CN108029017B - 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 - Google Patents
通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 Download PDFInfo
- Publication number
- CN108029017B CN108029017B CN201580083153.XA CN201580083153A CN108029017B CN 108029017 B CN108029017 B CN 108029017B CN 201580083153 A CN201580083153 A CN 201580083153A CN 108029017 B CN108029017 B CN 108029017B
- Authority
- CN
- China
- Prior art keywords
- gateway
- https
- wlan
- ipsec
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1059—End-user terminal functionalities specially adapted for real-time communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例涉及用于通过如下方式通过可信或受管理的WLAN建立到EPC的用于WiFi呼叫服务的安全连接的方法和装置:通过HTTP服务器与EPC中的网关(ePDG)在WLAN上建立IPSec隧道,并登录可能与ePDG位于同一位置的HTTP服务器。本公开可以使互联网业务能够通过WLAN或通过HTTP服务器本身进行路由,同时通过HTTP服务器和ePDG对WiFi呼叫服务相关的业务进行路由。用于建立IPSec隧道的UE认证根据允许被用作用于WiFi呼叫服务的安全连接和互联网业务的本地路由的公共认证。
Description
技术领域
本公开一般涉及通过WLAN系统建立安全连接,以提供包括实时语音和视频服务的WiFi呼叫服务。
背景技术
无线保真WiFi呼叫是指使用在电气和电子工程师协会(IEEE)802.11标准中指定的WiFi接入技术进行的语音和视频呼叫。一种类型的WiFi呼叫服务(在本公开中被称为过顶(over the top,OTT)WiFi呼叫服务)通过诸如Skype、WhatsAppTM、ViberTM和谷歌HangoutsTM之类的OTT应用实现,这些应用可以由用户下载到他们的用户设备UE,例如平板电脑或智能手机。用户使用所谓的过顶应用通过互联网直接从WiFi网络(也称为无线局域网(WLAN)网络,其可能在家中或在公共热点例如咖啡馆、机场、图书馆等中)呼叫其他用户,从而完全绕开移动运营商的网络。请注意,对于OTT应用,用户必须创建新的联系人号码(与用户的电话号码不同)才能拨打和接听WiFi电话。另外,用户必须创建不同于在UE中已经可用的地址簿的联系人列表。有时,OTT应用有时可以从UE本地联系人列表中导入联系人,或者从UE中配置的默认电子邮件(Email)帐户中导入联系人。
为了获得OTT WiFi呼叫服务,UE可以在由WLAN接入提供商(与PLMN运营商不同)提供的WLAN中使用WiFi接入。通常,当用户处于公共WiFi或酒店、机场等中的私人WiFi时,UE从WLAN获得本地IP地址并连接到HTTP服务器以使用用户名和密码进行认证。一旦认证完成,用户则被允许接入互联网并启动WiFi呼叫OTT应用。
在本公开中称为内置WiFi呼叫的另一类型的Wi-Fi呼叫通常由移动运营商或运营商向其用户提供。例如,移动运营商能够为希望通过酒店、机场、购物中心和咖啡馆等处的WiFi网络访问其家庭服务的用户提供接入,而不会产生与他们如果使用许可的蜂窝接入原本会产生的费用相同的费用。与OTT WiFi呼叫服务不同,内置的WiFi呼叫被集成到UE中,并且用户可以重复使用同一地址簿、电话号码和拨号盘来通过WiFi拨打和接听电话,就像他/她在使用蜂窝接入技术时拨打和接听电话一样。用户可以配置UE在丢失蜂窝信号时使用内置的WiFi呼叫服务,在这种情况下,假设WiFi覆盖可用,则UE可以配置为自动切换到内置的WiFi呼叫,或者甚至将内置的WiFi呼叫服务配置为拨打电话的默认方式。
在Group Special Mobile Association,GSMA,Industry Requirements,IR.51,WiFi over IMS中描述了用于提供内置WiFi呼叫服务的架构,其中UE经由第三代合作伙伴计划3GPP技术规范TS 23.402中描述的演进分组核心EPC来通过WLAN连接到其移动运营商的互联网协议多媒体子系统IMS。因此,通过包括对WiFi作为针对语音和视频呼叫二者的接入类型的支持,移动运营商扩展了基于IMS的LTE语音(VoLTE)和LTE视频(ViLTE)服务。内置的WiFi服务共享UE中用于基于蜂窝接入的VoLTE和ViLTE的相同IMS客户端,使得能够重复使用相同的地址簿和相同的用户凭证进行标识验证,为用户体验提供无缝体验。
从移动运营商的角度来看,WiFi接入(或WLAN)可以是可信的或不可信的。可信的WiFi接入/WLAN通常由同一移动运营商部署,或由达成漫游协议的WLAN提供商部署。可信的WLAN通过例如在3GPP TS 23.402中指定的被称为S2a接口的标准接口连接到EPC中的分组网关PGW。然而,即使WiFi网络属于移动运营商或以其他方式连接到移动运营商,移动运营商也不会认为通过可信WLAN的内置WiFi呼叫服务对于访问运营商网络中的WiFi呼叫服务是足够安全的。因此,目前为了启用WiFi呼叫服务,移动运营商的EPC将所有WLAN接入都视为不可信的。
在由没有达成漫游协议或服务等级协议的WLAN提供商部署的实现(例如部署在咖啡馆、机场、酒店等处的公共或专用WLAN)中,移动运营商不信任WiFi接入。UE通过首先建立到EPC中的演进分组数据网关ePDG的互联网协议安全IPSec隧道来连接到EPC。ePDG充当UE与EPC其余部分之间的安全网关。ePDG通过建立的IPSec隧道将往返于UE的业务进行隧道传输。如3GPP TS 23.402中规定的那样,从UE接收的业务通过S2b接口进一步隧道传输给EPC中的PGW,并且通过S2b接口从PGW接收的业务通过IPSec隧道被转发给UE。
请注意,在漫游场景中,用户家庭移动运营商网络中的归属订户服务器/3GPP认证授权和计费服务器(HSS/3GPP AAA)确定UE使用的WiFi接入是可信的还是不可信的。如果WLAN支持基于3GPP的接入认证(如3GPP TS 33.402中规定的),则UE在WLAN中的认证步骤期间被进一步通知。如果通知指示该WLAN不可信,则UE使用该网络通知来触发与ePDG建立IPSec隧道,或者如果通知指示该WLAN是可信的(UE不需要建立IPSec隧道来接入移动运营商的服务),则执行本地WiFi接入。注意,如果WLAN不支持基于3GPP的接入认证(如3GPP TS33.402中规定的),则UE根据移动运营商在UE中预先配置的策略来确定与WLAN的信任关系。
为了在不可信的WLAN上建立GSMA IR.51中规定的内置WiFi呼叫服务,UE使用在Request For Comment,RFC 5996中指定的互联网工程任务组(IETF)互联网密钥交换版本2(IKEv2)协议和IPSec来与ePDG通过不可信WLAN建立安全连接,该安全连接按照IETF RFC4301和IETF RFC 4303进行完整性保护和加密。由于WiFi呼叫服务是内置的,因此UE中的IKEv2协议使用存储在SIM卡上的认证凭证来自动建立UE与ePDG之间的IPSec隧道。在与UE进行IKEv2交换期间,UE和ePDG使用扩展认证协议方法(例如3GPP TS 33.402中规定的认证密钥协商方法EAP-AKA)相互认证。ePDG从HSS中检索安全密钥、认证向量和预订信息以认证UE并建立连接的机密性(即用于加密的会话密钥)。在IKEv2交换期间,ePDG附加地建立到EPC中的已选择PGW的S2b承载。该S2b承载被称为默认S2b承载。PGW向UE分配IP地址。该IP地址被UE用来通过PGW发送和接收去往和来自互联网或内联网的IP业务并且访问所请求的服务。3GPP TS 23.402将UE到ePDG的接口称为SWu接口。IKEv2和IPSec分组都通过IP层传输,并且所有IMS业务(无论是控制还是媒体相关分组)都封装在IP封装安全有效载荷(ESP)中(如IETF RFC 4303中规定的)。
一旦在UE和ePDG之间建立了IPSec隧道实例,并且从PGW向UE分配了IP地址,则分组数据网络PDN连接因此被建立,并且UE可以启动发送IMS控制信令业务以请求建立用于语音和/或视频或两者的会话。ePDG通过所建立的S2b承载将接收到的业务转发给PGW。可以在EPC中在PGW和ePDG之间建立与相同PDN连接相关联的专用S2b承载以传输相关媒体(语音和/或视频分组)。
通过WLAN透明地提供基于IPSec的内置WiFi呼叫服务。它确实成为运营商首选的WiFi呼叫服务选择,因为它提供了这些服务所需的安全性。然而,由于这些功能需要UE位置,所以不支持诸如合法截听、基于详细位置的计费、基于位置的服务、紧急呼叫等功能。另外,当前的WiFi呼叫解决方案导致无论与WiFi呼叫业务还是互联网业务相关的所有UE业务都通过运营商网络在一个或多个IPSec隧道实例上传输。
发明内容
贯穿本公开使用以下缩写词。
3GPP 第三代伙伴计划
AAA 认证、授权和计费
AC 接入控制器
AKA 认证和密钥协议
BNG 宽带网络网关
EAP 扩展认证协议
ePDG 演进分组数据网关
EPC 演进分组核心
ESP 封装安全有效载荷
GTP GPRS隧道协议
HSS 归属订户服务器
IKE 内部密钥交换
IPSec IP安全
PDN 分组数据网络
PGW 分组数据网关
S2b ePDG和PGW之间的接口
Swu UE和ePDG之间的接口
UE 用户设备
本发明的目的是消除或减轻现有技术的至少一个缺点,以使得UE能够连接到由移动运营商或与之达成漫游协议的移动运营商合作伙伴运营的可信WLAN,并且其中UE通过如下方式使用内置WiFi呼叫服务:通过HTTP服务器来通过可信WLAN接入建立IPSec隧道,同时允许互联网业务绕过移动运营商网络来通过WLAN进行本地路由或通过HTTP服务器进行路由。针对本地WLAN接入和移动运营商的网络接入,使用单一的通用认证方法来认证UE对WLAN和移动运营商网络的接入。在建立IPSec隧道时,在UE和移动运营商网络之间执行该认证方法。移动运营商网络授权WLAN一旦IPsec隧道建立并且认证成功,就打开互联网业务的门户。
在一些实施例中,可以与EPC中的网关(例如ePDG)位于同一位置的服务器被配置为:从UE接收通过WLAN登录到服务器以进行实时通信RTC服务(或WiFi呼叫服务)的安全超文本传输协议HTTPS请求,并且其中HTTPS请求包括实时通信RTC服务指示符(其也是WiFi呼叫服务的指示符)。如果HTTPS请求是重新登录尝试,则HTTPS请求可包括cookie,在这种情况下,UE可能已经在初始附着或先前的重新附着或重新登录时接收到该cookie。HTTPS请求还可以包括UE位置信息以及由WLAN分配给UE的本地互联网协议IP地址。在从UE接收到登录HTTPS请求时,服务器向网关(例如,ePDG)发送消息以确定UE附着状态。服务器包括RTC服务指示符,并且可以包括UE的本地IP地址、cookie和UE位置信息(如果接收到)。响应于发送到网关的消息,服务器接收指示UE附着状态的响应。服务器确定UE附着状态,该状态可以指示UE未附着或者应该针对RTC服务而附着。它也可以指示在有效的IPSec隧道实例已处于活跃状态的情况下UE是否已经附着。备选地,它可以指示如果网关资源不可用,则UE不能附着。服务器向UE发送HTTPS响应,其中HTTPS响应与从网关接收的与UE附着状态相关的信息以及服务器处的登录状态相关。
在一些实施例中,如果服务器确定针对RTC服务UE已经被附着并且UE和网关之间有效的IPSec隧道实例处于活跃状态,则服务器启动在UE和网关之间接收并中继IPSec有效载荷。从UE接收的IPSec有效载荷可以封装在传输层安全性TLS包封中,在这种情况下,服务器在将IPSec有效载荷中继给网关之前移除TLS封装。类似地,在通过IPSec隧道转发给UE之前,服务器将从网关接收的IPSec有效载荷封装在TLS包封中。当服务器确定UE已经附着时,它可能已经从网关接收到cookie,其中cookie对应于针对UE而言活跃的IPSec隧道实例。该cookie稍后可以被UE用来重新登录到服务器。
在一些实施例中,服务器已经确定针对RTC服务UE未被附着或者应该附着且已经将该信息中继给UE,服务器然后从UE接收第二HTTPS请求,其中第二HTTPS请求包括对针对RTC服务的UE附着的指示。在接收到请求针对RTC服务的UE附着的第二HTTPS请求时,服务器等待从UE接收该服务器中继到网关的认证交换消息。服务器从网关接收该服务器中继到UE的认证交换消息。从UE接收的认证交换消息可以被封装在TLS包封中,在这种情况下,服务器在将认证交换消息中继到网关之前移除TLS封装。类似地,在转发给UE之前,服务器将从网关接收的认证交换消息封装在TLS包封中。一旦认证交换成功完成并且UE与网关之间建立了IPSec隧道,则网关通知服务器认证已完成且IPSec隧道处于活跃状态。服务器可能会接收到附加到活跃IPSec隧道实例的cookie。随后,响应于针对UE附着的第二HTTPS请求,服务器向UE发回HTTPS响应,其中HTTPS响应向UE指示其已附着并登录到服务器。如果从网关接收到cookie,则服务器将包含cookie。然后,由服务器在UE和网关之间中继IPSec有效载荷。与上述类似,当在UE和服务器之间传输时,IPSec有效载荷可以被封装在TLS包封中。服务器根据需要封装和解封装IPsec有效载荷。
在一个实施例中,认证交换是利用任何扩展认证协议EAP(例如EAP-AKA)的IKE交换。
在一些实施例中,服务器在从网关接收到UE被认证并且IPSec隧道对于RTC服务处于活跃状态的通知之后,可以向WLAN发送消息以指示UE被认证,从而打开将互联网业务从WLAN本地路由的门户,或者互联网业务可以直接从服务器路由到互联网。
在一些实施例中,UE被配置为通过WLAN发送对登录到网络中的服务器的HTTPS请求,以便接收RTC服务或WiFi呼叫服务。UE可以在HTTPS请求中包括UE位置信息、由WLAN分配给UE的本地IP地址、以及在UE已经具有IPSec隧道但是希望重新登录到服务器的情况下可能先前已经从服务器接收到的cookie。
响应于HTTPS请求,UE接收HTTPS响应消息,该消息向UE指示在服务器处的登录状态以及在移动运营商网络的网关(例如,ePDG)处的附着状态。如果UE基于附着状态确定它针对RTC服务应该附着到网络,换句话说,对于UE没有有效的IPSec隧道实例,则UE触发用于建立针对RTC服务的互联网协议安全(IPSec)隧道的UE附着过程。然而,如果UE根据HTTPS响应确定UE现在登录到服务器并且它利用网络中的有效IPSec隧道仍然是附着的,则UE可以启动发送和接收用于RTC服务的IPSec有效载荷。在这种情况下,来自UE的HTTPS请求是对重新登录到服务器的请求,并且UE已经具有IPSec隧道实例。在一个实施例中,当将IPSec有效载荷发送给服务器时,UE可以将IPSec有效载荷(即,ESP有效载荷)封装在TLS包封中。类似地,如果UE从服务器接收到封装在TLS包封中的IPSec有效载荷,则它移除封装并将IPSec有效载荷转发给UE中的对应应用。
根据一个实施例,UE通过在WLAN上发送来自UE的第二HTTPS请求来触发用于建立IPSec隧道的UE附着过程,该第二HTTPS请求指示该HTTPS请求是用于针对RTC服务的UE附着的。UE然后启动认证交换以认证和建立IPSec隧道。当向服务器发送认证请求消息时,UE可以将认证交换请求消息封装在TLS包封中。类似地,如果UE从服务器接收到封装在TLS包封中的认证消息,则它移除封装并将认证消息转发给UE中的WiFi呼叫客户端。如果认证交换成功完成并且IPSec隧道实例建立,则UE接收HTTPS响应消息,该HTTPS响应消息包括对UE附着成功和成功登录到服务器的指示。在一个实施例中,HTTPS响应消息还可以包括用于随后的重新登录的cookie。
在网关和UE之间建立的IPsec隧道实例可专门用于RTC服务(即,WiFi呼叫服务)。
在一些实施例中,移动运营商网络中的可以与服务器位于同一位置的网关被配置为针对UE接收对启动RTC服务(在本公开中也称为WiFi呼叫服务)的请求。对启动RTC服务的请求可包括cookie(如果UE先前附着)、由WLAN分配给UE的本地IP地址和UE位置信息。网关可以使用在对启动RTC服务的请求中接收到的Cookie以及由WLAN分配给UE的本地IP地址来确定UE的附着状态。如果网关发现UE已经附着并且存在用于UE的IPSec隧道,则网关发送针对该启动请求的指示UE已经附着的响应,否则网关发送命令UE附着以便建立IPSec隧道的响应。在一个实施例中,如果网关发送针对该启动请求的指示UE已经附着的响应,则网关可以生成已更新的cookie并将其包括在响应中。
在阅读与附图相关联的实施例的以下详细描述之后,本领域技术人员将清楚本公开的范围并且认识到其附加方面。
附图说明
现在将仅通过举例的方式参考附图来描述本发明的实施例,其中:
图1示出了根据实施例的针对WiFi呼叫服务的UE登录和附着的序列图。
图2示出了根据示例性实施例的针对WiFi呼叫服务的UE重新登录的序列图。
图3示出了根据实施例的在HTTP服务器处执行的用于将UE连接到网关(例如,ePDG)的方法的流程图。
图4示出了根据实施例的针对WiFi呼叫服务在HTTP服务器处的UE初始附着方法的详细流程图。
图5示出了根据实施例的针对WiFi呼叫服务在UE处执行的用于连接到网关(例如,ePDG)的方法的流程图。
图6示出了根据实施例的在网关(例如,ePDG)处执行的用于将UE连接到移动运营商网络的方法的流程图。
图7是根据实施例的用于UE、HTTP服务器和网关(例如,ePDG)之间的控制信令的协议栈的示意图。
图8是根据实施例的用于UE、HTTP服务器和网关(例如ePDG)之间的用户面业务的协议栈的示意图。
图9是根据实施例的TLS封装的示意图。
图10是根据实施例的HTTP服务器的示意图。
图11是根据实施例的UE的示意图。
具体实施方式
现在将参考附图描述本发明的各种特征。下面将结合示例性实施例和示例更详细地描述这些各个方面,以便于理解本发明,但不应被解释为限于这些实施例。更确切地,这些实施例被提供,使得本公开将是彻底和完整的,并且将向本领域技术人员充分地传达本发明的范围。
围绕由计算机系统的元件或能够执行编程指令的其他硬件执行的动作序列或功能来描述本发明的多个方面。将认识到,各种动作可以由专用电路来执行,通过由一个或多个处理器执行程序指令来执行,或者由两者的组合执行。此外,本发明还可以被认为完全体现在任何形式的计算机可读载体或载波中,所述任何形式的计算机可读载体或载波包含将使处理器执行本文所述技术的适当的计算机指令集合。
移动运营商通常为使用蜂窝接入技术(例如长期演进、LTE接入技术)的用户提供实时电信服务,例如语音和视频会议服务。VoLTE和ViLTE是目前移动运营商使用IMS基础设施在LTE上推出的两项服务之一。用户必须附着到移动运营商的分组核心网EPC,并由HSS/AAA进行认证。PGW是EPC中的分组锚节点,其为UE分配IP地址,并充当UE与移动运营商的IMS所部署在的分组数据网络PDN之间的所有业务的网关。所有IMS业务通过EPC在UE 100和PGW130之间透明地传输。然而,IMS应用向EPC传送与IMS会话相关联的媒体的服务质量需求,以便在EPC和LTE接入网络上建立合适的服务质量承载,以用于传递去往和来自UE的相应媒体分组。
由于所有LTE设备通常也包括对WiFi连接的支持,所以当这种接入可用时(例如,在家或旅馆中),用户可以将他们的UE配置为切换到WiFi接入。此外,当移动运营商部署自己的WiFi或与其他WLAN提供商具有信任关系时,当连接到此类可信的WiFi时,用户能够使用内置的Wifi呼叫连接到移动运营商提供的VoLTE和ViLTE服务,就像在他们通过不可信的WiFi进行连接(即通过建立的安全IPSec隧道连接)的情况下所做的一样。然而,与基于不可信WiFi的内置WiFi呼叫不同,本公开中所描述基于可信或受管理的WLAN的内置WiFi呼叫服务使得移动运营商能够将互联网业务卸载到可信或受管理的WLAN。互联网业务因此可以从WLAN本地路由到互联网,而语音和/或视频相关信令和媒体业务通过HTTP服务器和ePDG在安全IPSec隧道上隧道传输给EPC。EPC然后将内置WiFi呼叫相关业务转发给对应的应用(例如,IMS)。此外,当前公开允许移动运营商的网络针对内置WiFi呼叫服务的IPSec隧道建立和WLAN上的互联网业务的本地路由两者进行公共认证,其中移动运营商授权WLAN打开本地业务的门户。
HTTP服务器可以部署在移动运营商的网络中或受管理/可信的WLAN 101中,或者可以与ePDG位于同一位置。当部署在移动运营商的网络中时,无论是独立的还是位于同一位置,且为了UE 100到达HTTP服务器,UE可以预先配置有HTTP服务器IP地址/名称,或者UE可以被WLAN重定向到移动运营商域中的HTTP服务器。
在本公开中,此后使用WiFi呼叫服务来指示内置WiFi呼叫服务。此外,WiFi接入和WLAN可互换使用,并且UE附着与UE注册同义。
图1是示出根据实施例的UE 100通过HTTP服务器102和ePDG 103登录并附着到EPC以支持基于可信/受管理的WiFi接入或WLAN 101的WiFi呼叫服务的细节的序列图。在这个实施例中,UE没有IPSec隧道实例,因此先前没有附着到网络。由于WLAN由用户的运营商网络管理或者WLAN提供商被用户的移动运营商网络所信任,即在WLAN提供商和移动运营商之间存在漫游协议或服务级别协议,所以UE 100确定WiFi可用并且WiFi接入可信。在步骤109中,UE 100连接到WLAN 101并获取由WLAN 101分配的本地IP地址。WLAN 101打开配置的白名单,允许UE 100连接到一些服务器。针对UE 100的服务器白名单可以作为与移动运营商网络的服务水平协议或漫游协议的一部分来提供。如先前所解释的,UE 100或者预配置有白名单中的HTTP服务器102的IP地址或域名,或者发现HTTP服务器102。为了发现HTTP服务器102,UE 100可以经由动态主机配置协议DHCP选项从WLAN 101接收HTTP服务器102地址。如果DHCP未被使用或者不提供HTTP服务器102地址选项,则UE 100可以从WLAN中的本地HTTP服务器接收它,如图1所示。UE 100可以在步骤110中向WLAN 101中托管的本地HTTP服务器发送具有对WiFi呼叫服务的指示的HTTP请求。在步骤111,当本地HTTP服务器确定HTTP请求用于WiFi呼叫服务时,它向UE发送回HTTP重定向302,该重定向指示HTTP请求应该被重定向到的HTTP服务器102地址,并且可以包括ePDG 103的地址。HTTP响应还可以包括位置信息(例如WLAN接入点、AP MAC地址和/或AP IP地址,和/或WLAN接入网关(WAG)IP地址(如果可用)以及WAG可以在WLAN101内的接入控制器(AC)宽带网络网关(BNG)中实现的位置信息)。
如果蜂窝覆盖与WiFi覆盖重叠并且如果蜂窝接入网络与WiFi接入网络互通,使得WiFi接入网络接收蜂窝相关位置信息,则附加位置信息可以包括蜂窝位置信息。
在步骤112,UE发送安全HTTP请求(HTTPS请求),以登录到HTTP服务器102来进行WiFi呼叫服务。HTTPS协议是众所周知的,并且与IETF RFC 2818中规定的基于传输层安全性(TLS)的HTTP相对应。IETF RFC 5246中规定的TLS在UE 100和HTTPS服务器102之间提供安全连接。HTTPS请求包括WiFi呼叫服务指示符和UE标识(例如,IMSI)。其也可以包括(如果在步骤111接收到)ePDG 103的地址,且还可以包括位置信息,例如WLAN AP MAC地址和/或AP IP地址和/或WAG IP地址。如果WiFi覆盖与蜂窝覆盖重叠,则附加位置信息可以包括蜂窝位置信息。蜂窝位置信息可以由UE 100本身确定或者由本地HTTP服务器在上面的步骤111提供。此外,HTTPS请求可以包括cookie(如果UE先前附着并且具有IPSec隧道实例)以及由WLAN分配的UE本地IP地址。在步骤113a,HTTP服务器102确定HTTPS请求用于WiFi呼叫服务,并接受UE HTTPS请求且选择将会处理用于WiFi呼叫服务的IPSec隧道的建立的ePDG103。HTTP服务器102可以使用以下方法来识别ePDG 103:
1.使用HTTPS请求中的ePDG 103的地址(如果包含),或者
2.如果HTTP服务器102与ePDG 103位于同一位置,则使用该内部ePDG 103。
HTTPS服务器102触发图1中的名为start_request的消息给ePDG103以指示UE 100连接到HTTPS服务器102,并且启动UE注册且建立UE 100与ePDG 103之间的IPSec隧道。在步骤112,start_request包括UE标识(例如,IMSI)、WiFi呼叫服务指示符,并且可以包括由WLAN分配的UE本地IP地址、Cookie和UE位置信息(如果在步骤112的HTTPS请求中接收到)。
在步骤113b,ePDG 103验证其内部资源以确定它是否能够处理start_request,并使用接收到的start_request中的信息来确定UE是否利用有效的IPSec隧道已经附着。如果资源可用于处理该请求并且UE尚未利用有效的IPSec隧道附着,则它向HTTP服务器102发送start_response,指示UE尚未附着或者需要UE附着。备选地,如果资源不可用,则它拒绝start_request,在这种情况下,它可以指示替代的ePDG。为了确定UE是否利用有效的IPSec隧道实例已经附着,网关可以使用UE本地IP地址和/或cookie(如果在start_request中接收到)来定位网关中的UE上下文。由于图1示出了初始附着,因此图1的其余描述将集中于初始附着,而没有先前的现有IPSec隧道。在步骤113b,HTTP服务器102处理start_response消息,并且如果消息指示UE未附着或UE应该附着,则HTTP服务器102在步骤114将HTTPS 200OK发送回UE100,其中HTTPS 200OK消息包括WiFi呼叫服务指示符和注册/附着指示符,以向UE100指示其应该注册/附着以通过HTTP服务器102与ePDG 103建立IPSec隧道,从而建立WiFi呼叫服务。响应于在步骤114接收的HTTPS 200 OK,UE在步骤115触发第二HTTPS请求,并且其中HTTPS请求被发送以指示UE请求针对与ePDG 103的WiFi呼叫服务而附着,并且与ePDG103建立IPSec隧道。为了认证和建立IPSec隧道,HTTP服务器102准备在UE 100与ePDG 103之间接收并中继IKE交换。
在步骤115发送第二HTTP请求之后,UE按照IETF RFC 5996启动包括IKE_SA_INIT和IKE_AUTH交换的IKE交换。在将IKE消息发送给HTTP服务器102之前,UE100将IKE交换封装在TLS包封中。HTTP服务器102将从UE 100接收到的IKE消息解封装,随后将它们中继给ePDG103。在步骤116b,ePDG 103执行与AAA/HSS服务器104的认证。ePDG 103处的认证过程如3GPP TS 23.402、3GPP TS 29.273和3GPP TS 24.302中所述,并且与在ePDG处执行的用于不可信WLAN上的UE接入的认证过程没有什么不同。ePDG 103通过向HTTP服务器102发送IKE响应消息来响应从UE接收的IKE消息。在步骤116,HTTP服务器102在将IKE响应消息转发给UE之前将该IKE响应消息封装在TLS包封中。虽然未示出,但应该理解,在IKE认证交换期间,ePDG 103已经在EPC中与PGW建立了第一/默认S2b承载。PGW(图1中未示出)为UE 100分配IP地址以通过PGW接入PDN。
当IKE交换完成时,UE被认为是已注册的,即,UE 100已经被ePDG103和HSS/AAA服务器104成功认证,ePDG 103和PGW之间的第一/默认S2b承载被建立,EPC中的PGW向UE分配了用于接入PDN的IP地址,并且成功建立了UE 100与ePDG 103之间的第一IPSec隧道实例。在步骤117,ePDG 103还可以生成cookie以指示IPSec隧道是活跃的并且向HTTP服务器102发送消息(图1中称为Online_request消息),并且其中该消息指示UE被成功认证并且IPSec隧道对于UE 100是活跃的。Online_request消息包含生成的cookie。HTTP服务器102通过在步骤118向ePDG 103发回Online_response消息来对Online_request消息进行肯定应答。在步骤118的同时或之后,响应于在步骤115接收的第二HTTPS请求消息,HTTP服务器102在步骤119向UE发回HTTPS 200OK消息。HTTPS 200OK消息包括由ePDG 103生成的cookie、指示UE成功登录到HTTP服务器102以及通过HTTP服务器102成功注册/附着到ePDG 103的指示。cookie由ePDG 103生成,因此UE 100可以将其包括在随后的重新登录中。cookie在重新登录过程中的存在可以使得能够通过现有的IPSec隧道将UE 100与ePDG 103重新连接,而不需要重新建立新的IPSec隧道。
在步骤119的同时或之后,当HTTP服务器102接收到指示UE被EPC成功认证并且IPSec隧道对于UE 100是活跃的Online_request消息时,HTTP服务器102可以在步骤120中向WLAN 101通知UE被成功认证并且WLAN 101被允许直接从WLAN 101路由从UE到互联网的互联网业务。UE使用本地IP地址进行互联网业务,并将所有WiFi呼叫相关业务路由到EPC。备选地,可以基于移动运营商策略通过HTTP服务器来路由互联网业务。在步骤121,UE 100例如通过在UE 100中的IMS客户端和PDN中的IMS系统之间使用会话发起协议SIP来启动建立WiFi呼叫会话。用于建立WiFi呼叫会话的所有SIP交换都作为封装在TLS包封中的ESP有效载荷在UE 100和HTTP服务器102之间发送。HTTP服务器102从TLS包封提取包含来自UE100的SIP消息的ESP有效载荷,并将ESP有效载荷转发给ePDG 103。类似地,HTTP服务器102将接收到的包含来自IMS系统的SIP消息的ESP有效载荷封装在TLS包封中,并将封装的ESP有效载荷转发给UE 100。相应地,UE 100封装和解封装ESP有效载荷。
在可能在步骤120之后的步骤122处,如果WLAN已经接收到对UE被认证和授权的通知,则WLAN 101允许从UE本地IP地址发送的互联网业务绕过移动运营商的EPC而从WLAN101直接路由到互联网。
注意,如果在UE 100和HTTP服务器102处使用TLS封装/解封装来封装/解封装IKE交换和IPSec有效载荷,则其还用于封装所有随后的IKE消息,例如IKE通知,保持活跃(Keepalive)等。
图2示出了根据本公开的另一实施例的当UE 100针对WiFi呼叫服务请求重新登录时的序列图。在该实施例中,UE 100已经具有IPSec隧道实例。如果例如登录定时器或附着定时器已经到期,或者UE 100切换到WLAN 101中的另一个AP,则UE 100可以触发重新登录过程,同时维持在附着过程期间建立的IPSec隧道实例。如图2中所示并类似于图1,UE 100在步骤112处向HTTP服务器102发送HTTPS请求以针对WiFi呼叫服务重新登录。UE 100包括WiFi呼叫服务指示符、UE标识(例如,IMSI)以及在来自图1的步骤119的UE附着过程或者可能先前的重新登录过程期间接收的cookie。HTTPS请求还可以包括由WLAN分配的UE本地IP地址和UE位置信息,例如WLAN AP MAC地址和/或AP IP地址和/或WAG IP地址和/或蜂窝位置信息(如果WiFi覆盖与蜂窝覆盖重叠)。在步骤113a,HTTP服务器102在名为Start_Request的消息中向ePDG 103查询关于IPSec隧道的状态,其中,该消息中包括UE标识(例如,IMSI),并包括cookie、UE本地IP地址和UE位置信息(如果在步骤112接收到)。ePDG 103使用UE标识(例如,IMSI)、cookie和UE本地IP地址来找到并验证UE的任何现有上下文并且确定UE是否在AP之间切换。上下文用IPsec隧道状态指示UE认证状态。如果网关发现IPsec隧道实例存在并且有效(即,UE认证仍然被认为有效),则它验证该cookie。如果cookie的确先前由ePDG103生成,则其在步骤113b生成已更新的cookie并将所生成的cookie发送给HTTP服务器102,指示UE利用有效的IPSec隧道实例已经附着。如果ePDG 103确定对于UE100没有有效的IPSec隧道或者确定接收的cookie不是有效的,则ePDG 103在步骤113b向HTTP服务器102发送响应消息,指示UE应该(重新)附着以重新建立IPSec隧道。如果接收的本地IP地址与存储的上下文中的UE本地IP地址不同,则ePDG 103还可以在步骤113b向HTTP服务器102发送响应消息,指示由于切换UE应该(重新)附着以重新建立IPSec隧道。一旦接收到来自ePDG 103的响应,则HTTP服务器102在步骤114向UE 100发送包括登录请求的结果的HTTPS响应消息,其中该结果可以包括:
3、已更新的cookie以及对成功附着和登录的指示,其中UE 100已经具有活跃的IPSec隧道,此时UE可以启动发送和接收WiFi呼叫相关业务来作为TLS上的ESP有效载荷,如步骤121所示,或者
4、对UE必须(重新)附着以重新建立IPSec隧道的指示,此时重复图1的步骤115-120,其中这些步骤描述了通过HTTP服务器102的UE附着和与ePDG 103的IPSec建立。一旦UE100成功附着,UE 100就可以随后启动发送和接收WiFi呼叫相关业务,作为可以在TLS上发送的ESP有效载荷,如步骤121所示。
图3是示出用于登录到HTTP服务器102并附着到ePDG 103以进行WiFi呼叫服务的方法30的流程图。HTTP服务器102和ePDG 103可以位于同一位置。在步骤31,HTTP服务器102接收对登录到WiFi呼叫服务的HTTPS请求并且包括UE标识(例如,IMSI)、WiFi呼叫服务。
如前所述,WiFi呼叫服务对应于实时通信服务,例如语音和视频呼叫。在替代实施例中,HTTP请求可以包括由WLAN 101分配的UE本地IP地址,UE位置信息(例如WLAN AP MAC地址和/或AP IP地址)和蜂窝位置信息(如果WiFi覆盖与蜂窝覆盖重叠)。位置信息被保存在HTTPS服务器102中,或者被发送给ePDG 103,在那里被存储。在又一个实施例中,HTTPS请求可以包括cookie以指示UE想要重新登录到HTTP服务器102。该cookie由ePDG 103在先前的成功附着或HTTP服务器102重新登录中分配。cookie(如果通过HTTP服务器102由ePDG103验证)用于验证UE并核实是否存在活跃的IPSec隧道,在这种情况下,UE 100和ePDG 103继续使用现有IPSec隧道实例,并且无需重新认证并重新建立新的IPSec隧道实例。在又一个备选实施例中,如果从WLAN 101接收到ePDG标识符(例如,IP地址或其他标识符),则HTTP请求可以包括ePDG标识符。以下示出了可以在HTTPS请求中发送给HTTP服务器102的指示的例子,例如用于登录到WiFi呼叫服务的HTTPS GET请求消息:
如图3的实施例所示,步骤32中的HTTP服务器102需要确定UE是否附着到ePDG103。为此,HTTP服务器102向ePDG 103发送消息以向网关指示UE想要启动WiFi呼叫服务,并确定UE 100是否附着在ePDG 103处以用于WiFi呼叫服务。HTTP服务器102使用来自UE的ePDG地址(如果在HTTP服务器102处接收到或被配置)来确定ePDG 103。HTTP服务器102包括UE标识(例如,IMSI),并且包括cookie、UE本地IP地址和UE位置信息(如果在步骤31接收到)。HTTP服务器102从ePDG 103接收响应,其中ePDG 103向HTTP服务器102指示UE附着状态。UE附着状态指示以下信息之一:
5、UE附着、IPSec隧道实例处于活跃状态并可包含cookie(初始附着),或
6、UE未附着,或UE应附着以接收服务,或
7、UE已附着并可包含已更新的cookie(重新登录过程)。
在步骤33,HTTP服务器102将HTTPS响应发回UE。HTTPS服务器102向UE指示登录和附着结果。如果从ePDG 103接收到cookie,则HTTP服务器102将cookie转发给UE 100。当IPSec隧道成功建立或者有效的IPSec隧道已经存在且仍然有效时,将包含Cookie。以下示出响应于用于登录到WiFi呼叫服务的HTTPS请求,可以在HTTPS响应消息(即HTTPS 200 OK响应消息)中发送给UE的指示的示例:
在步骤34,HTTP服务器102基于来自网关的响应来验证UE是否在ePDG 103处附着并具有有效的IPSec隧道。如果UE 100未附着,则HTTP服务器102在步骤35执行UE附着。图4中显示了步骤35的详细过程。然而,如果HTTP服务器102确定UE 100已附着并且IPSec隧道被建立,则HTTP服务器102在步骤36启动在UE 100与ePDG 103之间中继和接收IPSec有效载荷。附加地,IPSec有效载荷可以通过TLS在UE 100和HTTP服务器102之间传输,在这种情况下,TLS在HTTP服务器102处终结,并且IPSec有效载荷还通过不同接口在HTTP服务器102和ePDG 103之间传输。IPSec有效载荷对于HTTP服务器102是透明的。
图4图示了示出图3中的步骤35的UE附着的细节的流程图。HTTP服务器102确定UE100未附着,并且在图3的步骤33处向UE 100指示UE应该附着以接收服务。在该确定之后,图4的步骤35a的HTTP服务器102从UE 100接收第二HTTPS请求,这次该请求用于针对WiFi呼叫服务的UE附着。HTTP服务器102准备接收用于认证和建立IPSec隧道的IKE交换。
在图4的步骤35b中,HTTP服务器102启动从UE 100接收作为封装在TLS中的有效载荷的第一IKE交换请求消息,以转发给ePDG 103。HTTPS服务器102不处理IKE请求消息。相反,HTTP服务器102从UE接收可由TLS封装的IKE请求消息。HTTP服务器解封该IKE请求消息并将IKE请求消息中继给ePDG 103。当HTTP服务器102从ePDG 103接收到IKE响应消息时,HTTP服务器102封装IKE响应消息并通过TLS连接将其发送给UE 100。HTTP服务器102执行上述操作,直到UE 100与ePDG 103之间的IKE交换完成。当IKE交换成功完成时,在步骤35c中,ePDG 103向HTTP服务器102通知IPSec隧道已成功建立,换句话说,UE 100成功附着。注意,ePDG 103可以在去往HTTP服务器的通知中包括cookie,指示针对UE 100的IPSec隧道是活跃的。UE 100可以在随后的重新附着或重新登录到HTTP服务器102中包括cookie以优化重新附着或重新登录信令过程。此外,图4中的步骤35c示出了从HTTP服务器102向UE 100发送HTTPS响应消息的步骤,该消息指示UE利用活跃的IPSec隧道实例成功地附着,并且UE现在登录到HTTP服务器102。
在备选实施例中,并且并行于在图4的步骤35c中向UE 100发送HTTP响应消息以指示成功附着和登录,HTTP服务器102可以通知WLAN 101:UE被认证并且授权WLAN 101将来自UE 100的互联网业务本地路由到互联网,其中UE使用由WLAN 101分配的本地IP地址。通过HTTP服务器102和ePDG 103将WiFi呼叫业务路由到EPC的朝向WiFi呼叫应用服务器所在的PDN的其余部分,例如IMS。
备选地,代替将UE互联网业务从WLAN 101本地路由到互联网,可以将UE互联网业务直接从HTTP服务器102路由到互联网。与之前的WiFi呼叫服务不同,移动运营商可以灵活地确定与WiFi呼叫业务不同的互联网业务是通过可信WLAN 101还是通过HTTP服务器102进行路由。值得注意的是,在IKE交换期间执行的UE认证被用作公共认证以认证附着到EPC中的ePDG 103的UE,以便建立IPSec隧道并且登录到HTTP服务器102以进行WiFi呼叫服务,而且还授权UE互联网业务通过WLAN 101或通过HTTP服务器102进行路由。因此,UE不需要通过WLAN进行认证,例如通过用户名和密码登录到WLAN 101中的本地HTTP服务器以访问互联网,因为它已经由EPC针对WiFi呼叫服务进行了认证。
如图4的步骤35c所述,在向UE 100发送HTTPS响应消息之后,HTTP服务器102接收WiFi呼叫相关业务作为可以通过TLS从UE传输的ESP有效载荷。HTTP服务器102将ESP有效载荷中继给ePDG 103。类似地,HTTPS服务器102通过HTTPS服务器102-ePDG 103接口从ePDG103接收WiFi呼叫相关业务,可以将ESP有效载荷封装在TLS包封中并将ESP有效载荷中继给UE 100。WiFi呼叫相关业务可以是SIP信令业务以及相对应的媒体业务(语音和/或视频分组)。图9显示了TLS包封的一个例子。
图5示出了根据实施例的针对WiFi呼叫服务在UE 100处执行的用于连接到网关103(例如,ePDG)的方法50的流程图。UE 100通过登录到HTTP服务器102并附着到ePDG 103以建立IPSec隧道实例来连接到ePDG 103,以下进行WiFi呼叫服务。备选地,UE 100可能已经具有IPSec隧道实例,但是希望重新登录到HTTP服务器102,例如,如果登录定时器或附着定时器已经到期或者UE 100已经从WLAN 101中的一个AP切换到另一个AP。在ePDG 103处的IPSec隧道实例不再有效的情况下,重新登录请求可触发UE重新附着到网关并重新建立新的IPSec隧道实例。如图5所示,在步骤51中,UE 100向HTTP服务器102发送HTTPS请求以登录到WiFi呼叫服务。然而,在步骤51之前,UE 100可以使用各种方法来发现HTTPS服务器102,包括:
1、UE预先配置HTTP服务器102IP地址或域名,或者
2、UE 100经由动态主机配置协议DHCP选项从WLAN 101接收HTTP服务器102地址,并且可以附加地包括ePDG 103地址选项,或者
3、可以使用HTTP重定向方法来使用WLAN 101中托管的HTTP服务器将UE 100从WLAN 101重定向到HTTP服务器102。当使用重定向方法时,UE 100向WLAN 101中的本地HTTP服务器发送HTTP请求并且包括针对WiFi呼叫服务的指示。当本地HTTP服务器确定HTTP请求用于WiFi呼叫服务时,它向UE发送回HTTP重定向302,该重定向指示HTTP请求应该被重定向到的HTTP服务器102地址,并且可以包括ePDG 103的地址。HTTP重定向302还可以包括位置信息(诸如WLAN接入点、AP MAC地址和/或AP IP地址)。如果蜂窝覆盖与WiFi覆盖重叠并且如果蜂窝接入网络与WiFi接入网络互通,使得WiFi接入网络接收蜂窝相关位置信息,则附加位置信息可以包括蜂窝位置信息。
UE 100在HTTPS请求中包括WiFi呼叫服务指示符、UE标识(例如,IMSI),并且可以包括ePDG 103地址(如果已知)、由WLAN 101分配的UE本地IP地址和如上所述的UE位置信息。注意,如果UE 100请求重新登录到HTTP服务器102,则HTTPS请求可以包括在初始附着或先前的HTTP服务器重新登录时由HTTP服务器102先前接收的cookie。
在步骤51,UE从HTTPS服务器接收HTTPS响应。在所示实施例中,HTTPS响应可以是包括与附着状态相关的信息的HTTPS 200OK。该信息可包括以下指示符的组合:
8、UE登录(1)/未登录(0)(到HTTPS服务器)
9、UE附着(1)/未附着或应附着(2)/附着失败(0)(在ePDG 103处)
10、Cookie(仅在接收到UE登录(1)和UE附着(1)时)
在步骤53,UE分析所接收的信息。下表总结了基于HTTPS响应消息中接收的信息的UE行为的示例性实施例:
图5的步骤53示出了如下实施例:其中UE 100在步骤51响应于登录请求而接收HTTPS响应,该响应指示UE 100未被附着或者其应该附着以建立IPSec隧道。UE 100通过例如向ePDG 103发送针对WiFi呼叫服务的HTTPS请求来触发其尝试附着的附着过程,这次指示该请求是要附着。在发送对附着的HTTPS请求之后,UE发起认证交换。如果UE 100使用IKE交换来认证并建立IPSec隧道,则UE 100按照IETF RFC 5996启动包括IKE_SA_INIT和IKE_AUTH交换的IKE交换。在将IKE消息发送给HTTP服务器102之前,UE 100可以将该交换的IKE请求消息封装在TLS包封中。一旦IKE交换完成,则认为UE 100被认证,IPSec隧道被建立并且向UE 100分配了用于访问WiFi呼叫服务应用服务器所在的PDN的IP地址。作为UE附着过程的一部分,UE 100接收对针对附着的HTTPS请求的响应,该响应指示UE利用有效的IPSec隧道实例附着并登录,并且cookie可以包括在响应消息中。一旦接收到针对附着的HTTPS响应消息,附着过程被认为已完成。UE 100可以启动通过IPSec隧道发送作为ESP有效载荷的WiFi呼叫服务业务(信令+媒体)。在通过HTTP服务器102向ePDG 103发送之前,UE 100可以将ESP有效载荷封装在TLS包封中。
图5的步骤54示出了如下实施例:UE 100在步骤51响应于登录请求而接收HTTPS响应,该响应指示UE已经被附着并且IPSec隧道实例是有效的。在该实施例中,在步骤51对登录到WiFi呼叫服务的HTTPS请求被视为重新登录请求,并且可以包括在先前的成功登录尝试中接收到的cookie。在接收到指示IPSec隧道是活跃的并且UE 100已登录的HTTPS响应时,UE 100可以启动通过IPSec隧道发送作为ESP有效载荷的WiFi呼叫服务业务(信令+媒体)。在通过HTTP服务器102向ePDG 103发送之前,UE 100可以将ESP有效载荷封装在TLS包封中。
在任何时候,UE 100都可以选择从HTTP服务器102登出。然后,UE可以向HTTP服务器102发送带有登出指示的HTTPS请求。TLS连接被释放。如果用户或UE选择重新登录到HTTPS服务器102,则UE可以释放或维持可重新激活的IPSec隧道实例。
图6示出根据实施例的在网关(例如,ePDG 103)处执行的用于将UE 100连接到移动运营商的网络EPC的方法60的流程图。ePDG 103和UE 100通过HTTP服务器102进行通信。在步骤61,ePDG 103从HTTP服务器102接收启动请求(start-request),指示UE想要建立连接以启动WiFi呼叫服务。通过与HTTP服务器102的接口来接收start-request,该接口可以是内部接口,如果ePDG 103与HTTP服务器102位于同一位置的话。该start-request包括UE标识(例如,IMSI)、WiFi呼叫指示符。start-request还可以包括在先前针对相同UE 100的IPSec隧道建立过程中可由ePDG 103生成并提供给UE 100的cookie,并且其可包括UE本地IP地址和UE位置信息(如果在图3的步骤31中接收到)。如果UE位置信息被接收到,则ePDG103存储该信息,因为该信息可由EPC或PDN中的位置服务器应用检索。
在图6的步骤62处,ePDG 103确定UE 100的附着状态,即,确定UE 100是否具有已建立的有效IPSec隧道以及ePDG 103是否具有足够的资源来建立针对UE 100的IPSec隧道。在步骤63,如果ePDG 103确定IPSec隧道对于UE 100不可用或者接收到的cookie不是有效的,或者接收到的UE本地IP地址指示WLAN中的切换,则ePDG 100将发送对start-request的响应,该响应指示UE 100未附着或应该附着以与ePDG 103建立IPSec隧道。在步骤63,如果ePDG 103确定所接收的UE本地IP地址已经改变以指示WLAN中的切换,则ePDG 100可以发送对start-request的响应,该响应指示UE 100应该重新附着以与ePDG 103建立IPSec隧道。UE附着和IPSec隧道的建立包括认证交换(例如,IKE交换)以认证UE、在EPC的其余部分中与PGW的PDN连接建立以及IPSec隧道的建立。该过程类似于在3GPP TS 23.402,3GPP TS29.273和3GPP TS 24.302中描述的IPSec隧道的建立和附着。一旦IPSec隧道被建立并且是活跃的,ePDG 103则向HTTP服务器102发送响应,指示IPSec隧道是活跃的,并且可以包括由ePDG 103生成的cookie,如步骤65所示。ePDG 103准备将从UE接收的WiFi呼叫服务相关业务发送给PGW以便传输给PDN。ePDG 103通过HTTP服务器102从UE 100接收作为ESP有效载荷的WiFi呼叫服务相关业务。ePDG 103还准备通过HTTP服务器102将从PDN接收的WiFi呼叫服务业务作为ESP有效载荷发送给UE。
在图6的步骤63中,如果ePDG 103确定IPSec隧道已可用于UE 100并且cookie有效,并且可选地,UE本地IP地址对应于存储在ePDG 103上下文中的地址,即,未切换,则ePDG100在步骤65发送对start-request的响应,指示UE 100已经附着并且IPSec隧道是有效的和活跃的。ePDG 103可以生成已更新的cookie并且将已更新的cookie包括在发送给HTTP服务器102的响应消息中。当IPSec隧道已经建立时,ePDG 103准备通过HTTP服务器102将从UE100接收的WiFi呼叫服务相关业务发送给PGW以便传输给PDN。ePDG 103通过HTTP服务器102从UE 100接收作为ESP有效载荷的WiFi呼叫服务相关业务。ePDG 103还准备通过HTTP服务器102将从PDN接收的WiFi呼叫服务相关业务作为ESP有效载荷发送给UE。以下示出ePDG103和HTTP服务器102之间的可能的接口描述的示例性实施例。如果ePDG 103和HTTP服务器102位于同一位置,则接口可以是内部的。
图7示出了根据实施例的用于UE 100、HTTP服务器102和网关(例如,ePDG)103之间的控制信令的协议栈的示意图。控制信令包括IKE认证交换中使用的信令,该信令用于建立用于WiFi呼叫服务的IPSec隧道。图7中所示的实施例示出IKE v2协议通过TLS被携带到HTTP服务器102。UE 100将IKE交换消息封装在TLS包封中。图9显示了TLS包封的实施例。图7中的HTTP服务器102移除TLS封装,并且使用UDP/IP接口或内部接口(如果ePDG 103与HTTP服务器102位于同一位置)将从UE 100接收的IKE消息中继给ePDG 103。HTTP服务器102通过UDP/IP接口或内部接口从ePDG 103接收IKE消息,将该IKE消息封装在TLS封装中,并且通过TLS将该IKE消息从ePDG 103中继给UE 100。应该理解,代替在UE 100和HTTP服务器102之间使用TLS,也可以使用UDP或其他传输层。
图8示出了根据实施例的用于UE 100、HTTP服务器102和网关(例如,ePDG)103之间的用户面业务的协议栈的示意图。用户面业务包括WiFi呼叫服务相关业务,无论它是用于建立WiFi呼叫服务(例如,SIP)的控制信令还是相关联的媒体业务,即语音和/或视频实时协议RTP分组。用户面业务对于HTTP服务器102和ePDG 103是透明的。类似于图7的控制信令,图8中所示的实施例示出在UE 100和HTTP服务器102之间通过TLS承载作为ESP有效载荷的用户面业务。UE 100将ESP有效载荷封装在TLS包封中。图9显示了TLS包封的实施例。图8中的HTTP服务器102移除TLS封装,并且使用UDP/IP接口或内部接口(如果ePDG 103与HTTP服务器102位于同一位置)将从UE 100接收的ESP有效载荷中继给ePDG 103。ePDG 103从ESP有效载荷中提取用户面业务,随后转发给PGW以转发给PDN。类似地,当ePDG 103从PGW接收到用户面业务时,在通过UDP/IP或内部接口将业务转发给HTTP服务器102之前,将业务封装在ESP有效载荷中。HTTP服务器102在通过TLS中继给UE 100之前将TLS封装应用于ESP有效载荷。UE解封装TLS和ESP以提取用户面业务并将其转发给对应的应用客户端。应该理解,代替在UE 100和HTTP服务器102之间使用TLS,也可以使用UDP或其他传输层。图8是使用TLS作为UE 100和HTTP服务器102之间的安全传输层的示例性协议栈,然而可以使用其他传输层方法,例如用户数据报协议UDP或安全套接字层SSL等。
在图8中,UE 100具有两个地址,气泡1中的地址对应于由WLAN 101分配的本地IP地址,并且可被用于通过WLAN 101路由互联网业务,而气泡2中的地址对应于在与EPC建立IPSec隧道期间由PGW分配的IP地址。由PGW分配的地址用于访问PDN中的WiFi呼叫服务。
图9示出了用于封装UE 100与HTTP服务器102之间的认证交换和ESP有效载荷的TLS包封的实施例。图9所示的TLS包封实施例示出了
11、T_header,包括
a.用于区分IKE/IPSec数据和HTTP协议数据的PD(协议鉴别符)八位字节。
b.用于长度字段的2个八位字节表示以八位字节为单位的TLS包封的长度。
c.以八位字节为单位的消息类型字段5表示TLS包封中的有效载荷是IKE交换协议、IPSEC ESP协议还是IKE保持活跃(keep-alive)消息。
i.值=0表示IKE交换协议。
ii值=0xff表示IKE活跃消息。对于此消息类型,T_envelop中没有消息内容。
iii.其他值:表示IPSec ESP有效载荷。
可以使用其他TLS包封格式。使用任何可能的TLS包封格式的结果是实现通过TLS对ESP有效载荷和IKE协议的封装。如此,本公开涵盖了IKE和ESP有效载荷的任何可能格式的TLS封装。
图10示出了包括电路60的HTTP服务器的示例性实施例,电路60执行根据图3和图4中描述的实施例的方法步骤以及图1和图2的步骤112,113a-113b,114-116,116b,117-121(除了在此描述的其他实施例之外)。在一个实施例中,电路60可以包括处理器61和包含指令的存储设备62(也称为存储器),指令在被执行时使处理器61执行根据本文所描述的实施例的方法中的步骤。电路60还可以包括通信接口63,用于使用接口(例如图7和图8以及本文其它实施例中所示的接口)与外部实体(例如与UE)通信,以及使用图7和图8以及本文其他实施例中所示的接口与ePDG通信。另外,通信接口63可以用于向WLAN传送授权以打开用于UE互联网业务的本地路由的门户。请注意,HTTP服务器102可以在任何时间发送指令以关闭用于UE互联网业务的本地路由的门户。关闭门户的指令可由移动运营商的策略触发。
图11示出了UE中的电路70的示例性实施例,其包括处理模块71,该处理模块71被配置为通过通信模块73发送对通过WLAN登录到HTTP服务器的HTTPS请求,该HTTPS请求包括WiFi呼叫服务指示符,其中WiFi呼叫服务对应于实时通信RTC服务,例如IP语音和/或IP视频。处理模块71还被配置为通过通信模块73接收包括与UE的附着状态相关的信息的HTTPS响应,并确定与UE的附着状态相关的信息是否包括对UE应该通过通信模块71附着到网络的指示,在这种情况下,处理模块71触发UE附着过程以建立IPSec隧道实例。然而,如果UE中的处理模块71确定与UE的附着状态相关的信息包括对UE已经登录到HTTP服务器并且利用有效IPSec隧道已附着的指示,则UE的处理模块71可以启动通过通信模块73发送和接收与WiFi呼叫服务相关联的IPSec有效载荷。此外,处理模块71在存储模块72中存储与UE的附着状态相关的信息以及与所建立的IPSec隧道相关的状态信息。
图11中的电路70还包括通信模块73,该通信模块73被配置为向HTTPS服务器发送和从HTTPS服务器接收HTTPS消息,以及与用于建立IPSec隧道(即,诸如IKE交换消息的认证交换)以及通过建立的IPSec隧道传输ESP有效载荷的UE附着过程相关的消息。电路70还包括存储模块72,存储模块72被配置为维持与UE的附着状态相关的信息(例如UE的登录和附着状态、cookie(如果接收到)、ePDG地址(如果接收到)以及可能的位置信息)。存储模块72还维持与IPSec隧道相关的状态信息(例如,安全性关联)。
本领域技术人员将理解,模块可以被实现为在处理器上运行的计算机程序,并且模块可操作用于执行前述方法的步骤。
已经参考特定实施例描述了本发明。然而,对于本领域技术人员显而易见的是,可以以与上述实施例不同的具体形式不同的具体形式来体现本发明。所描述的实施例仅仅是说明性的,而不应被认为是任何限制性的。本发明的范围由所附权利要求而不是前面的描述给出,并且落入权利要求的范围内的所有变化和等同物旨在被包含在其中。
Claims (30)
1.一种用于通过受管理的无线本地接入网WLAN(101)上的安全隧道将用户设备UE(100)连接到网关(103)以进行实时通信RTC服务的方法,所述方法在服务器(102)处执行,所述方法包括:
-通过所述WLAN(101)从所述UE(100)接收针对登录到所述服务器(102)以进行所述RTC服务的安全超文本传输协议HTTPS请求,所述HTTPS请求包括RTC服务指示符;
-向所述网关(103)发送消息以确定针对所述RTC服务的UE附着状态,并从所述网关(103)接收指示所述UE附着状态的响应;
-向所述UE(100)发送HTTPS响应,所述HTTPS响应包括与所述网关(103)处针对所述RTC服务的UE附着状态以及所述服务器(102)处的登录状态相关的信息;
-如果对于所述RTC服务而言所述UE(100)未被附着,则执行UE附着;以及
-在确定对于所述RTC服务而言所述UE(100)被附着并且在所述UE(100)和所述网关(103)之间建立了互联网协议安全IPSec隧道实例时,在所述UE(100)和所述网关(103)之间接收并中继用于所述RTC服务的IPSec有效载荷。
2.根据权利要求1所述的方法,其中,所述HTTPS请求包括UE位置信息和由所述WLAN(101)分配给所述UE(100)的本地互联网协议IP地址中的至少一项。
3.根据权利要求1所述的方法,其中,所述HTTPS请求包括来自先前UE附着的先前cookie。
4.根据权利要求1所述的方法,其中,向所述网关(103)发送的消息包括来自先前UE附着的先前cookie、UE位置信息和由所述WLAN(101)分配给所述UE(100)的本地IP地址中的至少一项。
5.根据权利要求1所述的方法,其中,执行所述UE附着还包括:
-通过所述WLAN(101)从所述UE(100)接收针对所述RTC服务的第二HTTPS请求,所述第二HTTPS请求包括RTC服务指示符和UE附着指示符;
-在所述UE(100)与所述网关(103)之间接收并中继认证交换以建立所述IPSec隧道实例;以及
-当从所述网关(103)接收到对所述IPSec隧道实例已建立的通知时,向所述UE(100)发送HTTPS响应消息,所述HTTPS响应消息包括对成功附着到所述网关(103)并成功登录到所述服务器(102)的指示。
6.根据权利要求5所述的方法,其中,来自所述网关(103)的通知包括cookie。
7.根据权利要求5所述的方法,其中,在所述UE(100)与所述网关(103)之间接收并中继所述认证交换和所述IPSec有效载荷还包括:将从所述网关(103)接收的认证交换和IPSec有效载荷封装在传输层安全性TLS属性中以转发给所述UE(100),且将从所述UE(100)接收的TLS属性解封装以提取用于转发给所述网关(103)的认证交换和IPSec有效载荷。
8.根据权利要求7所述的方法,其中,认证交换是互联网密钥交换IKE协议。
9.根据权利要求1所述的方法,其中,确定所述UE(100)被附着并且所述IPSec隧道实例被建立还包括:从所述网关(103)接收对所述UE(100)已经被附着并且在所述网关(103)处已经存在有效的IPSec隧道进行指示的响应。
10.根据权利要求9所述的方法,其中,来自所述网关(103)的响应包括已更新的cookie,所述已更新的cookie指示所述网关(103)处针对所述UE(100)已存在用于所述RTC服务的有效IPSec隧道。
11.根据权利要求1所述的方法,其中,所述服务器(102)和所述网关(103)位于同一位置。
12.根据权利要求1所述的方法,还包括:授权所述WLAN(101)从所述WLAN(101)直接路由UE互联网业务。
13.根据权利要求1所述的方法,其中,所述IPSec隧道实例专用于RTC相关业务。
14.一种用于通过受管理的无线本地接入网WLAN(101)上的安全隧道将用户设备UE(100)连接到网关(103)以进行实时通信RTC服务的方法,所述方法在所述UE(100)处执行,所述方法包括:
-通过所述WLAN(101)发送针对登录到服务器(102)以进行所述RTC服务的安全超文本传输协议HTTPS请求,所述HTTPS请求包括RTC指示符;
-接收HTTPS响应,所述HTTPS响应包括与所述UE(100)的附着状态相关的信息;
-当确定与所述UE(100)的附着状态相关的信息包括指示所述UE(100)针对所述RTC服务而附着的指示时,触发用于建立互联网协议安全IPSec隧道的UE附着过程;以及
当确定与所述UE(100)的附着状态相关的信息包括对所述UE(100)登录所述服务器(102)并且利用有效的IPSec隧道附着的指示时,发送和接收用于所述RTC服务的IPSec有效载荷。
15.根据权利要求14所述的方法,其中,所述HTTPS请求包括UE位置信息和由所述WLAN(101)分配给所述UE(100)的本地互联网协议IP地址中的至少一项。
16.根据权利要求14所述的方法,其中,所述HTTPS请求包括从先前UE附着接收的先前cookie。
17.根据权利要求14所述的方法,其中,触发用于建立IPSec隧道的UE附着过程还包括:
-通过所述WLAN(101)发送针对所述RTC服务的第二HTTPS请求,所述第二HTTPS请求包括UE附着指示;
-发送和接收用于建立所述IPSec隧道的认证交换;以及
-接收对所述第二HTTPS请求的响应消息,所述响应消息包括所述UE附着过程的结果以及所述服务器(102)处的登录状态。
18.根据权利要求17所述的方法,其中,所述响应消息包括用于随后重新登录的cookie。
19.根据权利要求17所述的方法,其中,发送和接收所述认证交换和所述IPSec有效载荷还包括:将所述认证交换和所述IPSec有效载荷封装在传输层安全性TLS属性中以转发给所述网关(103),且将接收的TLS属性解封装以提取所述认证交换和所述IPSec有效载荷。
20.一种用于通过受管理的无线本地接入网WLAN(101)上的安全隧道将用户设备UE(100)连接到网关(103)以进行实时通信RTC服务的方法,所述方法在所述网关(103)处执行,所述方法包括:
接收针对所述UE(100)启动所述RTC服务的请求;
确定针对所述RTC服务的UE附着状态;以及
如果所述UE附着状态指示所述UE(100)已经附着并且针对所述UE(100)已经存在有效的互联网协议安全IPSec隧道,则发送指示所述UE(100)被附着的响应,否则发送命令所述UE(100)附着以建立IPSec隧道的响应。
21.根据权利要求20所述的方法,其中,所述请求还包括来自先前的UE附着的cookie、由所述WLAN(101)分配给所述UE(100)的本地互联网协议IP地址和UE位置信息中的至少一项。
22.根据权利要求21所述的方法,其中,所述cookie和所述由所述WLAN(101)分配给所述UE(100)的本地IP地址中的至少一项被用于确定所述UE(100)的附着状态。
23.根据权利要求20所述的方法,其中,发送指示所述UE(100)针对所述RTC服务而附着的响应对应于发送包括已更新的cookie的响应。
24.一种计算机可读存储介质,存储包括指令的计算机程序,所述指令在至少一个处理器上执行时,使所述至少一个处理器执行根据权利要求1至23中任一项所述的方法。
25.一种服务器(102),被配置为通过受管理的无线本地接入网WLAN(100)上的安全隧道将用户设备UE(100)连接到网关(103)以进行实时通信RTC服务,所述服务器(102)包括电路,所述电路被配置为:
-通过所述WLAN(101)从所述UE(100)接收针对登录到所述服务器(102)以进行所述RTC服务的安全超文本传输协议HTTPS请求,所述HTTPS请求包括RTC服务指示符;
-向所述网关(103)发送消息以确定针对所述RTC服务的UE附着状态,并从所述网关(103)接收指示所述UE附着状态的响应;
-向所述UE(100)发送HTTPS响应,所述HTTPS响应包括与所述网关(103)处针对所述RTC服务的UE附着状态以及所述服务器(102)处的登录状态相关的信息;
-如果对于所述RTC服务而言所述UE(100)未被附着,则执行UE附着;以及
-在确定对于所述RTC服务而言所述UE(100)被附着并且在所述UE(100)和所述网关(103)之间建立了互联网协议安全IPSec隧道实例时,在所述UE(100)和所述网关(103)之间接收并中继用于所述RTC服务的IPSec有效载荷。
26.根据权利要求25所述的服务器(102),其中,所述电路包括处理器、通信接口和存储器,所述存储器包含能够由所述处理器执行的指令。
27.根据权利要求25所述的服务器(102),其中,所述电路被配置为实现权利要求2-13中任一项所述的方法。
28.一种用户设备UE(100),被配置为通过受管理的无线本地接入网WLAN(100)上的安全隧道连接到网关(103)以进行实时通信RTC服务,所述UE(100)包括电路,所述电路被配置为:
-通过所述WLAN(101)发送针对登录到服务器(102)以进行所述RTC服务的安全超文本传输协议HTTPS请求,所述HTTPS请求包括RTC指示符;
-接收HTTPS响应,所述HTTPS响应包括与所述UE(100)的附着状态相关的信息;
-当确定与所述UE(100)的附着状态相关的信息包括指示所述UE(100)附着的指示时,触发用于建立互联网协议安全IPSec隧道的UE附着过程;以及
当确定与所述UE(100)的附着状态相关的信息包括对所述UE登录所述服务器(102)并且利用有效的IPSec隧道附着的指示时,发送和接收用于所述RTC服务的IPSec有效载荷。
29.根据权利要求28所述的UE(100),其中,所述电路被配置为实现权利要求15-19中任一项所述的方法。
30.一种用户设备UE(100),被配置为通过受管理的无线本地接入网WLAN(100)上的安全隧道连接到网关(103)以进行实时通信RTC服务,所述UE(100)包括:
-处理模块(71),被配置为:
-通过所述WLAN(101)并通过通信模块(73)发送针对登录到服务器(102)以进行所述RTC服务的安全超文本传输协议HTTPS请求,所述HTTPS请求包括RTC服务指示符;
-通过所述通信模块(73)接收HTTPS响应,所述HTTPS响应包括与所述UE(100)的附着状态相关的信息;
-当确定与所述UE(100)的附着状态相关的信息包括指示所述UE(100)附着的指示时,触发通过所述通信模块(73)的用于建立互联网协议安全IPSec隧道的UE附着过程;
-当确定与所述UE(100)的附着状态相关的信息包括对所述UE(100)登录所述服务器(102)并且利用有效的IPSec隧道附着的指示时,通过所述通信模块(73)发送和接收与所述RTC服务相关联的IPSec有效载荷;以及
-将与所述UE(100)的附着状态相关的信息和与所述IPSec隧道相关的状态信息存储在存储模块(72)中;
-所述通信模块(73),被配置为:
-发送和接收用于所述RTC服务的HTTPS消息;
-发送和接收与建立用于所述RTC服务的IPSec隧道的UE附着过程相关的消息;以及
-发送和接收所述IPSec有效载荷;以及
-所述存储模块(72),被配置为:
-维持与所述UE(100)的附着状态相关的信息;以及
-维持与所述IPSec隧道相关的状态信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/089613 WO2017045123A1 (en) | 2015-09-15 | 2015-09-15 | A method for secure wifi calling connectivity over managed public wlan access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108029017A CN108029017A (zh) | 2018-05-11 |
| CN108029017B true CN108029017B (zh) | 2021-05-04 |
Family
ID=58288322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580083153.XA Active CN108029017B (zh) | 2015-09-15 | 2015-09-15 | 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11265294B2 (zh) |
| EP (1) | EP3351049A4 (zh) |
| CN (1) | CN108029017B (zh) |
| WO (1) | WO2017045123A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10264029B2 (en) | 2009-10-30 | 2019-04-16 | Time Warner Cable Enterprises Llc | Methods and apparatus for packetized content delivery over a content delivery network |
| US8862155B2 (en) | 2012-08-30 | 2014-10-14 | Time Warner Cable Enterprises Llc | Apparatus and methods for enabling location-based services within a premises |
| US11006467B2 (en) * | 2015-09-24 | 2021-05-11 | Kt Corporation | Method and apparatus for transmitting and receiving data using WLAN radio resources |
| EP3387815B1 (en) * | 2015-12-11 | 2019-09-04 | Reliance JIO Infocomm USA, Inc. | Co-existence mechanism for downloadable voice application client |
| GB2547726A (en) * | 2016-02-29 | 2017-08-30 | Nec Corp | Communication system |
| US10547597B2 (en) * | 2017-01-24 | 2020-01-28 | International Business Machines Corporation | Secure network connections |
| US10153831B1 (en) | 2017-02-13 | 2018-12-11 | Lockheed Martin Corporation | Power usage-aware spectral resource allocation in a satellite long term evolution (LTE) communication system |
| CN108924832B (zh) * | 2017-04-14 | 2023-02-21 | 瑞典爱立信有限公司 | 用于安全Wi-Fi通话的方法、设备和系统 |
| US10785195B2 (en) * | 2017-07-31 | 2020-09-22 | Cisco Technology, Inc. | Mobile communications over secure enterprise networks |
| TWI685272B (zh) * | 2017-09-27 | 2020-02-11 | 關隆股份有限公司 | 無線系統的連線方法 |
| CN107566196A (zh) * | 2017-10-20 | 2018-01-09 | 北京星河星云信息技术有限公司 | 组网方法和组网装置、用户边缘设备及可读存储介质 |
| US10477349B2 (en) * | 2018-02-13 | 2019-11-12 | Charter Communications Operating, Llc | Apparatus and methods for device location determination |
| US11032762B1 (en) * | 2018-09-18 | 2021-06-08 | Amazon Technologies, Inc. | Saving power by spoofing a device |
| CN111163493B (zh) * | 2018-11-08 | 2022-08-19 | 中国电信股份有限公司 | 通信配置方法、系统和相关设备 |
| US20220201040A1 (en) * | 2019-05-16 | 2022-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Over-the-top management in a communication network |
| EP3970446A1 (en) * | 2019-05-16 | 2022-03-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Over-the-top management in a communication network |
| US10735995B1 (en) | 2019-09-05 | 2020-08-04 | Cisco Technology, Inc. | Enhanced fixed broadband access network—mobile network integration for efficient local traffic offloading |
| US11258609B2 (en) * | 2019-11-04 | 2022-02-22 | Verizon Patent And Licensing Inc. | Methods and devices for secure application authentication using a one-way encrypted authentication token |
| CZ2020271A3 (cs) * | 2020-05-14 | 2021-11-24 | Aducid S.R.O. | Programový systém a způsob autentizace |
| US11751253B2 (en) | 2021-02-25 | 2023-09-05 | Lockheed Martin Corporation | Random access for broadband 4G and 5G over satellite |
| US11622269B2 (en) * | 2021-05-12 | 2023-04-04 | Nile Global, Inc. | Methods and systems of head end based wireless device authentication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956451A (zh) * | 2005-10-28 | 2007-05-02 | 华为技术有限公司 | 一种实现多媒体广播/组播业务中会话开始的方法 |
| CN101534496A (zh) * | 2008-03-12 | 2009-09-16 | 中兴通讯股份有限公司 | 一种用户获得家乡链路信息的方法 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| US8594628B1 (en) * | 2011-09-28 | 2013-11-26 | Juniper Networks, Inc. | Credential generation for automatic authentication on wireless access network |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050090902A (ko) * | 2004-03-10 | 2005-09-14 | 삼성전자주식회사 | 무선 통신 시스템에서 패킷데이터 프로토콜에 따른 vpn서비스 방법 및 장치 |
| EP2071775A1 (en) | 2007-12-13 | 2009-06-17 | British Telecommunications public limited company | Data access |
| KR100942775B1 (ko) * | 2008-05-19 | 2010-02-18 | 최현일 | 음성/영상 통화 시스템 |
| US8839387B2 (en) | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| JPWO2009153943A1 (ja) | 2008-06-16 | 2011-11-24 | パナソニック株式会社 | バインディングキャッシュ生成方法、バインディングキャッシュ生成システム、ホームエージェント及びモバイルノード |
| US7877461B1 (en) * | 2008-06-30 | 2011-01-25 | Google Inc. | System and method for adding dynamic information to digitally signed mobile applications |
| US8023503B2 (en) * | 2008-07-02 | 2011-09-20 | Cisco Technology, Inc. | Multi-homing based mobile internet |
| CN101521930B (zh) | 2009-03-25 | 2011-09-21 | 中兴通讯股份有限公司 | 一种策略控制方法及系统 |
| EP2494814B1 (en) | 2009-10-27 | 2015-12-23 | Telefonaktiebolaget L M Ericsson (PUBL) | Method and apparatus for exchanging data between a user equipment and a core network via a security gateway |
| US8699413B2 (en) * | 2010-08-03 | 2014-04-15 | At&T Intellectual Property I, L.P. | Network servers, systems, and methods for multiple personas on a mobile device |
| US8879530B2 (en) * | 2012-04-06 | 2014-11-04 | Chris Yonghai Gu | Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN |
| US9668166B2 (en) * | 2013-02-05 | 2017-05-30 | Qualcomm Incorporated | Quality of service for web client based sessions |
| US9686284B2 (en) * | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
| WO2015038911A1 (en) | 2013-09-13 | 2015-03-19 | Convida Wireless, Llc | Mobile network operator control of wlan qos via andsf |
| WO2015042389A1 (en) * | 2013-09-20 | 2015-03-26 | Convida Wireless, Llc | Mobile network operator (mno) control of wifi qos based on traffic detection and dscp mapping in trusted wlan access and networks |
| WO2015184418A1 (en) * | 2014-05-29 | 2015-12-03 | T-Mobile Usa, Inc. | Wi-fi calling using sip-ims handset and evolved packet data gateway |
| US10057929B2 (en) * | 2015-08-18 | 2018-08-21 | Samsung Electronics Co., Ltd. | Enhanced hotspot 2.0 management object for trusted non-3GPP access discovery |
| US10277586B1 (en) * | 2018-10-29 | 2019-04-30 | Syniverse Technologies, Llc | Mobile authentication with URL-redirect |
-
2015
- 2015-09-15 WO PCT/CN2015/089613 patent/WO2017045123A1/en active Application Filing
- 2015-09-15 EP EP15903814.0A patent/EP3351049A4/en active Pending
- 2015-09-15 US US15/760,065 patent/US11265294B2/en active Active
- 2015-09-15 CN CN201580083153.XA patent/CN108029017B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956451A (zh) * | 2005-10-28 | 2007-05-02 | 华为技术有限公司 | 一种实现多媒体广播/组播业务中会话开始的方法 |
| CN101534496A (zh) * | 2008-03-12 | 2009-09-16 | 中兴通讯股份有限公司 | 一种用户获得家乡链路信息的方法 |
| CN101621801A (zh) * | 2009-08-11 | 2010-01-06 | 深圳华为通信技术有限公司 | 无线局域网的认证方法、系统及服务器、终端 |
| US8594628B1 (en) * | 2011-09-28 | 2013-11-26 | Juniper Networks, Inc. | Credential generation for automatic authentication on wireless access network |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108029017A (zh) | 2018-05-11 |
| US20190052603A1 (en) | 2019-02-14 |
| US11265294B2 (en) | 2022-03-01 |
| EP3351049A1 (en) | 2018-07-25 |
| WO2017045123A1 (en) | 2017-03-23 |
| EP3351049A4 (en) | 2019-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108029017B (zh) | 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 | |
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| JP6981491B2 (ja) | 通信システム、通信装置、通信方法、端末、プログラム | |
| JP6889263B2 (ja) | ユーザ機器の二次認証 | |
| US11729619B2 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| US10362617B2 (en) | Method and system for a mobile communication device to access services | |
| EP2533466B1 (en) | Method and apparatus for providing network access to a user entity | |
| US10080255B2 (en) | Mobile router in EPS | |
| US9577984B2 (en) | Network initiated alerts to devices using a local connection | |
| US20180014340A1 (en) | Secure network rollover | |
| JP7004383B2 (ja) | 通信システム、通信装置、通信方法、端末、プログラム | |
| US11870604B2 (en) | Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network | |
| KR20080078704A (ko) | 상이한 인증 인증서들을 지원하는 방법 및 장치 | |
| WO2014005267A1 (zh) | 接入移动网络的方法、装置及系统 | |
| WO2014063530A1 (zh) | 移动用户固网的接入方法及系统 | |
| JP2013197874A (ja) | 通信装置 | |
| CN108924832B (zh) | 用于安全Wi-Fi通话的方法、设备和系统 | |
| WO2014032542A1 (zh) | 多连接建立的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |