Варианты осуществления настоящего изобретения обеспечивают механизмы поддержки внешней аутентификации через средства незащищенного доступа, то есть механизмы поддержки аутентификации во внешней сети передачи пакетных данных через незащищенную сеть доступа.

В соответствии с первым аспектом настоящего изобретения предлагается способ, включающий создание первого запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации,

передачу первого запроса аутентификации для выполнения аутентификации пользовательского устройства в сети связи на основе данных аутентификации,

после аутентификации в сети связи создание второго запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, и

передачу второго запроса аутентификации.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- способ может также включать прием, перед передачей первого запроса аутентификации, индикации того, что поддерживается множественная аутентификация, и вставку в первый запрос аутентификации индикации того, что поддерживается множественная аутентификация;

- способ может также включать передачу запроса, содержащего идентификационную информацию пользовательского устройства, и/или

- способ может также включать прием ответа на запрос аутентификации, содержащего параметры конфигурации.

В соответствии со вторым аспектом настоящего изобретения предлагается способ, включающий прием первого запроса аутентификации для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации, предназначенные для аутентификации пользовательского устройства в сети связи на основе данных аутентификации; прием от пользовательского устройства второго запроса аутентификации для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, создание сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользователя, принятую от пользовательского устройства, и передачу сообщения обновления привязки в шлюзовое устройство сети передачи пакетных данных.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- данные аутентификации могут включаться в выделенный информационный элемент в сообщении обновления привязки;

- данные аутентификации могут включаться в информационный элемент вариантов конфигурации протокола в сообщении обновления привязки;

- в сообщении обновления привязки может предоставляться множество информационных элементов, включая информационный элемент пароля, информационный элемент запроса протокола аутентификации и/или информационный элемент имени пользователя;

- способ может также включать, перед приемом первого запроса аутентификации, передачу индикации того, что поддерживается множественная аутентификация,

при этом первый запрос аутентификации содержит индикацию того, что поддерживается множественная аутентификация;

- способ может также включать прием от пользовательского устройства запроса, содержащего идентификационную информацию пользовательского устройства, и/или

- способ может также включать прием от шлюзового устройства ответа на сообщение обновления привязки, содержащего параметры конфигурации, и передачу в пользовательское устройство ответа на запрос аутентификации, содержащего параметры конфигурации.

В соответствии с третьим аспектом настоящего изобретения предлагается способ, включающий прием сообщения обновления привязки, содержащего идентификационную информацию и данные аутентификации, при этом идентификационная информация и данные аутентификации служат для аутентификации пользовательского устройства в сети передачи пакетных данных; создание запроса доступа на основе идентификационной информации и данных аутентификации и передачу сообщения запроса доступа в сетевой элемент аутентификации.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- данные аутентификации могут включаться в выделенный информационный элемент в сообщении обновления привязки;

- данные аутентификации могут включаться в информационный элемент вариантов конфигурации протокола в сообщении обновления привязки;

- в сообщении обновления привязки может предоставляться множество информационных элементов, включая информационный элемент пароля протокола аутентификации, информационный элемент запроса протокола аутентификации, информационный элемент пароля и/или информационный элемент имени пользователя, и/или

- способ может также включать передачу ответа на сообщение обновления привязки, содержащего параметры конфигурации.

В соответствии с четвертым аспектом настоящего изобретения предлагается способ, включающий передачу от пользовательского устройства в первое шлюзовое устройство первого запроса аутентификации для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом первый запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации, предназначенные для аутентификации пользовательского устройства в сети связи на основе данных аутентификации; передачу от пользовательского устройства в первое шлюзовое устройство второго запроса аутентификации для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи; создание сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользователя, принятую от пользовательского устройства, и передачу сообщения обновления привязки от первого шлюзового устройства во второе шлюзовое устройство сети передачи пакетных данных.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- способ может также включать передачу запроса доступа на основе идентификационной информации и данных аутентификации от второго шлюзового устройства в сетевой элемент аутентификации и прием во втором шлюзовом устройстве сообщения подтверждения доступа от сетевого элемента аутентификации, и/или

- способ может также включать передачу ответа на сообщение обновления привязки, содержащего параметры конфигурации, от второго шлюзового устройства в первое шлюзовое устройство и

- передачу от первого шлюзового устройства в пользовательское устройство ответа на запрос аутентификации, содержащего параметры конфигурации.

В соответствии с пятым аспектом настоящего изобретения предлагается устройство, содержащее процессор, сконфигурированный для создания первого запроса аутентификации для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации; интерфейс, сконфигурированный для передачи первого запроса аутентификации для аутентификации пользовательского устройства в сети связи на основе данных аутентификации; при этом процессор также сконфигурирован для создания, после аутентификации в сети связи, второго запроса аутентификации для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, а интерфейс также сконфигурирован для передачи второго запроса аутентификации.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- процессор может также быть сконфигурирован для приема, перед передачей первого запроса аутентификации, индикации того, что поддерживается множественная аутентификация, и вставки в первый запрос аутентификации индикации того, что поддерживается множественная аутентификация;

- интерфейс также может быть сконфигурирован для передачи запроса, содержащего идентификационную информацию пользовательского устройства, и/или

- интерфейс может быть сконфигурирован для приема ответа на запрос аутентификации, содержащего параметры конфигурации.

В соответствии с шестым аспектом настоящего изобретения предлагается устройство, содержащее интерфейс, сконфигурированный для приема первого запроса аутентификации для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации, и процессор, сконфигурированный для аутентификации пользовательского устройства в сети связи на основе данных аутентификации; при этом интерфейс также сконфигурирован для приема от пользовательского устройства второго запроса аутентификации для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, а процессор также сконфигурирован для создания сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользовательского устройства, принятую от пользовательского устройства; причем интерфейс также сконфигурирован для передачи сообщения обновления привязки в шлюзовое устройство сети передачи пакетных данных.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- процессор может быть сконфигурирован для включения данных аутентификации в выделенный информационный элемент в сообщении обновления привязки;

- процессор может быть сконфигурирован для включения данных аутентификации в информационный элемент вариантов конфигурации протокола в сообщении обновления привязки;

- в сообщении обновления привязки может предоставляться множество информационных элементов, включая информационный элемент пароля, информационный элемент запроса протокола аутентификации и/или информационный элемент имени пользователя;

- процессор может также быть сконфигурирован для поддержки множественной аутентификации, а интерфейс может быть сконфигурирован для передачи, перед приемом первого запроса аутентификации, индикации того, что поддерживается множественная аутентификация, при этом первый запрос аутентификации может содержать индикацию того, что поддерживается множественная аутентификация;

- интерфейс может также быть сконфигурирован для приема от пользовательского устройства запроса, содержащего идентификационную информацию пользовательского устройства, и/или

- интерфейс может также быть сконфигурирован для приема от шлюзового устройства ответа на сообщение обновления привязки, содержащего параметры конфигурации, процессор может быть сконфигурирован для создания ответа на запрос аутентификации, содержащего параметры конфигурации, и интерфейс может также быть сконфигурирован для передачи в пользовательское устройство ответа на запрос аутентификации.

В соответствии с седьмым аспектом настоящего изобретения предлагается устройство, содержащее интерфейс, сконфигурированный для приема сообщения обновления привязки, содержащего идентификационную информацию и данные аутентификации, при этом идентификационная информация и данные аутентификации служат для аутентификации пользовательского устройства в сети передачи пакетных данных, и процессор, сконфигурированный для создания запроса доступа на основе идентификационной информации и данных аутентификации; при этом интерфейс также сконфигурирован для передачи сообщения запроса доступа в сетевой элемент аутентификации.

В соответствии с другими вариантами или модификациями настоящего изобретения применимы один или более следующих аспектов:

- данные аутентификации могут включаться в выделенный информационный элемент в сообщении обновления привязки;

- данные аутентификации могут включаться в информационный элемент вариантов конфигурации протокола в сообщении обновления привязки;

- в сообщении обновления привязки может предоставляться множество информационных элементов, включая информационный элемент пароля, информационный элемент запроса протокола аутентификации и/или информационный элемент имени пользователя, и/или

- процессор может быть также сконфигурирован для создания ответа на сообщение обновления привязки, содержащего параметры конфигурации, а интерфейс может быть сконфигурирован для передачи ответа на сообщение обновления привязки в случае поступления такого сообщения.

В соответствии с восьмым аспектом настоящего изобретения предлагается компьютерный программный продукт, содержащий блоки программного кода, сконфигурированные таким образом, что при их исполнении процессором устройства выполняется способ согласно описанным выше пятому, второму, третьему и/или четвертому аспектам изобретения, и/или их вариантам или модификациям.

В соответствии с другими вариантами или модификациями примеров осуществления настоящего изобретения компьютерный программный продукт согласно восьмому аспекту изобретения содержит машиночитаемый носитель информации, на котором хранятся блоки программного кода и/или программа, непосредственно загружаемая в память процессора.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Эти и другие цели, признаки, детали и преимущества изобретения станут более понятными из последующего подробного описания вариантов его осуществления и прилагаемых чертежей.

На фиг.1 и 2 показаны схемы, иллюстрирующие примеры системной архитектуры усовершенствованной системы передачи пакетных данных, в которой могут применяться варианты осуществления настоящего изобретения.

На фиг.3 показана структурная схема, иллюстрирующая структуры пользовательского устройства, шлюза ePDG и шлюза PGW в соответствии с вариантом осуществления настоящего изобретения.

На фиг.4 показана диаграмма сигнализации, иллюстрирующая обмен данными сигнализации между пользовательским устройством, первым шлюзовым устройством и вторым шлюзовым устройством в соответствии с вариантом осуществления настоящего изобретения.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

Ниже приводится описание вариантов осуществления настоящего изобретения. Однако следует понимать, что описание приводится только в виде примеров и описываемые варианты осуществления изобретения не ограничивают настоящее изобретение.

Настоящее изобретение и варианты его осуществления в основном описываются в отношении спецификаций 3GPP, используемых в качестве не ограничивающих изобретение примеров для конкретных типовых сетевых конфигураций и способов использования. В частности, система EPS с (внутренней) сетью ЕРС и внешней сетью PDN, к которой устройство UE получает доступ через незащищенную сеть доступа (отличную от 3GPP), используется как пример, не ограничивающий изобретение. Таким образом, в приведенном описании примеров осуществления настоящего изобретения используется конкретная терминология, которая непосредственно связана с этими примерами изобретения. Такая терминология используется только в контексте представленных примеров, не ограничивающих изобретение, и в действительности не ограничивает изобретение. Более того, могут также использоваться любая другая сетевая конфигурация или способ применения системы, если они совместимы с описываемыми признаками изобретения.

В целом, варианты осуществления настоящего изобретения могут применяться в любых видах современных и будущих сетей связи, включая любые возможные мобильные/беспроводные сети связи, разработанные в соответствии со стандартами 3GPP (Third Generation Partnership Project) или IETF (Internet Engineering Task Force).

Ниже с использованием различных альтернатив описываются различные варианты и реализации настоящего изобретения, а также их аспекты. В целом, следует отметить, что в соответствии с конкретными требованиями и ограничениями все описываемые альтернативы могут быть реализованы отдельно или в любой возможной комбинации (включая также комбинации отдельных признаков различных альтернатив).

В описании примеров осуществления настоящего изобретения аутентификация пользовательского устройства (или его пользователя) в сети (например, ЕРС, PDN) должна пониматься как эквивалентная аутентификации доступа пользовательского устройства (или его пользователя) в соответствующей сети (например, ЕРС, PDN).

Описываемые ниже примеры осуществления настоящего изобретения, в частности, применимы к усовершенствованной системе передачи пакетных данных, реализованной в соответствии со стандартами 3GPP.

На фиг.1 и 2 показаны схемы, иллюстрирующие примеры системной архитектуры усовершенствованной системы передачи пакетных данных, в которой могут применяться варианты осуществления настоящего изобретения.

В усовершенствованной системе передачи пакетных данных, показанной на фиг.1 и 2, пользовательское устройство, такое как устройство UE сети WLAN, может подключаться к незащищенной сети доступа, отличной от сети 3GPP, через которую оно соединяется с усовершенствованной базовой сетью передачи пакетных данных (ЕРС) и внешней сетью передачи пакетных данных (PDN). Сеть ЕРС и внешняя сеть PDN (ниже в некоторых случаях называемая просто PDN) связаны через шлюз PDN (PGW).

Перед обсуждением подробностей различных вариантов осуществления изобретения следует обратиться к фиг.3, иллюстрирующей упрощенные структурные схемы различных электронных устройств, подходящих для использования в примерах осуществления настоящего изобретения.

Как показано на фиг.3, в соответствии с вариантом осуществления настоящего изобретения пользовательское устройство (UE) 10 содержит процессор 11, память 12 и интерфейс 13, которые соединены шиной 14. Шлюз ePDG 20, представленный в качестве примера первого шлюзового устройства, содержит процессор 21, память 22 и интерфейс 23, которые соединены шиной 24. Шлюз PGW 30 (PDN GW), представленный в качестве примера второго шлюзового устройства 30, содержит процессор 31, память 32 и интерфейс 33, которые соединены шиной 34. Пользовательское устройство 10 и первое шлюзовое устройство соединяются через линию 17 связи, которая может содержать интерфейс Swu, показанный на фиг.2, а первое шлюзовое устройство 20 и второе шлюзовое устройство 30 соединяются через линию 18 связи, которая может представлять собой интерфейс S2b, показанный на фиг.2.

В модулях памяти 12, 22 и 32 могут храниться соответствующие программы, содержащие программные инструкции, которые при их исполнении соответствующими процессорами 11, 21 и 31 позволяют электронному устройству работать согласно примерам осуществления настоящего изобретения. Процессоры 11, 21 и 31 могут также содержать модем, облегчающий связь по (проводным) линиям 17, 18 и 19 связи через интерфейсы 13, 23 и 33. Интерфейс 13 пользовательского устройства 10 может также содержать подходящий радиочастотный (RF, radio frequency) приемопередатчик, связанный с одной или более антеннами для двусторонней беспроводной связи через одну или более беспроводных линий связи с беспроводной сетью доступа.

К различным вариантам осуществления пользовательского устройства 10 могут относиться (без ограничения приведенными примерами) мобильные станции, сотовые телефоны, персональные информационные устройства (PDA, personal digital assistant) с возможностями беспроводной связи, портативные компьютеры с возможностями беспроводной связи, устройства формирования изображения, такие как цифровые камеры с возможностями беспроводной связи, игровые устройства с возможностями беспроводной связи, устройства хранения и проигрывания музыкальных файлов с возможностями беспроводной связи, Интернет-устройства, позволяющие осуществлять беспроводный доступ в Интернет и поиск и просмотр информации, а также портативные блоки или терминалы со встроенной комбинацией таких функций.

В общем случае примеры осуществления настоящего изобретения могут быть реализованы с помощью компьютерного программного обеспечения, хранимого в модулях памяти 12, 22 и 32 и исполняемого процессорами 11, 21 и 31 или аппаратным обеспечением, или посредством комбинации программного и/или встроенного программного и аппаратного обеспечения, которое содержится в некоторых или во всех показанных устройствах.

Термины "соединен", "связан" или любой вариант этих терминов означают любое соединение или связь, как прямую, так и непрямую, между двумя или более элементами и могут подразумевать наличие одного или более промежуточных элементов между этими двумя элементами, которые "соединены" или "связаны" друг с другом. Связь или соединение между элементами могут быть физическими, логическими или представлять собой комбинацию этих видов связи. Согласно описанию два элемента могут рассматриваться как "соединенные" или "связанные" друг с другом с помощью одного или более проводов, кабелей или печатных электрических соединений, а также с использованием электромагнитной энергии, например электромагнитной энергии с длинами волн в радиочастотном диапазоне, СВЧ-диапазоне и оптическом диапазоне (как видимом, так и невидимом), причем изобретение не ограничено этими примерами.

В соответствии с основными вариантами осуществления настоящего изобретения процессор 11 пользовательского устройства 10 сконфигурирован для создания первого запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации. Интерфейс 13 пользовательского устройства сконфигурирован для передачи первого запроса аутентификации для выполнения аутентификации пользовательского устройства в сети связи на основе данных аутентификации. Процессор 11 также сконфигурирован для создания, после аутентификации в сети связи, второго запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, от пользовательского устройства. Кроме того, процессор 11 сконфигурирован для создания сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользователя, принятую от пользовательского устройства. Интерфейс 13 также сконфигурирован для передачи сообщения обновления привязки в шлюзовое устройство (например, шлюз ePDG 20).

В соответствии с основными вариантами осуществления настоящего изобретения интерфейс 23 первого шлюзового устройства (например, шлюза ePDG 20, показанного на фиг.3) сконфигурирован для приема первого запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации. Процессор 21 первого шлюзового устройства сконфигурирован для аутентификации пользовательского устройства в сети связи на основе данных аутентификации. Интерфейс 23 также сконфигурирован для приема от пользовательского устройства второго запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи. Кроме того, процессор 21 сконфигурирован для создания сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользовательского устройства, принятую от этого устройства, а интерфейс первого шлюзового устройства также сконфигурирован для передачи сообщения обновления привязки во второе шлюзовое устройство сети передачи пакетных данных (например, шлюз PGW 30).

Более того, в соответствии с основными вариантами осуществления настоящего изобретения интерфейс 33 второго шлюзового устройства (например, шлюза PGW 30, показанного на фиг.3) сконфигурирован для приема сообщения обновления привязки, содержащего идентификационную информацию и данные аутентификации, при этом идентификационная информация и данные аутентификации служат для аутентификации пользовательского устройства в сети передачи пакетных данных; при этом процессор 31 второго шлюзового устройства сконфигурирован для создания запроса доступа на основе идентификационной информации и данных аутентификации. Кроме того, интерфейс второго шлюзового устройства также сконфигурирован для передачи сообщения запроса доступа в сетевой элемент аутентификации.

Данные аутентификации могут представлять собой учетную информацию пользователя, такую как пароль (например, пароль РАР или CHAP), запрос протокола аутентификации (например, запрос РАР или CHAP) и т.п. Однако настоящее изобретение не ограничено этими конкретными примерами.

Кроме того, описанный выше механизм обмена информацией о ключах может представлять собой механизм IKEv2. Однако настоящее изобретение не ограничено этим конкретным примером.

В соответствии с примерами осуществления настоящего изобретения предлагается использовать расширение протокола IKEv2, определенное в документе RFC 4739, для передачи дополнительных параметров аутентификации между устройством UE и шлюзом ePDG.

В примере, показанном на фиг.4, представлена процедура, использующая протокол CHAP (Challenge handshake authentication protocol) и сервер внешней аутентификации. Процедура, использующая протоколы РАР и ЕАР, должна в значительной степени совпадать с указанной процедурой. В представленном примере предполагается, что используется протокол PMIP, основанный на S2b, однако такая схема может работать с протоколом GTP, основанным на S2b, или другим подходящим протоколом. Настоящее изобретение не ограничено этими конкретными примерами.

На шаге 1 устройство UE и шлюз ePDG обмениваются первой парой сообщений, обозначаемых IKE_SA_INIT. Шлюз ePDG на шаге 1b добавляет индикацию MULT IPLE_AUTH_SUP PORTED.

На шаге 2 устройство UE передает пользовательский запрос IKE_AUTH_Request, содержащий индикацию MULTIPLE_AUTH_SUPPORTED. Шлюз ePDG сохраняет идентификационную информацию, принятую в полезной нагрузке IDi, для последующего использования на шаге 9.

На шаге 3 выполняют обычный процесс аутентификации ЕАР-АКА.

На шаге 4 устройство UE передает сообщение IKE_AUTH Request, содержащее полезную нагрузку AUTH, которая позволяет аутентифицировать первое сообщение IKE_SA_INIT. Полезную нагрузку AUTH вычисляют с использованием совместно используемого ключа, установленного путем ЕАР-способа генерации ключа, применяемого на шаге 3. Сообщение также содержит полезную нагрузку ANOTHER_AUTH_FOLLOWS уведомления, указывающую шлюзу ePDG на то, что затем последует другой цикл аутентификации.

На шаге 5 шлюз ePDG проверяет корректность данных AUTH, принятых от устройства UE. Шлюз ePDG вычисляет полезную нагрузку ответного параметра AUTH, который аутентифицирует второе сообщение IKE_SA_INIT, с использованием совместно используемого ключа, установленного путем ЕАР-способа генерации ключа, применяемого на шаге 3. Затем параметр AUTH передают в устройство UE.

На шаге 6 устройство UE передает свою идентификационную информацию в частную сеть в полезной нагрузке IDi, и эта идентификационная информация должна быть аутентифицирована и авторизована с помощью внешнего AAA-сервера (на шаге 10).

На шаге 7, если для имени APN, указанного в полезной нагрузке Юг на шаге 2, требуется аутентификация в отношении внешнего AAA-сервера и в качестве выбранного способа аутентификации используется процедура CHAP, шлюз ePDG передает запрос ЕАР MD5-challenge в устройство UE для последующей процедуры аутентификации.

На шаге 8 устройство UE возвращает ответ ЕАР MD5-Challenge в шлюз ePDG.

На шаге 9 шлюз ePDG передает в шлюз PGW сообщение PBU для установления соединения PDN, содержащее имя пользователя, скопированное из IDi в запросе IKE_AUTH (шаг 6), пароль CHAP и атрибуты запроса CHAP-Challenge. Вариант MN-Identifier в PBU содержит идентификационную информацию, соответствующую идентификационной информации, принятой в полезной нагрузке IDi на шаге 2. Далее этот процесс описывается более подробно.

На шаге 10 шлюз PGW передает сообщение запроса доступа с параметрами, принятыми в сообщении PBU, во внешний AAA-сервер в качестве RADIUS-клиента.

На шаге 11 внешний AAA-сервер возвращает подтверждение доступа в шлюз PDG.

На шаге 12 PGW передает сообщение РВА в шлюз ePDG.

На шаге 13 передают сообщение об успешном выполнении операций согласно ЕАР в устройство UE посредством IKEv2.

На шаге 14 устройство UE генерирует параметр AUTH для аутентификации первого сообщения IKE_SA_INIT. Параметр AUTH передают в шлюз ePDG.

На шаге 15 шлюз ePDG проверяет корректность данных AUTH, принятых от устройства UE. Шлюз ePDG передает в устройство UE назначенный IP-адрес и другие параметры конфигурации. На этом шаге завершается процесс обмена информацией согласно IKEv2.

Хотя на чертеже это не показано, но если одна из указанных выше процедур аутентификации может завершиться неудачно, соответствующее сообщение передают в устройство UE и процедура завершается.

Описанный выше процесс можно кратко описать следующим образом:

- выполняют двойную аутентификацию: первую аутентификацию выполняют между устройством UE и сетью, а вторую - между устройством UE и внешним AAA-сервером, доступ к которому может осуществляться только посредством шлюза PGW.

- Данные аутентификации, полученные в результате второй процедуры аутентификации, передают от устройства UE в шлюз ePDG с использованием расширения протокола, применяемого для первой процедуры аутентификации.

- Данные аутентификации, полученные в результате второй процедуры аутентификации, пересылают от шлюза ePDG в шлюз PGW в сообщении обновления привязки (Binding Update).

- Шлюз PGW осуществляет связь с внешним AAA-сервером с использованием данных аутентификации, принятых на шаге 2, для аутентификации пользователя.

Далее приводится конкретная информация, касающаяся аутентификации CHAP. В частности, шлюз ePDG отвечает за генерацию запроса CHAP Challenge. Если устройство UE реализовано в виде так называемого функционально разделенного устройства UE (то есть терминальное устройство ТЕ и мобильный терминал МТ разделены, и для связи между ними используется протокол РРР), что теоретически возможно, то необходимо принять во внимание некоторые соображения, касающиеся обработки РРР. При запуске процесса установки канала передачи данных устройство ТЕ передает АТ-команды в терминал МТ, в которых заданы используемое имя APN (access point name) и тип протокола PDP (packet data protocol).

Терминал МТ использует принятую информацию о типе APN и PDP в процессе первой фазы обмена IKEv2 (согласно RFC4739) со шлюзом ePDG (то есть в процессе выполнения шагов 1-3, показанных на фиг.4) для установления связи с подходящими шлюзом PGW, APN/PDN и определения, каким образом распределять соответствующие данные полезной нагрузки конфигурации для конфигурации IP в сообщениях IKEv2 (каким образом терминал МТ, который, например, заполняет поля полезной нагрузки конфигурации, определяет, какие следует устанавливать "каналы передачи данных" - IPv4, IPv6 или IPv4v6). Установка связи РРР между устройством ТЕ и терминалом МТ инициирует первую фазу обмена IKEv2. Терминалу МТ известно, что протокол LCP (link control protocol, протокол управления линией связи) и впоследствии IPCP/IPV6CP должны чередоваться, какой бы способ аутентификации ни применялся во время второй фазы обмена IKEv2. Терминал МТ фактически действует в качестве "моста" между инициатором IKEv2 и NAS в протоколе РРР. Например:

- Используется протокол ЕАР и шлюз ePDG предлагает EAP-MD5. Это передается в терминал МТ для передачи в устройство ТЕ сообщения РРР LCP Request-CHAP auth. Устройство ТЕ отвечает на это сообщение либо сигналом АСК, либо сигналом NAK на уровне LCP, который затем в терминале МТ преобразуется в надлежащий ответ EAP-Response в рамках IKEv2.

- Используется протокол ЕАР и шлюз ePDG предлагает EAP-GTC. Это передается в терминал МТ для передачи в устройство ТЕ сообщения РРР LCP Request-PAP auth. Устройство ТЕ отвечает на это сообщение либо сигналом АСК, либо сигналом NAK на уровне LCP, который затем в терминале МТ преобразуется в надлежащий ответ EAP-Response в рамках IKEv2.

- Используется протокол ЕАР и шлюз ePDG предлагает произвольный способ ЕАР. Это передается в терминал МТ для передачи в устройство ТЕ сообщения РРР LCP Request-EAP auth. Устройство ТЕ отвечает на это сообщение либо сигналом АСК, либо сигналом NAK на уровне LCP, который затем в терминале МТ преобразуется в надлежащий ответ EAP-Response в рамках IKEv2.

После успешного завершения обеих фаз IKEv2 может начаться процедура согласования IPCP/IPV6CP между устройством ТЕ и терминалом МТ. Следует отметить, что этот шаг уже полностью локален в данный момент времени. Терминал МТ лишь передает в устройство ТЕ информацию о конфигурации уровня IP, которую он принял в процессе согласования IKEv2 (+PMIPv6).

В соответствии с примерами осуществления настоящего изобретения поддерживаются два альтернативных способа транспортировки (CHAP или РАР) информации о пользовательских учетных данных между шлюзом ePDG и шлюзом PGW в сообщениях PBU и РВА и соответствующих сообщениях GTPv2:

1. В новых информационных элементах.

2. Информация о пользовательских учетных данных включается в уже определенные информационные элементы вариантов конфигурации протокола (РСО, Protocol Configuration Options) в PBU/PBA.

Преимущество использования уже существующих информационных элементов РСО в PBU/PBA в соответствии с решением 2 состоит в том, что информационный элемент РСО уже определен в 3GPP как для протокола PMIP, так и для протокола GTP. Следовательно, решение 2 можно достаточно просто реализовать.

Преимущество использования новых информационных элементов согласно решению 1 заключается в том, что не требуется вносить изменения в семантику РСО. То есть информационные элементы РСО предпочтительно должны переносить информацию, которая не изменяется при прохождении между устройством UE и шлюзом PGW. В соответствии с решением 2 шлюз ePDG должен "переводить" информацию о пользовательских учетных данных, переносимую в IKEv2, в информацию о пользовательских учетных данных в PMIP РСО. Однако подразумевается, что варианты РСО должны представлять собой сквозную сигнализацию между устройством UE и шлюзом PGW. Таким образом, создание РСО шлюзом ePDG должно рассматриваться как нежелательная операция. Следовательно, в соответствии с решением 1 в 3GPP определяются новые информационные элементы, с помощью которых переносится информация о пользовательских учетных данных в сообщениях PBU/PBA, которыми обмениваются шлюз ePDG и шлюз PGW. Это потребует некоторого расширения протоколов PMIPv6 и GTPv2, которое, однако, просто реализовать и использовать.

К требуемым информационным элементам PMIPv6 и GTP относятся:

- Информационный элемент CHAP-Password

- Информационный элемент CHAP-Challenge

- Информационный элемент PAP-Password

- Информационный элемент Username (следует отметить, что идентификационная информация в этом информационном элементе может, например, отличаться от данных в информационном элементе MN-Identifier, используемом в PMIPv6).

Информационные элементы CHAP-Password и PAP-Password могут объединяться при условии, что информационный элемент может определить свое назначение.

Кроме того, помимо описанных выше информационных элементов пароля, может использоваться расширенный информационный элемент пароля, за которым следует флаг, указывающий на то, используется ли этот элемент в качестве пароля CHAP или пароля РАР. Этот флаг, однако, является только примером индикации протокола аутентификации, используемого для информационного элемента пароля.

При использовании другого протокола аутентификации соответствующий пароль может заноситься в информационный элемент пароля.

В соответствии с аспектом основных вариантов осуществления настоящего изобретения предлагается устройство, содержащее:

средства для создания первого запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации,

средства для передачи первого запроса аутентификации для выполнения аутентификации пользовательского устройства в сети связи на основе данных аутентификации,

средства для создания после аутентификации в сети связи второго запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи, и

средства для передачи второго запроса аутентификации.

В соответствии с другим аспектом основных вариантов осуществления настоящего изобретения предлагается устройство, содержащее:

средства для приема первого запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети связи, обеспечивающей соединение пользовательского устройства через незащищенную сеть доступа, при этом запрос аутентификации представляет собой запрос аутентификации механизма обмена информацией о ключах и содержит данные аутентификации,

средства для аутентификации пользовательского устройства в сети связи на основе данных аутентификации,

средства для приема от пользовательского устройства второго запроса аутентификации, предназначенного для аутентификации пользовательского устройства в сети передачи пакетных данных, внешней для упомянутой сети связи,

средства для создания сообщения обновления привязки, содержащего данные аутентификации и идентификационную информацию пользователя, принятую от пользовательского устройства, и

средства для передачи сообщения обновления привязки в шлюзовое устройство сети передачи пакетных данных.

В соответствии с другим аспектом основных вариантов осуществления настоящего изобретения предлагается устройство, содержащее:

средства для приема сообщения обновления привязки, содержащего идентификационную информацию и данные аутентификации, при этом идентификационная информация и данные аутентификации служат для аутентификации пользовательского устройства в сети передачи пакетных данных;

средства для создания запроса доступа на основе идентификационной информации и данных аутентификации и

средства для передачи сообщения запроса доступа в сетевой элемент аутентификации.

Следует понимать, что любые из приведенных выше модификаций изобретения могут применяться отдельно или в комбинации с соответствующими аспектами и/или вариантами осуществления изобретения, к которым они относятся, если явно не указано, что это исключающие друг друга альтернативы.

Что касается описанных выше вариантов осуществления настоящего изобретения, необходимо иметь в виду следующее:

- шаги способа, предполагаемые для реализации в виде блоков программного кода, подлежащего исполнению процессором в сетевом элементе или терминале (представленных в качестве примеров устройств, оборудования и/или модулей оборудования или примеров объектов, включая устройства и/или его модули), не зависят от программного кода и могут быть определены с помощью любого известного или разработанного в будущем языка программирования при условии, что сохраняется функциональность, определенная шагами способа;

- в целом, любой шаг способа может быть реализован в виде программного или аппаратного обеспечения без изменения идеи изобретения в терминах реализуемой функциональности;

- шаги способа и/или устройства, блоки или средства, предполагаемые для реализации в виде аппаратных компонентов в определенном выше оборудовании, или любой модуль (модули) этих компонентов (например, устройства, выполняющие функции оборудования в соответствии с описанными выше вариантами осуществления настоящего изобретения, такие как устройство UE, шлюз ePDG, шлюз PGW и т.д.), не зависят от аппаратного обеспечения и могут быть реализованы с помощью любой известной или разработанной в будущем аппаратной технологии или комбинации технологий, таких как MOS (Metal Oxide Semiconductor, металл-оксид-полупроводник), CMOS (Complementary MOS, комплементарный MOS), BiMOS (Bipolar MOS, биполярный MOS), BiCMOS (Bipolar CMOS, биполярный CMOS), ECL (Emitter Coupled Logic, эмиттерно-связанная логика), TTL (Transistor-Transistor Logic, транзисторно-транзисторная логика) и т.д., с использованием, например, компонентов ASIC (Application Specific IC, специализированная интегральная схема), FPGA (Field-programmable Gate Arrays, программируемая пользователем вентильная матрица), CPLD (Complex Programmable Logic Device, сложное устройство с программируемой логикой) или DSP (Digital Signal Processor, цифровой сигнальный процессор);

- устройства, блоки или средства (например, описанное выше оборудование или любые соответствующие ему средства) могут быть реализованы как отдельные устройства, блоки или средства, однако это не должно исключать их распределенную реализацию в системе при условии сохранения функциональности устройства, блока или средств;

устройство может представлять собой полупроводниковую микросхему, набор микросхем (чипсет) или (аппаратный) модуль, содержащий такую микросхему или набор микросхем, однако это не исключает возможности того, что функции устройства или модуля могут быть реализованы в виде программного, а не аппаратного обеспечения в (программном) модуле, таком как компьютерная программа или компьютерный программный продукт, содержащий блоки исполняемого программного кода, подлежащего выполнению/прогону процессором;

- устройство можно рассматривать как блок или узел, содержащий несколько блоков, выполняющих функции совместно друг с другом или самостоятельно, но расположенных, например, в одном корпусе.

Необходимо отметить, что описанные выше варианты осуществления изобретения и его примеры предназначены только для иллюстрации изобретения и не ограничивают настоящее изобретение. Более того, предполагается, что изобретение включает все изменения и модификации в пределах сущности изобретения, определяемой прилагаемой формулой изобретения.