专利名称:一种使用eap进行外部认证的设备、系统及方法
技术领域:
本发明涉及通信领域,具体地,涉及一种使用EAP可扩展认证协议进行外部认证的设备、系统及方法。
背景技术:
可扩展认证协议(EAP,Extensible Authentication Protocol)是一个用于点到点认证的通用协议,可以支持多种认证方法。EAP并不在链路建立阶段指定认证方法,而是把这个过程推迟到认证阶段。这样认证方就可以在得到更多的信息以后再决定使用什么认证方法。这种机制还答应点到点认证方简单地把收到的认证报文透传给后方的认证服务器,由后方的认证服务器来真正实现各种认证方法。在链路阶段完成以后,认证方向对端发送一个或多个请求报文。在请求报文中有一个类型字段用来指明认证方所请求的信息类型,例如是对端的ID、MD5的挑战字、一次密码(OTP)以及通用令牌卡等。MD5的挑战字对应于CHAP认证协议的挑战字。典型情况下,认证方首先发送一个ID请求报文随后再发送其他的请求报文。当然,并不是必须要首先发送这个ID请求报文,在对端身份是已知的情况下(如租用线、拨号专线等)可以跳过这个步骤。对端对每一个请求报文回应一个应答报文。和请求报文一样,应答报文中也包含一个类型字段,对应于所回应的请求报文中的类型字段。认证方通过发送一个成功或者失败的报文来结束认证过程。相对于其他认证方法,EAP的优点在于,EAP可以支持多种认证机制,而无需在LCP阶段预协商过程中指定。某些设备(如网络接入服务器)不需要关心每一个请求报文的真正含义,而是作为一个代理把认证报文直接透传给后端的认证服务器。设备只需关心认证结果是成功还是失败,然后结束认证阶段。第三代合作伙伴计划(3rdGeneration Partnership Pro ject,简称为 3GPP)演进的分组系统(Evolved Packet System,简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为E-UTRAN)、移动管理单兀(Mobility Management Entity,简称为 MME)、服务网关(Serving Gateway, S-GW)、分组数据网络网关(Packet Data Network Gateway,简称为P-GW或者F1DN GW)、归属用户服务器(Home Subscriber Server,简称为 HSS)、策略和计费规则功能(Policy and ChargingRules Function,简称为PCRF)实体及其他支撑节点组成。图1中,MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作;S-GW是与E-UTRAN相连的接入网关设备,在E-UTRAN和P-GW之间转发数据,并且负责对寻呼等待数据进行缓存;P_GW则是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关,负责PDN的接入及在EPS与PDN间转发数据等功能;PCRF是策略和计费规则功能实体,它通过接收接口 Rx和运营商网络协议(Internet Protocol,简称为IP)业务网络相连,获取业务信息,此外,它通过Gx/Gxa/Gxc接口与网络中的网关设备相连,负责发起IP承载的建立,保证业务数据的服务质量(Quality of Service,简称为QoS),并进行计费控制。
在用户设备初始附着/切换或者创建新的PDN连接到EPS网络的过程中,GGSN/PDN GW可能向外部分组数据网络中的认证服务器(可能是第三方提供的)为用户设备进行用户认证授权、相关配置参数的下发(比如IP地址)等。当用户设备通过3GPP接入网络即 GERAN/UTRAN/E-UTRAN 建立 PDN 连接时,用户设备通过 PCO(Protocol ConfigurationOption,协议配置选择)信息元素将需要外部认证授权服务器认证授权的数据透传给GGSN/PDN GW,而后GGSN/TON GW提取PCO中的用户认证数据,包含在向外部认证授权服务器发送的认证消息中。外部认证授权服务器对用户进行认证授权后将认证结果以及相关数据通过认证响应消息返回给GGSN/TON GW。GGSN/TON GW将上述认证结果以及相关数据通过包含在PCO中返回给用户设备。当前标准中,PCO支持携带CHAP (Challenge HandshakeAuthentication Protocol,挑战握手认证协议)和 PAP(Password AuthenticationProtocol,密码认证协议)参数,即两种认证方法。随着网络安全的发展,可扩展认证协议(EAP, Extensible Authentication Protocol)因为其具备更好的安全性被运营商所采纳使用,也成为用户设备进行外部认证授权方法的潜在需求。然而,相对于CHAP和PAP认证方法的一轮交互而言,EAP认证方法在客户端和服务器之间有两轮消息交互,上述EAP认证方法的特点决定了对当前的用户设备连接到EPS的流程会产生影响。
发明内容
本发明针对上述用户设备通过EAP认证方法在连接到EPS网络的过程中进行外部认证授权的潜在需求,拟定了用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/TON Gff向外部认证授权服务器完成认证授权的流程。本发明提供一种使用EAP可扩展认证协议进行外部认证的方法,包括用户设备通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。进一步地,所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括分组数据网络网关收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备;分组数据网络网关收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果,所述分组数据网络网关将接收的认证结果发送至用户设备。
进一步地,所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中,所述信息元素为PCO中或新定义的信息元素;
移动管理单元收到附着请求后,通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关;所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元,所述移动管理单元将所述信息元素包含在附着接受消息中发送给用户设备;所述分组数据网络网关将包含认证结果的信息元素通过更新承载请求消息经服务网关传送给移动管理单元,移动管理单元将所述信息元素通过下行NAS传输消息发给用户设备。本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括用户设备通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;当所述用户设备收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。进一步地,所述EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。本发明还提供一种使用EAP可扩展认证协议进行外部认证的方法,包括GGSN/分组数据网络网关收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,外部认证服务器收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;所述GGSN/分组数据网络网关将EAP请求信息通过PDP激活接受消息发送到用户设备; GGSN/分组数据网络网关收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备。进一步地,所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。本发明还提供一种使用EAP可扩展认证协议进行外部认证的用户设备所述用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。进一步地,所述用户设备通过将所述EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;所述用户设备将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。本发明还提供一种使用EAP可扩展认证协议进行外部认证的网络侧设备所述网络侧设备包括分组数据网络网关及外部认证服务器;所述分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备;所述外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。进一步地,所述网络侧设备还包括移动管理单元及服务网关;所述移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备;所述信息元素为PCO或新定义的信息元素。本发明还提供一种使用EAP可扩展认证协议进行外部认证的用户设备所述用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
进一步地,所述用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。本发明还提供一种使用EAP可扩展认证协议进行外部认证的网络侧设备所述网络侧设备包括GGSN/分组数据网络网关及外部认证服务器;所述GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备;所述外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。进一步地,所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。本发明还提供一种使用EAP可扩展认证协议进行外部认证的系统所述系统包括施例一所述的用户设备,以及如实施例三所述的网络侧设备;或者,所述系统包括如实施例二所述的用户设备,以及如实施例四所述的网络侧设备。综上所述,本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,可实现用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/PDN Gff向外部认证授权服务器完成认证授权。
图1是演进分组网络(EPS)的系统非漫游情况的结构示意图;图2是实施例五的流程示意图(E-UTRAN接入EAP认证成功);图3是实施例六的流程示意图(E-UTRAN接入EAP认证失败);图4是实施例七的流程示意图(UTRAN/GERAN接入EAP认证成功);图5是实施例八的流程示意图(UTRAN/GERAN接入EAP认证失败)。
具体实施例方式本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,设各实施例实施例一本实施例提供一种使用EAP进行外部认证的用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。进一步地,用户设备通过将EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送;将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中 。实施例二本实施例提供一种使用EAP进行外部认证的用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。进一步地,用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。实施例三本实施例提供一种使用EAP进行外部认证的网络侧设备,包括分组数据网络网关及外部认证服务器;分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备;外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。进一步地,网络侧设备还包括移动管理单元及服务网关;
移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备;所述信息元素为PCO或新定义的信息元素。实施例四本实施例提供一种使用EAP进行外部认证的网络侧设备,包括GGSN/分组数据网络网关及外部认证服务器;GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备;外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。进一步地,GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备;将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
系统实施例本实施例提供一种使用EAP可扩展认证协议进行外部认证的系统,包括如实施例一所述的用户设备,以及如实施例三所述的网络侧设备;或者,该系统包括如实施例二所述的用户设备,以及如实施例四所述的网络侧设备。_0] 方法实施例实施例五图2是利用本发明所述方法,UE通过E-UTRAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权成功的流程描述。步骤201,用户设备将使用EAP进行外部认证方法所需的EAP认证信息通过附着请求消息发给移动管理单元;进一步地,EAP认证信息包括身份标识及EAP认证和/或授权参数;EAP认证信息可以是包含在PCO中,也可以是包含在新定义的信息元素(Information Element, IE)中。步骤202,如果附着请求消息没有完整性保护,或者完整性保护失败,执行用户的鉴权认证过程;步骤203 204,移动管理单元通过服务网关将包含了 EAP认证信息的PCO或新定义的信息元素携带在建立会话请求消息发送给分组数据网络网关;步骤205 206,分组数据网络网关收到建立会话请求消息后,从该消息的PCO或新定义的信息元素中提取EAP认证信息,将提取的认证信息包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;步骤207 208,分组数据网络网关将接入挑战消息中的EAP请求信息包含在PCO或新定义的信息元素中通过建立会话响应消息经服务网关传送给移动管理单元;步骤209,移动管理单元将PCO或新定义的信息元素包含在附着接受消息中发送给用户设备,至此,用户设备完成了连接到EPS的初始附着,建立了默认承载;步骤210,用户设备在收到EAP请求信息后发起承载资源修改流程,即用户设备发送包含对上述EAP请求信息的EAP响应信息的请求承载资源修改消息到移动管理单元;该EAP响应信息可以包含在PCO中或新定义的信息元素中;步骤211 212,移动管理单元通过服务网关将包含了响应信息的PCO或新定义的信息元素携带在承载资源命令消息发送给分组数据网络网关;步骤213,分组数据网络网关从PCO或新定义的信息元素中提取EAP响应信息,包含到接入请求消息中发送给外部AAA服务器;步骤214, AAA服务器收到接入请求消息后确认认证成功,返回包含EAP认证结果为成功的接入接受消息给分组数据网络网关;步骤215 216,分组数据网络网关将接入接受消息中的EAP认证结果包含在PCO或新定义的信息元素中通过更新承载请求消息经服务网关传送给移动管理单元;步骤217,移动管理单元将EAP认证结果信息包含在PCO或新定义的信息元素中通过下行NAS传输消息发给用户设备;
步骤218 219,分组数据网络网关和外部AAA服务器交互计费信息,这两个步骤在EAP认证成功后即可进行;步骤220 222,用户设备发送更新承载响应消息。实施例六图3是利用本发明所述方法,UE通过E-UTRAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权失败的流程描述。如果EAP认证授权失败,网络或者用户设备会发起删除当前承载。步骤301 313,同实施例1第201步到第213步;步骤314,外部AAA服务器收到请求消息后确认认证失败,返回包含EAP认证结果为失败的接入响应消息给分组数据网络网关;步骤315 316,分组数据网络网关发现认证失败后,将收到的接入响应消息中的EAP认证结果信息包含在PCO或新定义的信息元素中发送承载资源失败指示消息经服务网关传送给移动管理单元;步骤317,移动管理单元将包含EAP认证结果信息包含在PCO或新定义的信息元素通过承载资源修改拒绝消息发送给用户设备;步骤318 319,由于认证失败,当前承载需要进行删除分组数据网络网关在执行315步后发送删除承载请求消息;步骤320,用户设备和网络之间完成承载去活流程删除当前承载。实施例七图4是利用本发明所述方法,UE通过UTRAN/GERAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权成功的流程描述。步骤401 405,用户设备从UTRAN/GERAN接入系统发起附着流程连接到EPS上;步骤406,用户设备向SGSN发送PDP上下文激活请求,用户设备将EAP认证所需的EAP认证信息包含在PCO或新定义的信息元素中发送;步骤407,SGSN将接收的PDP上下文激活请求依次通过MME及SGW转发至GGSN/PDN Gff ;步骤408 409,GGSN/PDN Gff从PCO或新定义的信息元素中提取EAP认证信息,包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到请求后消息后返回包含EAP请求的接入挑战消息给GGSN/TON GW;步骤410,GGSN/TON Gff将接入挑战消息中的EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息依次经过SGW、MME发送至SGSN ;步骤411,SGSN将接收的PDP激活接受消息转发至用户设备;步骤412,用户设备在收到EAP请求信息后发起修改PDP上下文流程,即用户设备发送携带对上述EAP请求的EAP响应信息的修改PDP上下文请求消息到SGSN ;步骤413,SGSN将接收的修改PDP上下文请求消息依次经过MME、SGW转发至GGSN/PDN Gff ;EAP响应信息可以包含在PCO中,也可以包含在新定义的信息元素中;
步骤414 415,GGSN/PDN Gff从PCO或新定义的信息元素中提取EAP响应信息,包含到接入请求消息中发送给外部AAA服务器,AAA服务器收到请求消息后确认认证成功,返回包含EAP认证结果为成功的接入接受消息给GGSN/TON Gff ;步骤416 417,GGSN/H)N Gff将接入接受消息中的EAP认证结果信息包含在PCO或新定义的信息元素中通过更新上下文响应消息依次经过SGW、MME及SGSN发送给用户设备。实施例八图5是利用本发明所述方法,UE通过UTRAN/GERAN初始附着到EPS网络,并使用EAP认证方法与外部AAA服务器进行认证授权失败的流程描述。如果EAP认证授权失败,网络或者用户设备会发起删除当前PDP上下文。步骤501 514,同实施例3第401步到第414步;步骤515,外部AAA服务器收到请求消息后确认认证失败,返回包含EAP认证结果为失败的接入响应消息给GGSN/TON Gff ;步骤516 517,GGSN/PDN Gff发现认证失败后将收到的接入响应消息中的EAP认证结果信息包含在PCO或新定义的信息元素中,通过更新PDP上下文响应消息依次经过SGW, MME及SGSN发送给用户设备;步骤518,用户设备/网络发起删除当前TOP上下文。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附 的权利要求的保护范围。
权利要求
1.一种使用EAP可扩展认证协议进行外部认证的方法,包括 用户设备通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
2.如权利要求1所述的方法,其特征在于 所述用户设备通过将EAP认证方法所需的EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送; 所述EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
3.一种使用EAP可扩展认证协议进行外部认证的方法,包括 分组数据网络网关收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关; 所述分组数据网络网关将接入挑战消息中的EAP请求信息发送给用户设备; 分组数据网络网关收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,外部认证服务器对所述EAP响应信息进行认证处理后向分组数据网络网关返回认证结果,所述分组数据网络网关将接收的认证结果发送至用户设备。
4.如权利要求3所述的方法,其特征在于,所述方法还包括 所述EAP认证信息、EAP请求信息、EAP响应消息及认证结果均包含在信息元素中,所述信息元素为PCO中或新定义的信息元素; 移动管理单元收到附着请求后,通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关; 所述分组数据网络网关将包含EAP请求信息的信息元素通过建立会话响应消息经服务网关传送给移动管理单元,所述移动管理单元将所述信息元素包含在附着接受消息中发送给用户设备; 所述分组数据网络网关将包含认证结果的信息元素通过更新承载请求消息经服务网关传送给移动管理单元,移动管理单元将所述信息元素通过下行NAS传输消息发给用户设备。
5.一种使用EAP可扩展认证协议进行外部认证的方法,包括 用户设备通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;当所述用户设备收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
6.如权利要求5所述的方法,其特征在于 所述EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
7.一种使用EAP可扩展认证协议进行外部认证的方法,包括 GGSN/分组数据网络网关收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,外部认证服务器收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关; 所述GGSN/分组数据网络网关将EAP请求信息通过PDP激活接受消息发送到用户设备; GGSN/分组数据网络网关收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备。
8.如权利要求7所述的方法,其特征在于 所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备; 所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
9.一种使用EAP可扩展认证协议进行外部认证的用户设备,其特征在于 所述用户设备,用于通过E-UTRAN初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,还用于收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息到分组数据网络网关。
10.如权利要求9所述的用户设备,其特征在于 所述用户设备通过将所述EAP认证信息包含在PCO协议配置选择或新定义的信息元素中通过附着请求消息发送; 所述用户设备将EAP响应信息包含在PCO或新定义的信息元素中携带在请求承载资源修改消息中。
11.一种使用EAP可扩展认证协议进行外部认证的网络侧设备,其特征在于 所述网络侧设备包括分组数据网络网关及外部认证服务器; 所述分组数据网络网关,用于收到携带EAP认证信息的建立会话请求消息后,将提取的EAP认证信息包含到接入请求消息中发送给外部认证服务器,以及将接入挑战消息中的EAP请求信息发送给用户设备;还用于收到携带EAP响应消息的承载资源命令消息后,将提取的EAP响应信息包含到接入请求消息中发送给外部认证服务器,以及将接收的认证结果发送至用户设备; 所述外部认证服务器,用于收到接入请求消息后返回包含EAP请求信息的接入挑战消息给分组数据网络网关;还用于对接收的EAP响应信息进行认证处理后向分组数据网络网关返回认证结果。
12.如权利要求11所述的网络侧设备,其特征在于 所述网络侧设备还包括移动管理单元及服务网关; 所述移动管理单元,用于收到附着请求后通过服务网关将包含所述EAP认证信息的信息元素携带在建立会话请求消息发送给分组数据网络网关,以及将包含EAP请求信息的信息元素携带在附着接受消息中发送给用户设备;还用于将包含EAP响应信息的信息元素携带在承载资源命令消息中通过服务网关发送给分组数据网络网关,以及将包含认证结果的信息元素通过下行NAS传输消息发给用户设备; 所述信息元素为PCO或新定义的信息元素。
13.一种使用EAP可扩展认证协议进行外部认证的用户设备,其特征在于所述用户设备,用于通过UTRAN/GERAN初始附着到EPS网络时,发送PDP上下文激活请求时携带EAP认证所需的EAP认证信息;还用于收到包含EAP请求信息的PDP激活接受消息后,发送携带对所述EAP请求的EAP响应信息的修改PDP上下文请求消息至GGSN/分组数据网络网关。
14.如权利要求13所述的用户设备,其特征在于 所述用户设备将EAP认证信息及EAP响应信息均包含在PCO或新定义的信息元素中。
15.一种使用EAP可扩展认证协议进行外部认证的网络侧设备,其特征在于 所述网络侧设备包括GGSN/分组数据网络网关及外部认证服务器; 所述GGSN/分组数据网络网关,用于收到PDP上下文激活请求后,将EAP认证信息携带在接入请求消息中发送给外部认证服务器,以及将EAP请求信息通过PDP激活接受消息发送到用户设备;还用于收到修改PDP上下文请求消息后,提取EAP响应信息,包含到接入请求消息中发送给外部认证服务器,并于收到认证结果后通过更新上下文响应消息发送给用户设备; 所述外部认证服务器,用于收到请求后消息后返回包含EAP请求信息的接入挑战消息给GGSN/分组数据网络网关;还用于收到EAP响应信息后进行认证处理并向分组数据网络网关返回认证结果。
16.如权利要求15所述的网络侧设备,其特征在于 所述GGSN/分组数据网络网关将EAP请求信息包含在PCO或新定义的信息元素中通过PDP激活接受消息发送到用户设备; 所述GGSN/分组数据网络网关将EAP认证结果信息包含在PCO或新新定义的信息元素中通过更新上下文响应消息发送给用户设备。
17.一种使用EAP可扩展认证协议进行外部认证的系统,其特征在于 所述系统包括如权利要求9或10所述的用户设备,以及如权利要求11或12所述的网络侧设备;或者, 所述系统包括如权利要求13或14所述的用户设备,以及如权利要求15或16所述的网络侧设备。
全文摘要
本发明提供一种使用EAP进行外部认证的用户设备、网络侧设备、系统及方法,用户设备初始附着到EPS网络时,将EAP认证方法所需的EAP认证信息传送给分组数据网络网关,当所述用户设备收到EAP请求信息后发送包含EAP响应信息的请求承载资源修改消息或修改PDP上下文请求消息到分组数据网络网关。采用本发明的技术方案,可实现用户设备通过3GPP access连接到EPS的过程中,使用EAP认证方法通过GGSN/PDN GW向外部认证授权服务器完成认证授权。
文档编号H04L29/06GK103067342SQ20111032094
公开日2013年4月24日 申请日期2011年10月20日 优先权日2011年10月20日
发明者周星月, 梁爽, 朱春晖 申请人:中兴通讯股份有限公司