[发明专利]接入网关、终端及建立数据连接的方法和系统

说明书

技术领域

本发明涉及通信系统的网络信息技术，尤其涉及一种在第三代移动通信网络系统演进架构(SAE，3GPP System Architecture Evolution)中的接入网关、终端，以及建立数据连接的方法及系统。 

背景技术

Internet安全协议族(IPSec，Internet Protocol Security)是网络工程任务组(IETF，Internet Engineering Task Force)制定的一系列协议，它为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信各方在IP层通过加密与数据源认证等方式，来保证数据包在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过认证头(AH，Authentication Header)和封装安全载荷(ESP，Encapsulating Security Payload)这两个安全协议来实现上述目标。 

网络密钥交换协议(IKE，Internet Key Exchange)是建立在由Internet安全联盟和密钥管理协议(ISAKMP，Internet Security Association and KeyManagement Protocol)定义的框架上，它能够为IPSec提供自动协商交换密钥、建立安全联盟的服务，以简化IPSec的使用和管理。IKE协议具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立基于IPSec协议族的安全联盟。 

在第三代移动通信系统架构演进(SAE，3GPP System Architecture Evolution)网络中应用IPsec的场景描述如下： 

如图1所示，是3GPP演进网络(SAE)的非漫游架构。图中的ePDG实体是互通无线局域网(I-WLAN，Interworking Wireless Local Area Network)中报文数据网关(PDG，Packet Data Gate)的升级实体。非可信的接入网络通过ePDG实体接入到演进网络的核心网，使用其数据服务。在终端和ePDG实体间需要建立安全隧道(IPsec)。报文数据网关是SAE核心网中的报文数据网关(PDN SAEGateway)，非可信的接入网络接入到ePDG后，需要再通过PDN SAE Gateway访问外部网络服务，S2a/S2b/S2c接口都采用移动IP(MIP)协议栈。 

但是在3GPP演进网络(SAE)的非漫游架构中，ePDG仅仅是终端的安全网关，不再同时是报文数据网关。因此，ePDG给终端分配的IP地址，也就是普通的用于IPsec安全隧道转发的IP地址，业务地址应由PDN SAE Gateway分配。 

当ePDG作为终端的代理移动IP注册代理(PMA，Porxy Moblie Agent)时，在ePDG和PDN SAE Gateway之间会建立移动IP隧道。这时，发送到终端的数据包会通过移动IP隧道转交到ePDG，在这种情况下，ePDG可以不再需要为终端分配用于安全隧道的IP地址。因为这个地址本身就是为了保证下行数据报能被转发到安全网关上，而这一点现在已由移动IP隧道保证了。 

图2是非可信接入网通过ePDG实体接入到演进网络的核心网的第一种数据连接建立模式的流程示意图，ePDG通过IKE消息携带给终端的是业务IP地址，是属于SAE核心网报文数据网关的，移动IP隧道的建立对终端不可见。ePDG代理建立好移动IP隧道后，获取终端的业务IP地址，并在IKE响应消息中携带告诉终端。 

图3是非可信接入网通过ePDG实体接入到演进网络的核心网的第二种数据连接建立模式的流程示意图，ePDG为终端分配属于ePDG本地的IP地址，并携带在IKE响应消息中给终端。在SAE网络中，此地址不是最终的业务IP地址，终端还需要把它作为本地转交地址(CoA，Care of Address)，建立到SAE核心网报文数据网关(PDN SAE Gateway)的移动IP隧道，由建立移动IP隧道过程，获取的IP地址，即移动IP的家乡地址(HoA，Home Address)作为其业务IP地址。 

通过图2以及图3可以看到，终端收到IKE配置响应消息中的IP地址含义与用途是不同的，终端随后触发的信令流程也是不同的。