本发明涉及通信技术领域，尤其涉及一种 UE通过无线局域网接入互联 网方式的控制方法及装置。 背景技术

通常， 用户设备需要通过无线局域网接入网络（ Wireless Local Area Network Access Network, WLAN AN )接入到以下无线核心网： 演进的分 组核心网、 交互的无线局域网络、 微波存取全球互通网络、 码分多址接入 网络等。

图 1 是根据相关技术的非 3GPP 网络接入交互的无线局域网络 ( Interworking Wireless Local Area Network, I-WLAN )的网络架构示意图， 其中， I-WLAN是指一个与第三代合作伙伴计划（ 3rd Generation Partnership Project, 3GPP ) 网络交互的 WLAN网络。 交互目的是使 WLAN接入技术 能够与通用分组无线业务（ General Packet Radio Service, GPRS )核心网基 础设施合作，以便 WLAN的用户设备能够通过 WLAN接入网络接入 GPRS 分组服务。如图 1所示，包括： I-WLAN核心网、用户设备（User Equipment, UE )、 WLAN AN、 以及运营商提供的 IP业务。 其中， I -WLAN核心网进 一步包括分组数据网关（ Packet Data Gateway, PDG )、 3GPP认证授权计费 服务器（3GPP AAA Server ), 归属用户服务器（Home Subscriber Server, HSS ), 其中， HSS用于存储用户数据以及在用户接入认证过程 中生成认证 用的向量。

图 2 是根据相关技术的非 3GPP 网络接入演进分组核心网 （Evolved Packet Core network, EPC ) 的网络架构示意图， 如图 2所示， EPC包括： 演进分组数据网关 （ Evolved Packet Data Gateway, ePDG )、 分组数据网络 网关（ Packet Data Network GateWay, P-GW )、 3GPP AAA Server, HSS, 其 中， HSS用于存储用户数据以及在用户接入认证过程 中生成认证用的向量。

图 2中， EPC可以与非 3GPP网络互通， P-GW是 EPC与分组数据网 ( Packet Data Network , PDN ) 的边界网关， 负责 PDN的接入， 并负责在 EPC与 PDN间转发数据等功能。 当运营商认为 WLAN网络为可信任时， WLAN AN可以直接与 P-GW相连； 当运营商认为 WLAN AN不可信任时， WLAN AN需要与 ePDG相连。 因此， 上述方法可以确保 UE与 ePDG之间 数据传输的安全性及保密性。 此外 UE还可以通过其他接入网络接入 EPC, 包括 3GPP自身定义的无线接入网络。

图 3是根据相关技术的用户设备接入无线局域接� �网时执行接入认证 的交互流程图， 如图 3所示， 包括如下的步骤 S302至步骤 S303:

步骤 S301 , 用户设备建立 WLAN无线连接。

步骤 S302 , WLAN AN 向 UE 发送扩展认证协议 ( Extensible Authentication Protocol , ΕΑΡ )请求 /身份消息， 请求 UE提供身份给网络， UE在接收到 ΕΑΡ请求 /身份消息之后， 将相应的网络访问标识（Network Access Identification, NAI )通过 EAP回复消息发送给 WLAN AN。

步骤 S303 ,用户设备和认证授权计费（ Authentication、 Authorization and Accounting, AAA )服务器之间进行算法密钥协商等接入认证流� �。

如图 1 或图 2 所示的系统， UE 可通过两条路径访问互联网 ( Intranet/Internet ) , 一条路径是直接通过 WLAN AN访问互联网， 另一条 路径是通过 3GPP核心网访问互联网，现有技术中，用户设� �默认通过核心 网访问互联网。 由于运营商无法指示用户设备通过无线局域网 访问互联网 时是否通过运营商 3GPP核心网， 所以当第三方应用和互联网访问需求增 加， 导致运营商核心网络压力增大甚至核心网流量 拥塞时， 无法疏导用户 设备访问 Internet的流量， 不能满足用户使用足够的带宽访问互联网络的 需 求。 发明内容

有鉴于此， 本发明的主要目的在于提供一种用户终端接入 互联网方式 的控制方法及装置， 用于解决运营商无法控制用户设备通过无线局 域网访 问互联网时是否通过运营商 3GPP核心网的技术问题。

为了实现上述目的， 根据本发明的一个方面， 提供了一种用户终端接 入互联网方式的控制方法， 该方法包括：

认证授权计费服务器向用户设备 ( UE ) 下发用户设备接入互联网方式 的指示信息， 所述用户设备根据所述指示信息决定访问互联 网业务的接入 方式。

优选地， 所述认证授权计费服务器向用户设备下发用户 设备接入互联 网方式的指示信息， 具体为：

在用户设备通过无线局域网接入网络（ WLAN AN )初始连接到演进分 组核心网（EPC )的认证流程中， 所述认证授权计费服务器将包含用户设备 接入互联网方式的指示信息经由 WLAN AN下发给 UE。

进一步地，所述认证授权计费服务器将 UE接入互联网方式的指示信息 封装到包含 EAP-Success 消息的 Diameter报文中发送给 WLAN AN, 由 WLAN AN将所述 EAP-Success消息转发给 UE;所述指示信息位于 Diameter 报文 Vendor-Specific-Application-Id AVP字段中。

优选地， 所述认证授权计费服务器向用户设备下发用户 设备接入互联 网方式的指示信息， 具体为：

用户设备通过 WLAN AN初始连接到 EPC时， 在用户设备和分组数据 网关（ PDG )创建因特网密钥交换协议（ IKEv2 )隧道的流程中， 所述认证 授权计费服务器将 UE接入互联网方式的指示信息经由 PDG下发给 UE。 进一步地，所述认证授权计费服务器将 UE接入互联网方式的指示信息 包含在授权响应消息中下发给 PDG; PDG通过 IKEv2隧道发送携带 UE接 入互联网方式的指示信息的因特网密钥交换认 证响应消息给所述 UE。

优选地， 所述认证授权计费服务器向用户设备下发用户 设备接入互联 网方式的指示信息， 具体为：

在用户设备已经通过 WLAN AN连接到 EPC网络后 ,在重认证流程中 , 所述认证授权计费服务器将 UE接入互联网方式的指示信息包含在重认证 请求消息中下发给 UE。

进一步地， 所述认证授权计费服务器向用户设备下发用户 设备接入互 联网方式的指示信息， 具体为：

用户设备和演进分组数据网关（ ePDG )完成 IPSec隧道建立后， 在 UE 和分组数据网络网关（P-GW )建立安全联盟及所述认证授权计费服务器和 P-GW进行认证授权的过程中，所述认证授权计� �服务器将 UE接入互联网 方式的指示信息经由 P-GW下发给 UE。

基于本发明所述方法， 本发明还提出一种用户终端接入互联网方式的 控制装置， 该装置包括：

发送模块， 位于认证授权计费服务器， 用于向用户设备下发用户设备 接入互联网方式的指示信息；

接收模块， 位于 UE, 用于接收所述发送模块下发的用户设备接入互 联 网方式的指示信息；

接入模块， 位于 UE, 用于根据所述指示信息决定访问互联网业务的 接 入方式。

优选地， 在用户设备已经通过 WLAN AN连接到 EPC网络后的重认证 流程中，所述发送模块将 UE接入互联网方式的指示信息包含在重认证请� �� 消息中下发给所述接收模块。 优选地， 所述装置还包括转发模块，位于 WLAN AN, 用于在用户设备 初始连接到 EPC的认证流程中， 转发由所述发送模块下发给所述接收模块 的 UE接入互联网方式的指示信息。

优选地， 所述装置还包括转发模块：

所述转发模块位于 PDG, 用于在用户设备初始连接到 EPC的用户设备 和 PDG创建 IKEv2隧道的流程中，转发由所述发送模块下发� ��所述接收模 块的 UE接入互联网方式的指示信息。 或，

所述转发模块位于 P-GW,用于在 UE和 P-GW建立安全联盟及认证授 权计费服务器和 P-GW进行认证授权的过程中， 转发由所述发送模块下发 给所述接收模块的 UE接入互联网方式的指示信息。

本发明釆用认证授权计费服务器向用户设备发 送一种指示信息， 用来 指示用户设备接入互联网方式， 用户设备可以依据所述指示信息在通过无 线局域网接入时选择直接访问互联网或者通过 连接到核心网访问互联网。 通过本发明，核心网能够通过指示信息控制 UE接入互联网的接入方式，从 而使用户终端在通过无线局域网接入时能够直 接接入互联网而不经过核心 网， 使得用户设备在一些情形下 （比如核心网流量负载过大时）获得足够 的访问带宽， 从而提高用户体验。 附图说明

图 1为相关技术的非 3GPP网络接入 I-WLAN的网络架构示意图； 图 2为相关技术的非 3GPP网络接入 EPC的网络架构示意图； 图 3 为相关技术的用户设备接入无线局域接入网时 执行接入认证的交 互流程图；

图 4为本发明实施例 1的 UE通过无线局域网接入互联网方式的控制方 法的流程图；

图 5为本发明实施例 2的 UE通过无线局域网接入互联网方式的控制方 法的流程图；

图 6为本发明实施例 3的 UE通过无线局域网接入互联网方式的控制方 法的流程图；

图 7为本发明实施例 4的 UE通过无线局域网接入互联网方式的控制方 法的流程图；

图 8为本发明用户终端接入互联网方式的控制装� �的结构示意图。 具体实施方式

为使本发明的目的、 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

实施例 1

图 4为本发明实施例 1的 UE通过无线局域网接入互联网方式的控制方 法的流程图， 该流程中， 用户设备通过 WLAN AN初始连接到 EPC网络， 在认证流程中， 认证授权计费服务器根据策略将直接连入互联 网的指示信 息经由 WLAN AN发送给 UE , 以达到控制 UE通过无线局域网接入互联网 的方式的发明目的。本实施例中，认证授权计 费服务器发送给 UE的指示信 息， 要求 UE在访问互联网业务时， 不经过核心网络直接通过 WLAN AN 访问互联网， UE收到该指示信息后， 釆用对应的选路策略访问 Internet业 务。 该流程具体步骤为：

步骤 401： 用户设备建立 WLAN无线连接；

步骤 402: WLAN AN建立与 UE的无线连接， WLAN AN向 UE发送 EAP请求（ EAP Request/Identity )消息， 请求 UE提供身份信息给网络， 用 于接入认证；

步骤 403: UE收到 EAP请求消息后， 通过 EAP回复消息将 UE身份 信息发送给 WLAN AN;

步骤 404: WLAN AN向 AAA服务器发送携带 UE身份信息的 AAA请 求消息 （Diameter消息 ), 所述 AAA请求消息中还携带有接入类型和接入 网标识；

步骤 405: AAA服务器和 HSS交互 EAP-AKA，算法认证信息， 进行用 户算法认证；

步骤 406: AAA服务器提取密钥信息；

步骤 407： AAA服务器向 WLAN AN发送 AAA/AKA'挑战消息 , 进行 算法协商 , AAA/AKA，挑战消息中携带包含消息认证码的 EAP请求及 ΑΚΑ' 挑战信息；

步骤 408: WLAN AN 向用户设备发送包含消息认证码的 EAP请求 /AKA'挑战消息；

步骤 409: 用户设备收到 EAP请求 /AKA，挑战消息后运行 AKA算法生 成密钥相关信息；

步骤 410:用户设备将 AKA计算结果封装到 EAP中向 WLAN发送 EAP 响应 /AKA' 4 战消息；

步骤 411 : WLAN AN将收到的包含算法协商信息的 EAP响应消息封 装到 Diameter报文中转发给 AAA服务器；

步骤 412: AAA服务器检查收到的消息认证码信息， 对其进行算法信 息验证等处理；

步骤 413: AAA服务器根据策略确定 UE的互联网连接方式为不经过 EPC 核心网直接接入互联网的接入方式， 并将包含该接入方式的指示信息 封装到包含扩展认证协议成功 EAP-Success消息的 Diameter报文中发送给 WLAN AN。

如果需要 WLAN AN知道核心网关于 UE接入互联网接入方式的这个 决策（例如出于某种安全策略的考虑）， 可以利用 Diameter报文预留的扩展 字段（ Vendor-Specific-Application-Id AVP,设备指定应用标识属性值对字段， 以下简称 AVP字段）携带所述指示信息；

步骤 414: WLAN AN将 EAP Success消息转发给 UE。 如果所述指示 信息包含在 Vendor-Specific-Application-Id AVP字段中， 则 WLAN AN可以 对该 Diameter报文进行解析，提取互联网连接方式的� ��示后再将 EAP消息 转发给 UE。

实施例 2

图 5为本发明实施例 2的 UE通过无线局域网接入互联网方式的控制方 法的流程图 , 该流程中， 用户设备已经通过 WLAN AN连接到 EPC网络 , 在需要发起重认证的情况下， 如核心网流量压力过大或运营商策略变化等， AAA服务器在重认证流程中将 UE接入互联网方式的指示信息下发给 UE, 图 5以快速重认证流程为例 （Fast Re-Authentication Procedure ), 在 AAA Server发送的重认证请求 （ Re-Auth-Request ) 消息中携带所述指示信息： 步骤 501 : 认证授权计费服务器向用户设备发送重认证请 求 ( Re-Auth-Request ) 消息， 其中， 在该消息中通过 AVP字段携带核心网为 UE确定的互联网接入方式的指示信息；

步骤 502 : 用户设备向认证授权计费服务器发送重认证响 应 ( Re-Auth-Response ) 消息， 消息中包含快速重认证身份标识；

步骤 503: 认证授权计费服务器收到快速重认证身份标识 后进行识别， 认可进行快速重认证流程；

步骤 504: 用户设备和授权计费服务器进行快速重认证流 程。

实施例 3

图 6为本发明实施例 3的 UE通过无线局域网接入互联网方式的控制方 法的流程图， 该流程中， 用户设备通过 WLAN AN初始连接到 EPC网络， 用户设备和分组数据网关（PDG )在创建因特网密钥交换协议（IKEv2 )隧 道过程中， AAA服务器在授权消息中将 UE的互联网接入方式指示信息经 由 PDG下发给 UE的实施例流程图。 具体步骤为：

步骤 601 : UE和 PDG交换第一对消息 IKE— SA— INIT协商加密算法， 进行随机数的交换等。

步骤 602: UE通过 PDG和 AAA服务器进行的身份认证信息的交互。 步骤 603 : UE 向 PDG发送包含 EAP 消息的因特网密钥交换认证 ( IKE AUTH )请求消息到 PDG, 响应身份认证交互过程中收到的认证挑 战。

步骤 604: PDG将 EAP-Response响应消息 （带 AKA挑战信息）发送 给 AAA服务器。

步骤 605: AAA服务器在验证成功后向 PDG发送包含 EAP-Success和 密钥信息的认证回答。

步骤 606: PDG向 AAA服务器发送包含空 AVP和 WLAN接入点名称 ( W-APN )信息的授权请求。

步骤 607: AAA服务器验证用户信息是否允许建立隧道。 AAA服务器 根据网络策略 (这里 AAA服务器可能根据自己的策略控制或者网络网 关系 统通知改变 UE接入互联网的方式）决策 UE接入互联网的方式， 并将包含 UE接入互联网方式的指示信息在下一步授权响� ��消息中下发。

步骤 608: AAA服务器向 PDG发送授权响应 （ AA- Answer )消息 , 其 中包含 UE接入互联网方式的指示信息。

步骤 609: PDG根据密钥信息计算生成认证参数 ( AUTH payload )信 息。

步骤 610 : PDG 通过 IKEv2 向 UE 发送因特网密钥交换认证 ( IKE AUTH )响应消息， IKE— AUTH响应消息包含携带 UE接入互联网 方式的指示信息的 EAP Success/Failure消息。

上述流程成功， UE完成和 PDG之间的 IP安全（ IPSec ) 隧道的建立。 实施例 4

图 7为本发明实施例 4的 UE通过无线局域网接入互联网方式的控制方 法的流程图，该流程中，用户设备和演进分组 数据网关（ePDG )完成 IKEv2 消息协商、 IPSec隧道建立后， UE和 P-GW建立安全联盟， AAA服务器和 P-GW进行认证授权， 在此过程中 AAA服务器将 UE接入互联网方式的指 示信息经由 P-GW传递给 UE的。 这里 UE通过 DSMIPv6 (双栈移动 IPv6 协议）接入网络。 具体步骤如下：

步骤 701 : UE发起建立 IKEv2隧道流程进行安全隧道认证授权。 这里 类似实施例 3的 IPSec Tunnel隧道建立流程， 这里不再赘述；

步骤 702: 演进分组数据网关将携带分配给 UE用于 IPSec隧道的 IP 地址的 IKEv2配置消息返回给 UE;

步骤 703: 在 UE和演进分组数据网关成功建立 IPSec隧道后， UE和 P-GW之间通过 IKEv2 协议流程建立安全联盟以保障信令消息的安全 ， P-GW和 AAA服务器通过 EAP方法进行认证和授权， 在此过程中 AAA服 务器将 UE接入互联网方式的指示信息经由 P-GW下发给 UE, 例如通过授 权响应消息， 这里流程与实施例 3流程类似， 这里不再赘述。

步骤 704: UE向 P-GW发送绑定更新消息， 传递移动管理协议信令消 息；

步骤 705: P-GW向 UE发送绑定更新确认消息， 完成 DSMIPv6地址 绑定。 UE和 P-GW之间的 DSMIPv6隧道建成， 至此， UE完成与网络之间 的 IP连接。

实施例 5

图 8为本发明用户终端接入互联网方式的控制装� �的结构示意图， 该 装置至少包括： 发送模块、 接收模块和接入模块。

发送模块， 位于认证授权计费服务器， 用于向用户设备下发用户设备 接入互联网方式的指示信息； 接收模块， 位于 UE, 用于接收所述发送模块 下发的用户设备接入互联网方式的指示信息； 接入模块， 用于根据所述指 示信息决定访问互联网业务的接入方式。

优选地， 在用户设备已经通过 WLAN AN连接到 EPC网络后的重认证 流程中，所述发送模块将 UE接入互联网方式的指示信息包含在重认证请� �� 消息中下发给所述接收模块。

优选地， 所述装置还包括转发模块， 所述转发模块依据不同的实现方 式， 位于不同的网元中。

与图 4相对应， 转发模块可位于 WLAN AN中， 用于在用户设备初始 连接到 EPC的认证流程中，转发由所述发送模块下发给 所述接收模块的 UE 接入互联网方式的指示信息。

与图 6相对应， 转发模块可位于 PDG中， 用于在用户设备初始连接到 EPC的用户设备和 PDG创建 IKEv2隧道的流程中，转发由所述发送模块下 发给所述接收模块的 UE接入互联网方式的指示信息。

与图 7相对应， 转发模块可位于 P-GW, 用于在 UE和 P-GW建立安全 联盟及认证授权计费服务器和 P-GW进行认证授权的过程中， 转发由所述 发送模块下发给所述接收模块的 UE接入互联网方式的指示信息。

本发明针对相关技术中运营商无法控制用户设 备通过无线局域网访问 互联网时是否通过运营商 3GPP核心网的问题，提供了一种接入方法，釆� � 认证授权计费服务器向用户设备发送核心网为 用户设备确定的接入互联网 的接入方式的指示信息，以达到由核心网根据 一定的控制策略控制 UE接入 互联网的接入方式的发明目的， 以使得用户可以直接接入互联网， 从而获 得足够的访问带宽， 并提高用户体验。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。