針對接入認證進行的可信性判定的制作方法

專利名稱：針對接入認證進行的可信性判定的制作方法
技術領域：
本發明通常涉及針對接入認證進行的可信性判定(trustworthiness decision)。 例如，本發明涉及關于3GPP兼容分組數據系統中的非3GPP接入網絡的可信性的接入認證。
背景技術：
近年來，通信系統和子系統的集成(convergence)已吸引了通信技術中的越來越多的關注。在此背景下，在通信技術、協議和/或原理方面不同的系統以及它們的不同的子系統(例如，接入網絡、核心網絡等)將集成到整體系統構架中。然而，在將不同的系統和 /或子系統集成到共同的整體系統構架中并且操作這樣集成的整體系統構架時存在若干問題。通信系統集成的背景下的一個問題在于接入網絡和核心網絡之間的聯網。在該系統配置中，可能出現安全問題，例如出于核心網絡或用戶的歸屬網絡或用戶的訪問網絡(在漫游的情況中)的觀點的接入網絡的可信性的問題。在下文中，將示例性地提出一種系統配置，其中核心網絡和/或歸屬網絡和/或訪問網絡(在漫游的情況中)符合特定的標準規范，例如3GPP (第三代伙伴項目)規范，但是用戶設備經由其連接到3GPP核心/歸屬/訪問網絡的至少一個接入網絡不符合3GPP標準規范。該接入網絡被稱為非3GPP接入網絡。其可能符合其他標準，例如由3GPP定義的HRDP 標準或者由WiMAX Forum定義的WiMAX標準。應當注意，該系統配置被視為非限制性示例， 而相似的系統配置也是同樣適用的。作為下面的描述的非限制性示例，假設用戶設備經由非3GPP (例如HRDP (高速分組數據)或WiMAX (微波存取全球互通))接入網絡連接到3GPP演進分組系統(EPS)。根據諸如3GPP TS23. 402和3GPP TS24. 302的3GPP標準規范，經由非3GPP接入網絡向連接到 EPC的用戶設備提供通信連接性，例如互聯網協議(IP)連接性。關于可信和不可信非3GPP 接入網絡的安全需要和所請求的認證方法，以及關于非3GPP接入網絡的AAA(認證、授權和計費)接口和過程也根據諸如3GPP TS33. 402和3GPP TS29. 273的3GPP標準規范。根據 3GPP標準規范，諸如EAP方法(例如EAP-AKA和ΕΑΡ-ΑΚΑ，(ΕΑΡ 可擴展認證協議，AKA 認證和密鑰協定))的已知認證機制是適用的。在本非限制性示例中，還假設用戶設備正在漫游，即經由非3GPP接入網絡連接到其歸屬網絡，該非3GPP接入網絡附連到所訪問的3GPP 兼容網絡。在最初附連到或切換到非3GPP接入網絡期間，例如由駐留在HPLMN (歸屬公共陸地移動網絡)中的AAA服務器在用戶的歸屬網絡中進行關于接入網絡可信還是不可信的判定。該判定應考慮商業/管理條件(例如，與接入網絡的運營商的直接漫游協定)和技術條件。必要的或相關的技術條件依賴于底層的網絡場景和/或所利用的協議。例如，根據當前的標準規范，如下技術條件適用于使用基于網絡的移動性的(接入網絡和分組數據網絡網關之間的)Sh接口，即作為IP移動性管理協議的代理移動IP (PMIP)0 MAG (移動接入網關)應被LMA (Local Mobility Anchor，本地移動性錨點)信任以僅登記這些附連的移動節點。關于MAG和LMA之間的PMIP消息的安全性應由安全關聯鏈以逐跳方式(對于該鏈中的每跳，每個方向的一個安全關聯應用于與任何用戶相關的所有PMIP消息)提供，或者對于域內情況，由關于與任何用戶相關的所有PMIP消息的每個方向的一個安全關聯以端到端的方式提供。PMIP應僅結合基于EAP-AKA的接入認證使用。例如，根據當前的標準規范，如下技術條件適用于使用基于主機的移動性的(用戶設備和分組數據網絡網關之間的)S2c接口，即作為IP移動性管理協議的雙棧移動IPv6 (DSMIPv6)0當使用基于主機的移動性時，接入網絡需要滿足若干安全需要以被信任。可信接入將認證用戶設備并且針對將從用戶設備傳輸到可信接入的數據提供安全鏈路。可信接入防止源IP地址欺騙。可信接入和分組數據網絡網關(PDN GW)將具有它們之間的安全鏈路以跨其傳輸用戶的數據。當用戶設備脫離可信接入以便于確保在EPC不了解改變(即使得PDN Gff能夠移除關于舊的用戶設備的CoA (轉交地址(care-of-address))綁定)的情況下指配給用戶設備的IP地址不會由另一用戶設備使用時，可信接入和演進分組核心(EPC) 需要協調。根據當前標準規范指定的這些條件集合是非常常見的，然而，可能需要另外的信息以確定接入網絡是否可信。目前，由每個運營商確定對于將信任的接入網絡需要滿足的完整的商業(管理)和技術條件的集合。因此，為了能夠在用戶的歸屬網絡處進行針對接入網絡的可信性的正確判定，需要所有相關信息(例如，關于所有相關條件的當前數據)在歸屬網絡處可用。然而，在漫游情況中確保這一點將是特別困難的。在這一點上，應當注意，分組數據網絡網關(PDN Gff)可以在認證過程期間動態地分配。因此，例如在非3GPP接入網關和PDN GW之間的安全IP鏈路的條件方面，所討論的IP鏈路可以位于非3GPP接入網絡和歸屬網絡之間(在選擇歸屬路由，即PDN Gff位于歸屬網絡中的情況中)或者位于非3GPP接入網絡和訪問網絡之間(在選擇本地疏導(local breakout),即PDN Gff位于訪問網絡中的情況中)。考慮到IP路由在兩個網絡(即接入網絡和歸屬或訪問網絡)之間直接進行，對于歸屬路由和本地疏導(LBO)情況的情況，IP鏈路可以使用不同的路線和不同的IP傳送提供商(例如網絡運營商)。因此，關于各個IP鏈路的安全方面也可能是不同的，因而妨礙了用于在歸屬網絡處進行判定的適當信息的可用性。根據當前的標準規范，不存在關于歸屬網絡可如何獲得進行關于接入網絡的可信狀態(即可信性)的判定所需的所有相關信息(例如，如果選擇本地疏導，則獲得關于非3GPP 接入網絡和駐留在訪問網絡中的PDN GW之間的IP鏈路的安全性的信息)的機制。考慮到例如對于GSM (全球移動通信系統)和/或UTRAN (通用地面無線電接入網絡)網絡運營商可能存在散布于世界的數百個漫游合作者，并且非3GPP接入的數目可能甚至更高，如漫游情況中特別需要的，歸屬網絡具有關于所有接入網絡和潛在的訪問網絡之間的所有IP鏈路的最新信息是不可行的。因此，歸屬網絡可能未正確地考慮所有相關的條件(例如將使用的鏈路的安全性) 而做出錯誤的判定。如果歸屬網絡判定接入網絡不可信，盡管這不會是所需的，但是這將導致不必要的資源消耗和/或時間延遲。例如，在通信路徑中可能不必要地牽涉演進分組數據網關(ePDG)，并且可能不必要地執行用戶設備和ePDG之間的隧道建立過程。在歸屬網絡判定接入網絡可信的情況中，盡管例如不存在接入網絡和訪問網絡之間的安全IP鏈路，但是這將導致機密性需要的破壞，并且因此例如竊聽可變得可能。因此，不存在基于關于分組數據系統中的接入網絡的可信性的信息的可用性來確保安全和高效的接入過程的任何可行的解決方案。

發明內容
本發明及其實施例被設計用于提供一種基于關于分組數據系統中的接入網絡的可信性的信息的可用性來確保安全和高效的接入過程的可行的解決方案。根據本發明的示例性第一方面，提供了一種方法，包括從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指不(receiving an indication about a provisional trustworthiness of an access network, which provides packet data access for a roaming user, with respect to a visited network of said user from a network element of said visited network);確定關于所述用戶的每個訂閱(subscribed)接入點名稱的本地疏導或歸屬路由的適用性；以及基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性，判定所述接入網絡的最終可信性。根據其進一步的發展或修改，應用一個或多個如下特征
-所述接收臨時可信性指示包括接收認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性，
- 認證請求包括直徑可擴展認證協議(Diameter Extensible Authentication Protocol)請求，
-所述確定產生關于所述用戶的所有訂閱接入點名稱的本地疏導的適用性，所述判定進一步包括在技術判定因素方面接受所述接入網絡的臨時可信性，并且考慮管理判定因素 (如果存在)，用于進行關于所述接入網絡的最終可信性的最終判定，
-所述確定產生關于所述用戶的所有訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括放棄所述接入網絡相對所述訪問網絡的臨時可信性，并且考慮相對所述用戶的歸屬網絡的技術和管理(如果存在)判定因素，用于進行關于所述接入網絡的最終可信性的最終判定，
-所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述用戶的所述訪問網絡和所述接入網絡之間的鏈路的安全級別中的一個或多個；以及管理判定因素，其包括所述接入網絡和所述歸屬網絡之間的漫游協定的存在、所述訪問網絡和所述歸屬網絡之間的信任級別、先前的服務質量體驗中的一個或多個，
-所述確定產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的子判定，并且組合針對這兩組接入點名稱進行的子判定，使得當已判定所述接入網絡對于這兩組接入點名稱可信時，判定所述接入網絡最終可信，
-所述確定產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的單獨判定，并且向用戶通知接入網絡相對于所述用戶的各個訂閱接入點名稱的最終可信性的單獨判定，
-所述訪問網絡的所述網絡元件包括認證、授權和計費代理實體，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動IP版本6來提供IP移動性管理，
-所述訪問網絡的所述網絡元件包括演進分組數據網關，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6來提供IP移動性管理，
-所述方法能夠在最初附連到或切換到所述接入網絡時操作， -所述用戶的歸屬網絡和所述訪問網絡屬于根據3GPP規范的演進分組系統，并且所述接入網絡是非3GPP接入網絡，和/或
-所述方法能夠在所述用戶的所述歸屬網絡中的認證、授權和計費服務器處操作。根據本發明的示例性第二方面，提供了一種方法，包括從漫游用戶的歸屬網絡的網絡元件接收關于所述用戶的各個訂閱接入點名稱的、關于為所述用戶提供分組數據接入的接入網絡的可信性的單獨判定的信息；以及根據接收到的關于各個訂閱接入點名稱的接入網絡的可信性，使用各個接入點名稱請求分組數據網絡連接。根據其進一步的發展或修改，應用一個或多個如下特征
-所述請求進一步包括對于接收到關于其的接入網絡可以被視為可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向非3GPP網關發送分組數據網絡連接請求，或者如果使用雙棧移動互聯網協議版本6，則建立安全關聯并且向分組數據網絡網關發送分組數據網絡連接請求，和/或對于接收到關于其的接入網絡將被視為不可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向演進分組網關發送嵌入到安全隧道建立中的分組數據網絡連接請求，和/或如果使用雙棧移動IP版本6，則建立針對演進分組數據網關的隧道并且建立安全關聯并且經由針對所述演進分組數據網關的所述隧道向分組數據網絡網關發送分組數據網絡連接請求，
-所述歸屬網絡的所述網絡元件包括認證、授權和計費服務器，和/或 -所述方法能夠在所述用戶的用戶設備處操作。根據本發明的示例性第三方面，提供了一種方法，包括通過考慮關于可信性的可用判定因素，評估為漫游用戶提供分組數據接入的接入網絡和所述用戶的訪問網絡之間的信任關系；基于評估的信任關系來判定所述接入網絡相對于所述訪問網絡的可信性；以及向所述用戶的歸屬網絡的網絡元件傳送關于所述判定可信性的指示。根據其進一步的發展或修改，應用一個或多個如下特征
-所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述接入網絡和所述用戶的所述訪問網絡之間的鏈路的安全級別中的一個或多個，
-所述傳送可信性指示包括發送認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性，
-認證請求包括直徑可擴展認證協議請求，
-所述方法能夠在認證、授權和計費代理實體處操作，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議提供IP移動性管理，和/或
-所述方法能夠在演進分組數據網關處操作，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6提供IP移動性管理。根據本發明的示例性第四方面，提供了一種裝置，包括接收器，被配置為從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指示；確定器，被配置為確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性；以及判定器，被配置為基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性，判定所述接入網絡的最終可信性。根據其進一步的發展或修改，應用一個或多個如下特征
-所述接收器被進一步配置為接收認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性，
-認證請求包括直徑可擴展認證協議請求，
-當所述確定器產生關于所述用戶的所有訂閱接入點名稱的本地疏導的適用性時，所述判定器被進一步配置為在技術判定因素方面接受所述接入網絡的臨時可信性，并且考慮管理判定因素(如果存在)，用于進行關于所述接入網絡的最終可信性的最終判定，
-當所述確定器產生關于所述用戶的所有訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為放棄所述接入網絡相對所述訪問網絡的臨時可信性，并且考慮相對所述用戶的歸屬網絡的技術和管理(如果存在)判定因素，用于進行關于所述接入網絡的最終可信性的最終判定，
-當所述確定器產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的子判定，并且組合針對這兩組接入點名稱進行的子判定，使得當已判定所述接入網絡對于這兩組接入點名稱可信時，判定所述接入網絡最終可信，
-當所述確定器產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的單獨判定，并且向用戶通知所述接入網絡相對于所述用戶的各個訂閱接入點名稱的最終可信性的單獨判定，
-所述訪問網絡的所述網絡元件包括認證、授權和計費代理實體，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動IP版本6來提供IP移動性管理，
-所述訪問網絡的所述網絡元件包括演進分組數據網關，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6來提供IP移動性管理，
-所述裝置能夠在最初附連到或切換到所述接入網絡時操作， -所述用戶的歸屬網絡和所述訪問網絡屬于根據3GPP規范的演進分組系統，并且所述接入網絡是非3GPP接入網絡，和/或
-所述裝置能夠作為所述用戶的所述歸屬網絡中的認證、授權和計費服務器操作。根據本發明的示例性第五方面，提供了一種裝置，包括接收器，被配置為從漫游用戶的歸屬網絡的網絡元件接收關于所述用戶的各個訂閱接入點名稱的、關于為所述用戶提供分組數據接入的接入網絡的可信性的單獨判定的信息；以及請求器，被配置為根據接收到的關于各個訂閱接入點名稱的接入網絡的可信性，使用各個接入點名稱請求分組數據網絡連接。根據其進一步的發展或修改，應用一個或多個如下特征
-所述請求器被進一步配置為對于接收到關于其的接入網絡可以被視為可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向非3GPP網關發送分組數據網絡連接請求，或者如果使用雙棧移動互聯網協議版本6，則建立安全關聯并且向分組數據網絡網關發送分組數據網絡連接請求，和/或對于接收到關于其的接入網絡須被視為不可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向演進分組網關發送嵌入在安全隧道建立中的分組數據網絡連接請求，和/或如果使用雙棧移動IP版本6，則建立針對演進分組數據網關的隧道并且建立安全關聯并且經由針對所述演進分組數據網關的所述隧道向分組數據網絡網關發送分組數據網絡連接請求，
-所述歸屬網絡的所述網絡元件包括認證、授權和計費服務器，和/或 -所述裝置能夠作為所述用戶的用戶設備而操作。根據本發明的示例性第六方面，提供了一種裝置，包括評估器，被配置為通過考慮關于可信性的可用判定因素，評估為漫游用戶提供分組數據接入的接入網絡和所述用戶的訪問網絡之間的信任關系；判定器，被配置為基于評估的信任關系來判定所述接入網絡相對于所述訪問網絡的可信性；以及傳送器，被配置為向所述用戶的歸屬網絡的網絡元件傳送關于所述判定可信性的指示。根據其進一步的發展或修改，應用一個或多個如下特征
-所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述接入網絡和所述用戶的所述訪問網絡之間的鏈路的安全級別中的一個或多個，
-所述傳送器被進一步配置為發送認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性，
-認證請求包括直徑可擴展認證協議請求，
-所述裝置能夠作為認證、授權和計費代理實體操作，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動互聯網協議版本6提供IP移動性管理，
-所述裝置能夠作為演進分組數據網關操作，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6提供分組數據移動性。根據本發明的示例性第七方面，提供了一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據第一方面和/或其一個或多個發展/修改的方法。根據本發明的示例性第八方面，提供了一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據第二方面和/或其一個或多個發展/修改的方法。根據本發明的示例性第九方面，提供了一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據第三方面和/或其一個或多個發展/修改的方法。借助于本發明的示例性實施例，提供了一種基于與分組數據系統中的接入網絡的可信性，特別是關于3GPP兼容分組數據系統中的非3GPP接入網絡的可信性相關的信息的可用性來確保安全和高效的接入過程的可行的解決方案。借助于本發明的示例性實施例，在所有情況(包括歸屬路由和本地疏導，不同的接口，等等)中提供了，歸屬網絡(例如歸屬網絡中的AAA服務器)能夠確定是否滿足關于接入網絡被信任的條件。根據本發明的實施例，當接入網絡連接到位于訪問網絡中的分組數據網絡網關(PDN GW)時，對于漫游情況也實現了這一點。換言之，提供了一種用于將所有相關信息(例如從訪問網絡)傳送到其中需要進行判定的歸屬網絡的可行的解決方案。借助于本發明的示例性實施例，提供了關于使用非3GPP接入網絡的IP連接性的更高效的措施，例如改進了資源使用。


在下文中，將參照附圖借助于非限制性示例更詳細地描述本發明，在附圖中
圖1示出了其中可應用本發明的實施例的使用Sh接口的歸屬路由的情況中的網絡配置的示意性框圖，
圖2示出了其中可應用本發明的實施例的使用Sh接口的本地疏導的情況中的網絡配置的示意性框圖，
圖3示出了其中可應用本發明的實施例的使用S2c接口的歸屬路由的情況中的網絡配置的示意性框圖，
圖4示出了其中可應用本發明的實施例的使用S2c接口的本地疏導的情況中的網絡配置的示意性框圖，
圖5示出了根據本發明的示例性實施例的圖1至4中任一個的網絡配置中的接入認證過程的消息流圖，
圖6示出了根據本發明的示例性實施例的圖3或4中任一個的網絡配置中的接入認證過程的消息流圖，
圖7示出了根據本發明的示例性實施例的能夠在歸屬網絡實體處執行的方法的示意性流程圖，
圖8示出了根據本發明的示例性實施例的能夠在訪問網絡實體處執行的方法的示意性流程圖，
圖9示出了根據本發明的示例性實施例的能夠在用戶設備處執行的方法的示意性流程圖，
圖10示出了根據本發明的示例性實施例的歸屬網絡實體的示意性框圖， 圖11示出了根據本發明的示例性實施例的訪問網絡實體的示意性框圖，以及圖12示出了根據本發明的示例性實施例的用戶設備的示意性框圖。
具體實施例方式這里參照特定的非限制性示例描述了本發明。本領域的技術人員將認識到，本發明不限于這些示例，并且可以被更廣泛地應用。特別地，主要針對用作關于特定的示例性網絡配置的非限制性示例的3GPP標準規范描述了本發明及其實施例。特別地，在這一點上，與3GPP兼容核心網絡(例如歸屬和/ 或訪問網絡)，即3GPP演進分組系統連接的非3GPP接入網絡(AN)用作非限制性示例。因而，這里給出的實施例的描述具體地引用直接與其相關的術語。這些術語僅在所呈現的非限制性示例的背景下使用，自然不會以任何方式限制本發明。相反，還可以利用任何其他的網絡配置或實現方案，只要其符合這里描述的特征。在下文中，使用若干個替選方案描述了本發明及其方面的各種實施例和實現方案。一般地，應當注意，根據特定的需要和約束，所描述的所有替選方案可以單獨地提供或者以任何可設想的組合(還包括各種替選方案的各個特征的組合)提供。在最一般的方面，根據以上概述的說明性示例，本發明的原理基于，訪問(VPLMN: 訪問公共陸地移動網絡)網絡，例如其中的3GPP AAA代理或者演進分組數據網關(ePDG)，估定非3GPP接入網絡可信或不可信，并且以信號形式將此結果傳送到歸屬(HPLMN)網絡，例如其中的3GPP AAA服務器。這假設HPLMN信任由VPLMN提供的信息，但是HPLMN和VPLMN 之間的該信任可以以任何方式被假設為HPLMN將VPLMN選擇為漫游合作者。如果在認證和授權過程期間選擇了本地疏導(LB0)，則AAA服務器應考慮從VPLMN接收到的可信/不可信指示。這并非意味著自動接受，即HPLMN運營商應有權進行“不可信”判定，即使VPLMN已指示“可信”判定并且LBO被選擇。其一個原因可在于，HPLMN和VPLMN運營商具有對由特定無線電接入類型確保的安全性的不同判斷。作為符合本發明的第一替選方案，根據本示例性網絡配置，可以使用非3GPP接入網絡和3GPP AAA代理之間的接口(可被稱為STa接口)，以及3GPP AAA代理和3GPP AAA服務器之間的接口(可被稱為Sffd接口)，來實現本發明的實施例。所謂的S2a/S2b/S2c接口應用于用戶平面通信，其中這由IP移動性模式選擇來判定(注意，如果如下文解釋的信任判定是“不可信”，則僅使用S2b接口)。圖1示出了其中可應用本發明的實施例的使用Sh接口的歸屬路由的情況中的網絡配置的示意性框圖。根據圖1，非3GPP接入網絡(例如，一個被標為(潛在地)可信，而一個被標為不可信)經由訪問網絡VPLMN連接到用戶(即用戶設備)的歸屬網絡HPLMN，這歸因于漫游情況的假設。漫游用戶設備未被示出，但是由如此示出的非3GPP接入網絡中的任一個提供分組數據接入。由于在圖1中假設歸屬路由(HR)場景，因此PDN網關位于歸屬網絡中。對于如此示出的網絡配置的進一步的細節，參照3GPP TS 23.402。圖2示出了其中可應用本發明的實施例的使用Sh接口的本地疏導的情況中的網絡配置的示意性框圖。根據圖2，圖示了與圖1相似的網絡配置，但是不同之處在于假設本地疏導(LBO) 場景。因此，PDN網關位于訪問網絡中。圖3示出了其中可應用本發明的實施例的使用S2c接口的歸屬路由的情況中的網絡配置的示意性框圖。根據圖3，非3GPP接入網絡(例如，一個被標為(潛在地)可信，而一個被標為不可信)經由訪問網絡VPLMN連接到用戶(即用戶設備)的歸屬網絡HPLMN，這歸因于漫游情況的假設。漫游用戶設備由如此示出的非3GPP接入網絡中的任一個提供分組數據接入。由于在圖3中假設歸屬路由場景，因此PDN網關位于歸屬網絡中。對于如此示出的網絡配置的進一步的細節，參照3GPP TS 23.402。圖4示出了其中可應用本發明的實施例的使用S2c接口的本地疏導的情況中的網絡配置的示意性框圖。根據圖4，圖示了與圖3相似的網絡配置，但是不同之處在于假設本地疏導(LBO) 場景。因此，PDN網關位于訪問網絡中。圖5示出了根據本發明的示例性實施例的圖1至4中任一個的網絡配置中的接入認證過程的消息流圖。對于下面的描述，示例性地假設潛在地可信的非3GPP接入網絡支持 STa接口上的EAP-AKA’認證，這是因為對于應被處置為受3GPP網絡信任的大部分非3GPP 接入網絡，情況應是這樣。就是說，圖5示出了使用STa和SWd接口的關于漫游情況的最初附連到非3GPP接入網絡的接入認證和授權的細節。在下文中，更詳細地描述了如此示出的接入認證與本發明的實施例相關的那些方面。對于關于消息內容和各個網絡元件執行的動作的進一步的細節，參照3GPP TS 29. 273的條款5和3GPP TS 32. 402的條款6. 2。下面的描述應用于牽涉STa接口的過程，對于STa接口，EAP-AKA'的使用是強制性的。(注意，圖3和4中的虛線在這里不相關。)
在步驟1中，使用特定于非3GPP接入網絡的過程(超出本發明的范圍)建立用戶設備 UE和“潛在地可信的”非3GPP接入網絡之間的連接(在該過程期間進行判定，參見下文)。 這里假設漫游情況，即用戶在外地網絡中漫游。因此，接入網絡連接到訪問網絡VPLMN (歸屬網絡HPLMN的漫游合作者)。在步驟2中，可信的非3GPP接入網絡中的認證者向UE發送 EAP請求/身份(Request/Identity)。在步驟3中，UE發送EAP響應/身份消息，其包括網絡接入標識符(ΝΑΙ)。在步驟4中，可信的非3GPP接入網絡生成關于EAP的直徑認證和授權請求(例如DER 直徑EAP請求)并且包括(除其他之外)ΕΑΡ響應、接入類型和接入網絡的身份。基于NAI的域名(realm)部分朝向適當的AAA代理(即針對適當的VPLMN)路由該請求。在步驟5中，AAA代理應在DER請求中包括訪問網絡標識符(識別VPLMN)。
根據本發明的實施例，3GPP AAA代理(在VPLMN中)臨時確定所關注的接入網絡的可信性，即評估非3GPP接入網絡和VPLMN之間的信任關系。為此，使用如下假設，PDN網關應被分配在VPLMN中(由于LBO場景)，同時考慮VPLMN中可用的關于接入網絡的所有信息，例如接入網絡和VPLMN之間的IP鏈路的安全級別或者接入網絡中的無線電接入技術(RAT)。 判定因素可以被配置為VPLMN中的AAA代理中的本地策略的一部分。該結果，即關于VPLMN 的可信/不可信判定應被添加到轉發的DER請求。這可以借助于專門指配的屬性值對AVP (其可以例如被標為“AN可信AVP”，其中可能值是“可信”和“不可信”)來實現。DER請求隨后基于NAI的域名部分經由SWd接口被路由到HPLMN中的適當的3GPP AAA服務器。
在步驟6中，在3GPP AAA服務器在SWd接口上接收到包含EAP響應/身份消息、 訂戶身份和無線電接入技術(RAT)的DER請求之后，其檢查其是否具有關于EAP-AKA’的未使用的認證向量，并且如果是否定的，則從歸屬訂戶服務器HSS獲取新的認證向量集合。在步驟7至10中，HSS生成認證向量并且將它們發送到3GPP AAA服務器，AAA服務器存儲這些認證向量(如果請求/接收不止一個)，AAA服務器獲取用戶的訂閱數據，并且HSS發送該訂閱數據。在步驟11中，3GPP AAA服務器驗證訂戶被授權使用演進分組系統(EPS)和非3GPP 接入網絡。如果用戶被授權，則基于接收到的指示符(來自用戶設備和接入網絡)和訂閱數據(即是否向UE指配固定PDN Gff,是否允許VPLMN中的PDN Gff分配)，AAA服務器判定所討論的接入網絡的可信性。根據本發明的實施例，HPLMN中的3GPP AAA服務器針對用戶的每個訂閱接入點名稱(APN)判定將使用本地疏導還是歸屬路由。其可以為(一些)接入點名稱分配PDN GW。并且，根據本發明的實施例，HPLMN中的3GPP AAA服務器判定接入網絡將被處置為可信還是不可信，即判定其最終可信性。為此，3GPP AAA服務器考慮VPLMN的臨時可信性判定，即從VPLMN判定接收到的可信性指示(例如AN可信AVP的值)。如果對于用戶的所有接入點名稱將使用本地疏導，則AAA服務器在技術判定因素方面接受VPLMN的臨時判定。其仍可以判定接入網絡“不可信”，條件是存在這樣做的特定的商業相關(即管理)原因(例如由于先前的訂戶抱怨、關于VPLMN的有限的信任等)，但是如果VPLMN指示“不可信”狀態，則其不應判定接入網絡“可信”。如果對于用戶的所有接入點名稱將使用歸屬路由，則AAA服務器不應考慮接收到的VPLMN的臨時信任指示(由于相關的IP鏈路應在AN和HPLMN之間而非AN和VPLMN之間)。也就是，在該情況中放棄VPLMN的臨時判定，并且在歸屬網絡中的AAA服務器處獨立地進行判定。如果對于用戶的一些接入點名稱允許LB0，但是對于用戶的接入點名稱請求歸屬路由，則存在若干種選項。根據第一選項，AAA服務器針對本地疏導和歸屬路由情況，即針對那些適用本地疏導或歸屬路由的接入點名稱，單獨地進行子判定，這如上文所述針對各個特殊情況完成，并且隨后將它們組合為關于這兩個組的單個聯合判定。就是說，其僅在兩種子判定均“可信” 時判定“可信”。該選項導致了對于所討論的用戶的所有分組數據網絡連接使用演進分組數據網關(ePDG)，條件是至少對于一些接入點名稱需要這樣。根據第二選項，AAA服務器針對本地疏導和歸屬路由情況，即針對那些適用本地疏導或歸屬路由的訂閱接入點名稱，進行單獨的判定，這如上文所述針對各個特殊情況完成。 隨后，如果這些判定不同，則AAA服務器向用戶設備UE指示，對于哪些接入點名稱，接入網絡將被處置為可信，并且對于哪些接入點名稱，接入網絡將被處置為不可信。對于那些接入網絡被判定為可信的訂閱接入點名稱，UE可以向非3GPP網關⑶口果使用PMIP)或者直接向PDN Gff (如果使用DS-MIPv6)發送PDN連接請求。為了請求關于接入網絡被判定為不可信的那些APN中的任何APN的PDN連接，UE應首先建立針對ePDG的隧道，并且隨后應經由該隧道發送相應的PDN連接請求。對于該選項，需要定義新的屬性，或者需要擴展AT_TRUST_IND屬性的語法以便于允許發送具有各自的信任指示的接入點名稱的列表。
在本發明及其實施例的背景下，接入點名稱(APN)識別由分組數據網絡提供的服務，并且獨立于這樣的接入網絡或者在接入網絡提供的接口的意義上獨立于任何接入點。 如存儲在HLR中的用戶的訂閱簡檔包含如授權調用一些服務(即連接到一些PDN)的數據， 而且無論如何，將使用LBO或歸屬路由。在步驟12中，3GPP AAA服務器發送直徑EAP回答(Diameter EAP Answer)(例如 DEA:直徑EPA回答)請求中包括的EAP-AKA’認證請求(ΕΑΡ請求/AKA'提問消息)。3GPP AAA服務器向UE通知EAP請求/AKA’提問消息中包括的AT_TRUST_IND屬性中的接入網絡的信任狀態。在步驟13中，AAA代理將該請求轉發到非3GPP AN，其包括AKA'提問。在步驟14中，接入網絡中的認證者向UE發送EAP請求/AKA'提問消息。在步驟15中，UE(USIM (通用訂戶身份模塊)應用)認證網絡，計算認證響應值并且在EAP響應消息中發送該認證響應值。在步驟16中，接入網絡中的認證者向3GPP AAA代理發送EAP響應/AKA'提問分組。在步驟17中，AAA代理將該請求轉發到AAA服務器。在步驟18中，AAA服務器將接收到的認證結果與預期結果(在認證向量中接收)比較并且如果它們相等，則將認證視為成功的。在步驟19中，如果認證成功，則AAA服務器將用戶登記在HSS中。在步驟20中，HSS確認UE被登記。在步驟21中，AAA服務器向AAA代理發送最終DEA回答(指示直徑認證過程的成功完成)，其包括(除其他之外)所有相關的APN相關數據(如果AAA服務器分配或者從 HSS接收PDN GW，則其包含PGN GW身份，或者如果未發送PDN GW身份，則其包含指示符，其指示非3GPP Gff是否可以分配VPLMN中的PDN Gff,并且包含所選擇的IP移動性模式和EAP 成功信息)。在步驟22中，AAA代理將DEA請求轉發到非3GPP接入網絡。在步驟23中，接入網絡中的認證者向UE通知成功完成認證。接入認證(如上文所述)之后的后繼步驟取決于如UE接收到的移動性模式和信任指示。特別地，如下文描述的，當請求PDN連接時，UE應根據接收到的可信/不可信指示采取行動。對于用戶業務，如果STa接口和EAP-AKA’認證機制用于認證，則用于用戶平面的接口可以是Sh接口(當判定可信并且使用PMIP時)或S2b接口(當判定不可信并且使用 PMIP時；因而，UE應需要建立針對ePDG的安全信道)或S2c接口(當使用DSMIP時；在可信接入的情況中，分組被直接發送到PDN Gff,或者在不可信接入的情況中，分組通過ePDG發送到 PDN GW)。上文詳細描述了最初附連到接入網絡的接入認證。在切換到非3GPP接入網絡的情況中執行的接入認證與關于最初附連的接入認證相似。實際上，這些差異(例如在切換之前可能已分配一些PDN網關，并且AAA服務器從HSS接收這些)不需要根據本發明的實施例的特定操作中的任何不同的行為。應當注意，使用STa接口的上述場景依賴于如下假設，用戶設備在例如通過創建針對PDN網關的DS-MIPv6綁定而開始建立PDN連接之前了解其是否連接到可信接入網絡。 在這一點上，假設可信接入網絡支持EAP，這是在用戶設備和AAA服務器之間使用EAP-AKA’ 的先決條件。然而，如果滿足特定的條件，則3GPP標準允許在不支持EAP方法并且特別地不支持EAP-AKA’(如上文已假設的)的情況下也可信任非3GPP接入網絡。對于該類型的(潛在地)可信接入網絡，僅可適用基于主機的移動性，并且STa接口不適用于認證。對于該特定類型的非3GPP接入網絡，將不向UE通知非3GPP接入網絡的可信性，并且除非具有關于將被處置為可信的特定接入網絡的預先配置信息，否則應將其視為不可信(至少在最初時，直到其獲得該信息)。對于該情況，不能使用上述第一替選方案；需要下面描述的特定解決方案。作為符合本發明的第二替選方案，如圖3和4中的粗虛線所呈現的，可以使用關于認證消息傳遞的新路徑來實現本發明的實施例。在這兩個圖中，圖示了范圍從用戶設備到歸屬網絡中的3GPP AAA服務器的粗虛線，其通過可信接入網絡以及訪問網絡中的3GPP AAA代理和演進分組數據網關ePDG。該粗虛線表示根據本發明的實施例的特定的消息路線。就是說，根據關于沒有EAP支持的可信的非3GPP接入網絡的特殊情況的示例性實施例，可信的非3GPP接入網絡可以與ePDG連接 (至少臨時地，用于認證)。上述特殊情況建立了符合本發明的本第二替選方案的基礎。就是說，下面的場景依賴于如下假設，非3GPP接入網絡是可信的，但是不支持EAP，并且UE沒有關于將被處置為可信的接入網絡的預先配置信息。對于該特定情況，UE應在請求任何PDN連接之前開始建立針對ePDG的安全隧道。實際上，UE在其附連到可信的或者至少“潛在地可信的”非3GPP 接入網絡時這樣操作。這導致了由圖3和4中的粗虛線表示的通信路徑。圖6示出了當使用該新的通信路徑時的根據本發明的示例性實施例的圖3和4中任一個的網絡配置中的接入認證過程的消息流圖。圖6示出了同樣適用于切換的關于最初附連到非3GPP接入網絡的接入認證和授權的細節。在下文中，更詳細地描述了如此示出的接入認證與本發明的實施例相關的那些方面。對于關于消息內容和各個網絡元件執行的動作的進一步的細節，參照3GPP TS 32. 402 的條款 8. 2. 2。在步驟1中，UE和ePDG交換被稱為IKE_SA_INIT的第一對消息，其中ePDG和UE 協商密碼算法，交換隨機數(nonce)并且執行DifTieJfelIman交換。在步驟2中，UE在 IKE_AUTH階段的該第一消息中發送用戶身份和APN信息，并且開始子安全關聯的協商。UE 省略AUTH參數以便于向ePDG指示其希望使用IKEv2 (互聯網密鑰交換版本2)上的ΕΑΡ。 用戶身份應與網絡接入標識符(ΝΑΙ)格式兼容，包含IMSI或假名。UE應在IKE_AUTH請求消息中發送配置有效負荷(CFG_REQUEST)以獲得遠程IP地址。在步驟3和4中，ePDG經由3GPP AAA代理向3GPP AAA服務器發送具有EAP AVP的認證請求消息，其包含用戶身份、 APN信息、ePDG選擇參數以及所討論的接入網絡的(臨時)可信性指示。ePDG應包括指示正在執行關于建立與ePDG的隧道的認證的參數。這將幫助3GPP AAA服務器區分關于可信接入或者I-WLAN (互通無線局域網)的隧道建立的認證。根據本發明的實施例，在步驟3中，ePDG (在VPLMN中)臨時確定所關注的接入網絡的可信性，即評估非3GPP接入網絡和VPLMN之間的信任關系。為此，使用如下假設，PDN 網關應被分配在VPLMN中(由于LBO場景)，同時考慮VPLMN中可用的關于接入網絡的所有信息，例如接入網絡和VPLMN之間的IP鏈路的安全級別或者接入網絡中的無線電接入技術 (RAT)。判定因素可以被配置為VPLMN中的ePDG中的本地策略的一部分。該結果，即關于 VPLMN的可信/不可信判定應被添加到轉發的(DER)認證請求。這可以借助于專門指配的屬性值對AVP (其可以例如被標為“AN可信AVP”，其中可能值是“可信”和“不可信”)來實現。(DER)認證請求隨后基于NAI的域名部分被路由到適當的3GPP AAA代理，該3GPP AAA 代理又將其轉發到HPLMN中的3GPP AAA服務器。在步驟5中，3GPP AAA服務器應從歸屬訂戶服務器HSS和/或歸屬位置寄存器HLR 取回用戶簡檔和認證向量(如果這些參數在3GPP AAA服務器中不可用)。3GPP AAA服務器應使在步驟4中接收到的指示正在執行關于建立與ePDG的隧道的認證的參數包括在針對 HSS的請求中。HSS隨后應生成具有AMF分離位(s印aration bit)=0的認證向量并且將它們發送回3GPP AAA服務器。3GPP AAA服務器還應取回用戶簡檔(如果其在那仍不可用)并且基于該用戶簡檔，應針對用戶的每個訂閱APN(接入點名稱)，判定將使用歸屬路由還是本地疏導，即PDN網關可以被分配在VPLMN中還是HPLMN中。此后，如果AAA服務器從ePDG 接收到接入網絡受VPLMN信任的信息，則AAA服務器應判定接入網絡將被處置為可信或不可信。(注意，在未從VPLMN接收到信任指示的情況下，由于在接入認證牽涉ePDG時接入網絡總是被視為不可信，因此不需要該判定。)
根據本發明的實施例，HPLMN中的3GPP AAA服務器判定接入網絡將被處置為可信還是不可信，即判定其最終可信性。為此，3GPP AAA服務器考慮VPLMN的臨時可信性判定，即從VPLMN判定接收到的可信性指示(例如AN可信AVP的值)。與上文的使用STa接口的替選方案相似，區分三種情況，即對于所有接入點名稱將使用本地疏導，對于所有接入點名稱將使用歸屬路由，以及對于用戶的一些接入點名稱允許LB0，而對于用戶的接入點名稱請求歸屬路由。進行的判定和可行的選項也與上文結合STa接口所描述的那些相似。因此為了簡化起見這里不再重復細節(參照根據圖5的步驟11)。在AAA服務器確定接入網絡確實可信之后(這意味著對于第一選項的所有APN可信，或者對于第二選項的至少一些訂閱APN可信)，AAA服務器應使AT_TRUST_IND屬性包括在EAP請求/AKA提問消息中(或者，在第二選項的情況中，使新的屬性包括在EAP請求/AKA 提問消息中，條件是這將用于對判定編碼)。在步驟6中，3GPP AAA服務器開始認證提問。未再次請求用戶身份。如上文確定的信任指示包括在該請求中。在步驟7中，3GPP AAA代理將該請求轉發到ePDG。在步驟8 中，ePDG使用其身份、證書來響應UE，并且發送AUTH參數以保護其(在IKE_SA_INIT交換中)發送到UE的先前的消息。其還完成子安全關聯的協商。包括從3GPP AAA服務器接收到的EAP消息(ΕΑΡ請求/AKA提問)以便于開始ΙΚΕν2上的EAP過程。在步驟9中，UE檢查認證參數并且響應認證提問。IKEv2消息中僅有的有效負荷(除了報頭)是EAP消息。對于第一選項，如果UE接收到具有所包括的AT_TRUST_IND屬性并且指示接入網絡可信的EAP請求/AKA提問消息，則UE可以判定終止IKEv2過程。如果UE終止IKEv2過程，則UE隨后應開始針對PDN網關的DS-MIPv6綁定，而不牽涉ePDG。否則，UE繼續從圖6 中省略的標準過程。對于第二選項，如果UE接收到具有所包括的AT_TRUST_IND屬性(或者相關的新屬性，如果該新屬性被選擇用于對接入網絡信任指示編碼)并且指示接入網絡對于一些訂閱 APN可信但是并非對于所有訂閱APN可信的EAP請求/AKA提問消息，則UE應完成IKEv2認證過程并且建立針對ePDG的安全隧道。此后，UE應針對每個APN采取特定的行動。當UE 開始建立針對接入網絡被指示為不可信的APN的PDN連接時，UE應經由ePDG建立針對PDN網關的DS-MIPv6綁定(即使用安全隧道)。當UE開始建立針對AN被指示為可信的APN的 PDN連接時，UE可以直接建立針對PDN網關的DS-MIPv6綁定，而不牽涉ePDG。實際上，ePDG可以具有若干個可用于判定接入網絡是否應被視為可信的源，例如接入網絡和VPLMN之間的IP鏈路的安全級別或者接入網絡中的無線電接入技術。判定因素可以被配置為ePDG中的本地策略的一部分。這與針對Sh接口的情況中的AAA代理描述的過程相似，其中ePDG在這里采取AAA代理的角色。對于用戶業務，如果STa接口和EAP-AKA’認證機制未用于認證，如果最終可信性判定是“可信”，則用于用戶平面的接口可以是直接通向PDN Gff的S2c接口，或者如果最終可信性判定是“不可信”，則用于用戶平面的接口可以是經由ePDG通向PDN Gff的S2c接口。 如果針對產生本地疏導的APN以及產生歸屬路由的APN進行單獨的判定，則S2c接口應具有關于這些APN組的不同路徑。前面在特別地考慮各個實體之間的互通的同時出于整體系統的觀點描述了本發明的替選方案和實施例，下文將描述關于各個方法和實體的細節。圖7示出了根據本發明的示例性實施例的能夠在歸屬網絡實體處執行的方法的示意性流程圖。執行如此示出的方法的歸屬網絡實體可以例如是如上文圖1至4中所示的 3GPP AAA服務器。如此示出的方法能夠在最初附連到或切換到所討論的特定的接入網絡時操作。根據圖7的方法，在操作S701中，3GPP AAA服務器經由3GPP AAA代理(使用SI1a 和SW接口，如圖1至4中呈現的)或者經由ePDG (使用由圖3和4中的虛線表示的通信路徑)從非3GPP接入網絡接收關于接入網絡相對于漫游用戶的訪問網絡的臨時可信性的指示，該接入網絡為所述用戶提供分組數據接入。該指示可以例如包括在直徑可擴展認證協議請求中。隨后，在操作S702中，確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性。在操作S703中，基于接收到的臨時可信性指示和所確定的關于所討論的用戶的每個接入點名稱的路由適用性，進行關于所述接入網絡的最終可信性的判定。在操作S703中，當確定產生關于所討論的用戶的所有訂閱接入點名稱的本地疏導的適用性時，進行的判定(在操作S703A中)進一步包括在技術判定因素方面接受所述接入網絡的臨時可信性，并且考慮管理判定因素(如果存在)，用于進行關于所述接入網絡的最終可信性的最終判定。在操作S703中，當確定產生關于所討論的用戶的所有訂閱接入點名稱的歸屬路由的適用性時，進行的判定(在操作S703B中)進一步包括放棄所述接入網絡相對所述訪問網絡的臨時可信性，并且考慮相對所述用戶的歸屬網絡的技術和(如果存在)管理判定因素，用于進行關于所述接入網絡的最終可信性的最終判定。在操作S703中，當確定產生關于所討論的用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所討論的用戶的其他訂閱接入點名稱的歸屬路由的適用性時，進行的判定(在操作S703C中)進一步如下兩個選項中的一個。在第一選項(在操作S703C’中)中， 進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些接入點名稱的子判定，并且組合針對這兩組接入點名稱進行的子判定，使得當判定這兩組接入點名稱為可信時，判定所述接入網絡最終可信。在第二選項(在操作S703C"中) 中，進行關于產生本地疏導的適用性的接入點那些名稱以及關于產生歸屬路由的適用性的那些接入點名稱的單獨判定。隨后，向用戶通知所述接入網絡的最終可信性的判定(在操作S704中)。這里，提供一般可信性信息(在S703A、S70;3B或者S703C’的情況中)，或者提供關于各個訂閱接入點名稱的特定/單獨的信息(在S703"的情況中)。如果針對產生本地疏導的適用性的APN和產生歸屬路由的APN進行單獨的判定，則例如借助于接入點名稱的列表向用戶通知關于接入網絡的最終可信性的這些單獨的判定。這可以例如通過使用AT_TRUST_IND屬性的相應地修改的語法或者通過使用特定地指定的屬性來完成。圖8示出了根據本發明的示例性實施例的能夠在訪問網絡實體處執行的方法的示意性流程圖。執行如此示出的方法的訪問網絡實體可以例如是如上文圖1至4中所示的 3GPP AAA代理，或者是如上文圖3和4中所示的ePDG。如此示出的方法能夠在最初附連到或切換到所討論的特定的接入網絡時操作。根據圖8的方法，在操作S801中，AAA代理(在圖1至5中呈現的第一替選方案的情況中)或者ePDG (在圖3、4和5中呈現的第二替選方案的情況中)通過考慮關于可信性的可用判定因素，評估為漫游用戶提供分組數據接入的接入網絡和所述用戶的訪問網絡之間的信任關系。隨后，在操作S802中，基于評估的信任關系進行關于所述接入網絡相對于所述訪問網絡的可信性的判定。在操作S803中，向所述用戶的歸屬網絡的負責網絡元件(例如，根據圖1至4中的任一個的3GPP AAA服務器)傳送關于所述判定可信性的指示。該指示的傳送可在直徑可擴展認證協議請求中執行。圖9示出了根據本發明的示例性實施例的能夠在用戶設備處執行的方法的示意性流程圖。執行如此示出的方法的用戶設備可以例如是如上文圖1、2所暗示的或者如上文圖3和4中所示的UE。對于確定關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性的情況(即根據上文圖7的操作S703")，如此示出的方法能夠在歸屬網絡實體執行第二選項時操作。根據圖9的方法，在操作S901中，用戶設備從漫游用戶的歸屬網絡的網絡元件，例如3GPP AAA服務器，接收關于所討論的用戶的每個單獨訂閱接入點名稱的、為所述用戶提供分組數據接入的非3GPP接入網絡的可信性的單獨判定的信息。隨后，在操作S902中，根據接收到的關于各個接入點名稱的接入網絡的可信性，使用各個接入點名稱請求分組數據網絡連接。在操作S902中，請求分組數據網絡連接包括對于指示接入網絡可信的接入點名稱(在步驟S902A中)，如果使用代理移動互聯網協議，則向非3GPP網關發送分組數據網絡 (PDN)連接請求，或者如果使用雙棧移動互聯網協議版本6，則建立安全關聯并且向分組數據網絡網關發送PDN連接請求。對于指示接入網絡不可信的接入點名稱進步驟S902B中)， 請求分組數據網絡連接包括如果使用PMIP，則建立針對演進分組數據網關(ePDG)的隧道并且經由針對所述演進分組數據網關的所述隧道發送分組數據網絡連接(PDN)請求，和/ 或如果使用DSMIPv6，則建立安全關聯并且經由針對ePDG的安全隧道向分組數據網絡網關發送PDN連接請求(如果必要，在針對ePDG的隧道建立之后)。注意，在DSMIP和不可信接入的情況中，僅需要一個針對ePDG的隧道，并且這應在向PDN網關發送第一個綁定請求之前建立。對于PMIP，針對每個PDN連接/接入點名稱創建單獨的隧道。
如圖9中所示，可以明確地執行用于區分上文概述的情況的各個操作，諸如用于區分關于特定的接入點名稱的不可信/可信、PMIP或DSMIPv6使用(即所使用的IP移動性管理協議)以及針對ePDG的安全隧道的不存在/存在(即建立該隧道的需要)。盡管在前文中主要參照方法、過程和功能描述了本發明的實施例，但是本發明的相應的實施例還覆蓋各個裝置、網絡節點，包括其軟件和/或硬件。下文參照圖10至12描述了本發明的各個示例性實施例，為了簡化起見，分別參照根據5至9的各自的相應的方法和操作的詳細描述。在下面的圖10至12中，各實線框基本上被配置為執行各基本操作。全體實線框基本上被配置為分別執行如上文所述的方法和操作。對于圖10至12，應當注意，各個框意在分別圖示實現各個功能、處理或過程的各個功能塊。這些功能塊與實現方案無關，即分別可以借助于任何類型的硬件或軟件實現。互連各個塊的線/箭頭意在圖示它們之間的操作耦合，其一方面與實現方案無關(例如有線或無線)，另一方面也可以包括任意數目的未示出的中間功能實體。此外，在圖10至12中，僅圖示了那些涉及上述方法、過程和功能中的任一個的功能塊。認為本領域的技術人員承認存在各個結構布置的操作所需的任何其他的傳統功能塊，諸如例如，電源、中央處理單元、各個存儲器等。圖10示出了根據本發明的示例性實施例的歸屬網絡實體的示意性框圖。如此示出的歸屬網絡實體的裝置可以例如被實現為如上文圖1至4中所示的3GPP AAA服務器或者在該3GPP AAA服務器中實現。根據圖10中所示的示例性實施例，如此示出的歸屬網絡實體的裝置包括接收器、 確定器和判定器。一般說來，接收器表示用于從用戶的訪問網絡的網絡元件(例如AAA代理或ePDG) 接收關于接入網絡相對所述訪問網絡的臨時可信性的指示的組件。確定器表示用于確定關于所述用戶的每個訂閱接入點名稱的本地疏導(LBO)或歸屬路由(HR)的適用性的組件。判定器表示用于基于從所述接收器接收到的臨時可信性指示和來自所述確定器的所確定的關于每個訂閱接入點名稱的路由適用性來判定所述接入網絡的最終可信性的組件。根據圖10的實施例的判定器基本上包括三個單元，即關于確定本地疏導適用于所述用戶的所有訂閱接入點名稱的一個單元，關于確定歸屬路由適用于所述用戶的所有訂閱接入點名稱的一個單元，以及關于確定本地疏導適用于所述用戶的一些訂閱接入點名稱并且歸屬路由適用于所述用戶的其他訂閱接入點名稱的一個單元。對于所提到的第一情況，判定器被配置為在技術判定因素方面接受所述接入網絡的臨時可信性(借助于接受器)，并且考慮管理判定因素(如果存在)，用于進行關于所述接入網絡的最終可信性的最終判定(借助于考慮器)。對于所提到的第二情況，判定器被配置為放棄所述接入網絡相對所述訪問網絡的臨時可信性(借助于放棄器)，并且考慮相對所述用戶的歸屬網絡的技術和管理(如果存在) 判定因素，用于進行關于所述接入網絡的最終可信性的最終判定(借助于考慮器)。對于所提到的第三情況，判定器被配置為以兩種可選方式之一操作。一方面，判定器可以被配置為進行關于產生本地疏導的適用性的所述用戶的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的所述用戶的那些訂閱接入點名稱的子判定(借助于(子)判定器)，并且組合針對這兩組接入點名稱進行的子判定，使得當對于這兩組接入點名稱判定接入網絡可信時，判定所述接入網絡最終可信(借助于組合器)。另一方面，判定器可以被配置為進行關于產生本地疏導的適用性的所述用戶的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的所述用戶的那些接入點名稱的單獨判定(借助于(子)判定器)。經由通知器向用戶通知最終可信性的判定。如果判定器被配置為進行關于產生本地疏導的適用性的APN和產生歸屬路由的APN的單獨判定，則通知器能夠例如借助于接入點名稱的列表向用戶通知關于接入網絡的最終可信性的這些單獨的判定。這可以例如通過使用AT_TRUST_IND屬性的相應地修改的語法或者通過使用特定地指定的屬性來完成。如此示出的歸屬網絡實體的裝置包括針對訪問網絡實體(例如根據底層的網絡配置，針對AAA代理或者針對ePDG)的接口。其可以進一步包括針對另一歸屬網絡實體(例如 HSS, HLR, PCRF (策略計費規則功能))的接口。圖11示出了根據本發明的示例性實施例的訪問網絡實體的示意性框圖。如此示出的訪問網絡實體的裝置可以例如被實現為如上文圖1至4中所示的3GPP AAA代理或如上文圖3和4中所示的ePDG，或者在該3GPP AAA代理或ePDG中實現。根據圖11中所示的示例性實施例，如此示出的訪問網絡實體的裝置包括評估器、 判定器和傳送器。一般說來，評估器表示用于通過考慮關于可信性的可用判定因素來評估接入網絡和用戶的訪問網絡之間的信任關系的組件。判定器表示用于基于評估的信任關系來判定所述接入網絡相對于所述訪問網絡的可信性的組件。傳送器表示用于向所述用戶的歸屬網絡的網絡元件傳送關于所述判定可信性的指示的組件。如此示出的訪問網絡實體的裝置包括針對歸屬網絡實體(例如AAA服務器)的接口。其進一步包括針對相關的接入網絡和/或所討論的用戶設備的接口。圖12示出了根據本發明的示例性實施例的用戶設備的示意性框圖。如此示出的用戶設備的裝置可以例如被實現為如上文圖1、2暗示的或者如上文圖3和4中所示的UE, 或者在該UE中實現。根據圖12中所示的示例性實施例，如此示出的用戶設備的裝置包括接收器和請求器。—般說來，接收器表示用于從漫游用戶的歸屬網絡的網絡元件(例如AAA服務器) 接收關于為所述用戶提供分組數據接入的、所討論的用戶的各個訂閱接入點名稱的可信性的單獨判定的信息的組件。請求器表示用于根據接收到的關于各個接入點名稱的接入網絡的可信性而使用各個接入點名稱請求分組數據網絡連接的組件。根據圖12的實施例的請求器基本上被配置為(借助于一個或多個各自的發送器)， 如果對于所討論的接入點名稱接入網絡被指示為可信并且代理移動互聯網協議被用作協議，則向非3GPP網關發送PDN連接請求，和/或如果對于所討論的接入點名稱接入網絡被指示為可信并且雙棧移動互聯網協議版本6被用作IP移動性管理協議，則建立安全關聯并且向分組數據網絡網關(直接地，即不牽涉ePDG)發送PDN連接請求。請求器還被配置為， 如果對于所討論的接入點名稱接入網絡被指示為不可信并且PMIP將被使用，則經由針對 ePDG的新的隧道建立和認證來請求分組數據網絡連接(借助于發送器(和可選的設置器))， 或者如果對于所討論的接入點名稱接入網絡被指示為不可信并且DSMIPv6將被使用，在針對ePDG的隧道仍不可用的情況下建立該隧道(借助于設置器)并且隨后建立安全關聯并且經由針對所述ePDG的所述隧道向分組數據網絡網關發送PDN連接請求(借助于各自的發送器)。為了區分網絡可信性的上述情況，請求器可以包括關于各個接入點名稱的接入網絡檢查器，其表示用于檢查關于所討論的各個接入點名稱的接入網絡的可信性的組件。為了區分所使用的協議的上述情況，請求器可以包括IP移動性管理協議檢查器，其表示用于檢查代理移動互聯網協議(PMIP)還是雙棧移動互聯網協議版本6 (DS-MIPV6)被用作協議的組件。應當注意，所提到的這些協議作為非限制性示例，可以同樣使用任何其他協議，只要適用于底層網絡配置。為了區分針對相關ePDG的隧道的不存在/存在的上述情況，請求器可以包括(盡管未示出)隧道檢查器，其表示用于檢查是否已存在針對演進分組網關的安全隧道的組件。如此示出的訪問網絡實體的裝置包括針對歸屬網絡實體(例如AAA服務器)的接口。其進一步包括針對上述非3GPP網關、PDN網關以及用于向適當的目的地發送PDN和/ 或隧道建立請求的ePDG中的至少一個的接口。上文概述的裝置中的任一個表示根據本發明的各個實施例的自主實體，而它們的互通整體或者它們的任何可設想的組合表示根據本發明的各個實施例的系統。通常，應當注意，如果僅適于執行所描述的各個部分的功能，則根據上述方面的各個功能塊或元件可以分別以硬件和/或軟件的形式通過任何已知手段實現。所提及的方法步驟可以在單獨的功能塊中實現或者由單獨的設備實現，或者一個或多個方法步驟可以在單個功能塊中實現或者由單個設備實現。通常，在不改變本發明的思想的情況下，任何方法步驟適于被實現為軟件或者由硬件實現。設備和組件可以被實現為單獨的設備，但是只要保持設備的功能，這并未排除它們以分布式的方式遍布系統實現。這些以及相似的原理將被視為對于本領域的技術人員是已知的。這里的描述的意義上的軟件包括這樣的軟件代碼，其包括用于執行各個功能的代碼組件，以及在其上存儲有各個數據結構或代碼部分的諸如計算機可讀存儲介質的有形介質上體現的，或者在信號或芯片中體現(潛在地在其處理期間)的軟件(或者計算機程序或計算機程序產品)。通常，出于如上文所述的本發明的目的，應當注意
-接入技術可以是用戶設備能夠借助于其接入(例如經由基站或者通常經由接入節點)接入網絡的任何技術。可以使用任何目前的或未來的技術，諸如WLAN (無線局域網)、 WiMAX (微波存取全球互通)、藍牙、紅外等；盡管以上技術大部分是例如不同的無線電頻譜中的無線接入技術，但是本發明的意義上的接入技術也可以暗指有線技術，例如基于IP的接入技術，如線纜網絡或者固定線路，而且可以暗指電路交換接入技術；接入技術可以被區分為至少兩個類別或接入域，諸如分組交換和電路交換，但是超過兩個接入域的存在并不妨礙向其應用本發明，
-接入網絡可以是站、實體或其他用戶設備可以連接和/或利用接入網絡提供的服務的任何設備、裝置、單元或組件；這些服務包括(除其他之外)數據和/或(音頻)視覺通信、 數據下載等；-用戶設備可以是系統用戶可以通過其體驗來自接入網絡的服務的任何設備、裝置、 單元或組件，諸如移動電話、個人數字助理PDA或計算機；
-很可能被實現為軟件代碼部分并且使用處理器在實體、網絡元件或終端之一(作為其設備、裝置和/或模塊的示例，或者作為包括用于其的裝置和/或模塊的實體的示例)處運行的方法步驟和功能，與軟件代碼無關并且可以使用任何已知的或未來開發的編程語言來說明，諸如例如，Java、C++、C和匯編程序，只要保持方法步驟所限定的功能；
-通常，在所實現的功能方面在不改變本發明的思想的情況下，任何方法步驟適于被實現為軟件或者由硬件實現；
-很可能被實現為終端或網絡元件處的硬件部件的方法步驟、功能和/或設備、裝置、 單元或組件，或者其任何模塊(多個)，與硬件無關，并且可以使用任何已知的或者未來開發的硬件技術或者這些技術的任何混合來實現，諸如MOS (金屬氧化物半導體)、CMOS (互補 M0S),BiMOS (雙極型M0S)、BiCM0S (雙極型CM0S)、ECL (發射極耦合邏輯)、TTL (晶體管-晶體管邏輯)等，也可以使用例如如下部件實現=ASIC (專用IC (集成電路))部件、FPGA (現場可編程門陣列)部件、CPLD (復雜可編程邏輯器件)部件或DSP (數字信號處理器)部件; 此外，很可能被實現為軟件組件的任何方法步驟和/或設備、單元或組件可以例如基于能夠例如進行認證、授權、鍵控和/或業務保護的任何安全架構；
-設備、裝置、單元或組件可以被實現為單獨的設備、裝置、單元或組件，但是這并未排除它們以分布式的方式遍布系統實現，只要保持這些設備、裝置、單元或組件的功能，
-裝置可以由半導體芯片、芯片組或者包括該芯片或芯片組的(硬件)模塊表示；然而， 這并未排除裝置或模塊的功能不是硬件實現的，而是被實現為(軟件)模塊中的軟件的可能，諸如包括用于在處理器上執行/運行的可執行軟件代碼部分的計算機程序或計算機程序廣品；
-設備可以被視為裝置或者不止一個裝置的組裝件，與在功能上彼此協同操作還是在功能上彼此獨立而是例如僅位于同一設備殼體內無關。本發明還涵蓋以上描述的方法步驟和操作的任何可設想的組合，以及以上描述的節點、裝置、模塊或元件的任何可設想的組合，只要以上描述的方法和結構布置的概念是適用的。提供了例如與3GPP兼容分組數據系統中的非3GPP接入網絡的可信性相關的用于針對接入認證進行可信性判定的措施，其示例性地包括從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指示；確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性；以及基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性， 判定所述接入網絡的最終可信性。盡管上文根據附圖參照示例描述了本發明，但是將理解，本發明不限于此。相反地，對于本領域的技術人員明顯的是，在不偏離如這里公開的發明思想的范圍的情況下，本發明可以以許多方式進行修改。
權利要求
1.一種方法，包括從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指示；確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性；以及基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性，判定所述接入網絡的最終可信性。
2.根據權利要求1所述的方法，其中所述接收臨時可信性指示包括接收認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性。
3.根據權利要求2所述的方法，其中認證請求包括直徑可擴展認證協議請求。
4.根據權利要求1至3中任一項所述的方法，其中所述確定產生關于所述用戶的所有訂閱接入點名稱的本地疏導的適用性，所述判定進一步包括在技術判定因素方面接受所述接入網絡的臨時可信性，以及如果存在，考慮管理判定因素，用于進行關于所述接入網絡的最終可信性的最終判定。
5.根據權利要求1至3中任一項所述的方法，其中所述確定產生關于所述用戶的所有訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括放棄所述接入網絡相對所述訪問網絡的臨時可信性，以及考慮相對所述用戶的歸屬網絡的技術判定因素以及如果存在，管理判定因素，用于進行關于所述接入網絡的最終可信性的最終判定。
6.根據權利要求4或5所述的方法，其中所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述用戶的所述訪問網絡和所述接入網絡之間的鏈路的安全級別中的一個或多個；以及管理判定因素，其包括所述接入網絡和所述歸屬網絡之間的漫游協定的存在、所述訪問網絡和所述歸屬網絡之間的信任級別、先前的服務質量體驗中的一個或多個。
7.根據權利要求1至3中任一項所述的方法，其中所述確定產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的子判定，以及組合針對這兩組接入點名稱進行的子判定，使得當已判定所述接入網絡對于這兩組接入點名稱可信時，判定所述接入網絡最終可信。
8.根據權利要求1至3中任一項所述的方法，其中所述確定產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性，所述判定進一步包括進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的單獨判定，以及向用戶通知接入網絡相對于所述用戶的各個訂閱接入點名稱的最終可信性的單獨判定。
9.根據權利要求1至8中任一項所述的方法，其中所述訪問網絡的所述網絡元件包括認證、授權和計費代理實體，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動IP版本6來提供IP移動性管理。
10.根據權利要求1至8中任一項所述的方法，其中所述訪問網絡的所述網絡元件包括演進分組數據網關，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6來提供IP移動性管理。
11.根據權利要求1至10中任一項所述的方法，其中所述方法能夠在最初附連到或切換到所述接入網絡時操作。
12.根據權利要求1至11中任一項所述的方法，其中所述用戶的歸屬網絡和所述訪問網絡屬于根據3GPP規范的演進分組系統，并且所述接入網絡是非3GPP接入網絡。
13.根據權利要求1至12中任一項所述的方法，其中所述方法能夠在所述用戶的所述歸屬網絡中的認證、授權和計費服務器處操作。
14.一種方法，包括從漫游用戶的歸屬網絡的網絡元件接收關于所述用戶的各個訂閱接入點名稱的、關于為所述用戶提供分組數據接入的接入網絡的可信性的單獨判定的信息；以及根據接收到的關于各個訂閱接入點名稱的接入網絡的可信性，使用各個接入點名稱請求分組數據網絡連接。
15.根據權利要求14所述的方法，所述請求進一步包括對于接收到關于其的接入網絡可以被視為可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向非3GPP網關發送分組數據網絡連接請求，或者如果使用雙棧移動互聯網協議版本6，則建立安全關聯并且向分組數據網絡網關發送分組數據網絡連接請求，和/ 或對于接收到關于其的接入網絡將被視為不可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向演進分組網關發送嵌入在安全隧道建立中的分組數據網絡連接請求， 和/或如果使用雙棧移動IP版本6，則建立針對演進分組數據網關的隧道并且建立安全關聯并且經由針對所述演進分組數據網關的所述隧道向分組數據網絡網關發送分組數據網絡連接請求。
16.根據權利要求14或15所述的方法，其中所述歸屬網絡的所述網絡元件包括認證、 授權和計費服務器。
17.根據權利要求14至16中任一項所述的方法，其中所述方法能夠在所述用戶的用戶設備處操作。
18.一種方法，包括通過考慮關于可信性的可用判定因素，評估為漫游用戶提供分組數據接入的接入網絡和所述用戶的訪問網絡之間的信任關系；基于評估的信任關系來判定所述接入網絡相對于所述訪問網絡的可信性；以及向所述用戶的歸屬網絡的網絡元件傳送關于所述判定可信性的指示。
19.根據權利要求18所述的方法，其中所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述接入網絡和所述用戶的所述訪問網絡之間的鏈路的安全級別中的一個或多個。
20.根據權利要求18或19所述的方法，其中所述傳送可信性指示包括發送認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性。
21.根據權利要求20所述的方法，其中認證請求包括直徑可擴展認證協議請求。
22.根據權利要求18至21中任一項所述的方法，其中所述方法能夠在認證、授權和計費代理實體處操作，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議提供IP移動性管理。
23.根據權利要求18至21中任一項所述的方法，其中所述方法能夠在演進分組數據網關處操作，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6提供IP移動性管理。
24.—種裝置，包括接收器，被配置為從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指示；確定器，被配置為確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性；以及判定器，被配置為基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性，判定所述接入網絡的最終可信性。
25.根據權利要求M所述的裝置，其中所述接收器被配置為接收認證請求中的屬性， 其被配置為指示所述接入網絡的臨時可信性。
26.根據權利要求25所述的裝置，其中認證請求包括直徑可擴展認證協議請求。
27.根據權利要求M至沈中任一項所述的裝置，其中當所述確定器產生關于所述用戶的所有訂閱接入點名稱的本地疏導的適用性時，所述判定器被進一步配置為在技術判定因素方面接受所述接入網絡的臨時可信性，以及如果存在，考慮管理判定因素，用于進行關于所述接入網絡的最終可信性的最終判定。
28.根據權利要求M至沈中任一項所述的裝置，其中當所述確定器產生關于所述用戶的所有訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為放棄所述接入網絡相對所述訪問網絡的臨時可信性，以及考慮相對所述用戶的歸屬網絡的技術判定因素以及如果存在，管理判定因素，用于進行關于所述接入網絡的最終可信性的最終判定。
29.根據權利要求M至沈中任一項所述的裝置，其中當所述確定器產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的子判定，以及組合針對這兩組接入點名稱進行的子判定，使得當已判定所述接入網絡對于這兩組接入點名稱可信時，判定所述接入網絡最終可信。
30.根據權利要求M至沈中任一項所述的裝置，其中當所述確定器產生關于所述用戶的一些訂閱接入點名稱的本地疏導的適用性以及關于所述用戶的其他訂閱接入點名稱的歸屬路由的適用性時，所述判定器被進一步配置為進行關于產生本地疏導的適用性的那些訂閱接入點名稱以及關于產生歸屬路由的適用性的那些訂閱接入點名稱的單獨判定，以及向用戶通知所述接入網絡相對于所述用戶的各個訂閱接入點名稱的最終可信性的單獨判定。
31.根據權利要求M至30中任一項所述的裝置，其中所述訪問網絡的所述網絡元件包括認證、授權和計費代理實體，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動IP版本6來提供IP移動性管理。
32.根據權利要求M至30中任一項所述的裝置，其中所述訪問網絡的所述網絡元件包括演進分組數據網關，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6來提供IP移動性管理。
33.根據權利要求M至32中任一項所述的裝置，其中所述裝置能夠在最初附連到或切換到所述接入網絡時操作。
34.根據權利要求M至33中任一項所述的裝置，其中所述用戶的歸屬網絡和所述訪問網絡屬于根據3GPP規范的演進分組系統，并且所述接入網絡是非3GPP接入網絡。
35.根據權利要求M至34中任一項所述的裝置，其中所述裝置能夠作為所述用戶的所述歸屬網絡中的認證、授權和計費服務器操作。
36.一種裝置，包括接收器，被配置為從漫游用戶的歸屬網絡的網絡元件接收關于所述用戶的各個訂閱接入點名稱的、關于為所述用戶提供分組數據接入的接入網絡的可信性的單獨判定的信息； 以及請求器，被配置為根據接收到的關于各個訂閱接入點名稱的接入網絡的可信性，使用各個接入點名稱請求分組數據網絡連接。
37.根據權利要求36所述的裝置，所述請求器被進一步配置為對于接收到關于其的接入網絡可以被視為可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向非3GPP網關發送分組數據網絡連接請求，或者如果使用雙棧移動互聯網協議版本6，則建立安全關聯并且向分組數據網絡網關發送分組數據網絡連接請求，和/ 或對于接收到關于其的接入網絡須被視為不可信的指示的接入點名稱，如果使用代理移動互聯網協議，則向演進分組網關發送嵌入在安全隧道建立中的分組數據網絡連接請求， 和/或如果使用雙棧移動IP版本6，則建立針對演進分組數據網關的隧道并且建立安全關聯并且經由針對所述演進分組數據網關的所述隧道向分組數據網絡網關發送分組數據網絡連接請求。
38.根據權利要求36或37所述的裝置，其中所述歸屬網絡的所述網絡元件包括認證、 授權和計費服務器。
39.根據權利要求36至38中任一項所述的裝置，其中所述裝置能夠在所述用戶的用戶設備處操作。
40.一種裝置，包括評估器，被配置為通過考慮關于可信性的可用判定因素，評估為漫游用戶提供分組數據接入的接入網絡和所述用戶的訪問網絡之間的信任關系；判定器，被配置為基于評估的信任關系來判定所述接入網絡相對于所述訪問網絡的可信性；以及傳送器，被配置為向所述用戶的歸屬網絡的網絡元件傳送關于所述判定可信性的指7J\ ο
41.根據權利要求40所述的裝置，其中所述判定因素包括技術判定因素，其包括所述接入網絡的無線電接入技術以及所述接入網絡和所述用戶的所述訪問網絡之間的鏈路的安全級別中的一個或多個。
42.根據權利要求40或41所述的裝置，其中所述傳送器被進一步配置為發送認證請求中的屬性，其被配置為指示所述接入網絡的臨時可信性。
43.根據權利要求42所述的裝置，其中認證請求包括直徑可擴展認證協議請求。
44.根據權利要求40至43中任一項所述的裝置，其中所述裝置能夠作為認證、授權和計費代理實體操作，和/或經由所述接入網絡和分組數據網絡網關之間的接口提供分組數據接入，和/或使用代理移動互聯網協議或雙棧移動互聯網協議版本6提供IP移動性管理。
45.根據權利要求40至43中任一項所述的裝置，其中所述裝置能夠作為演進分組數據網關操作，和/或經由所述用戶和分組數據網絡網關之間的接口提供分組數據接入，和/或使用雙棧移動互聯網協議版本6提供IP移動性管理。
46.一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據權利要求1至13中任一項所述的方法。
47.一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據權利要求14至17中任一項所述的方法。
48.一種包括程序代碼組件的計算機程序產品，所述程序代碼組件被布置為當在裝置的處理器上運行時執行根據權利要求18至23中任一項所述的方法。
全文摘要
提供了例如與3GPP兼容分組數據系統中的非3GPP接入網絡的可信性相關的用于針對接入認證進行可信性判定的措施，其示例性地包括從訪問網絡的網絡元件接收關于為漫游用戶提供分組數據接入的接入網絡相對所述用戶的所述訪問網絡的臨時可信性的指示；確定關于所述用戶的每個訂閱接入點名稱的本地疏導或歸屬路由的適用性；以及基于接收到的臨時可信性指示和所確定的關于所述用戶的每個訂閱接入點名稱的路由適用性，判定所述接入網絡的最終可信性。
文檔編號H04L29/06GK102273170SQ200980153737
公開日2011年12月7日 申請日期2009年1月5日 優先權日2009年1月5日
發明者霍恩 G., 羅波爾伊 R. 申請人:諾基亞西門子通信公司