CN108924832B - 用于安全Wi-Fi通话的方法、设备和系统 - Google Patents
用于安全Wi-Fi通话的方法、设备和系统 Download PDFInfo
- Publication number
- CN108924832B CN108924832B CN201710245282.5A CN201710245282A CN108924832B CN 108924832 B CN108924832 B CN 108924832B CN 201710245282 A CN201710245282 A CN 201710245282A CN 108924832 B CN108924832 B CN 108924832B
- Authority
- CN
- China
- Prior art keywords
- authentication
- access
- enhanced
- call connection
- supported
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Abstract
根据本公开的实施例,公开了一种用于实现安全Wi‑Fi通话的方法、设备和系统。该方法可以在接入网关中执行,包括:针对用户设备进行接入鉴权;通过验证、授权和记账AAA服务器向所述用户设备授权增强Wi‑Fi呼叫连接;以及基于对增强Wi‑Fi呼叫连接的授权,在用户设备与给定安全网关之间建立安全隧道,以实现用户设备的安全Wi‑Fi通话。
Description
技术领域
本公开总体涉及通信领域,更具体地涉及用于实现安全Wi-Fi通话的方法、设备和系统。
背景技术
在现今社会,无线局域网(WLAN)的使用非常普遍,家庭、办公室、餐厅、商店甚至公交车等等,几乎所有地方都有WLAN的覆盖。在热点区域越来越多的公共WLAN接入在IEEE802.1x鉴权(authentication)架构下被提供使用。在这种架构下,用户设备(UE)首先与远程验证、授权和记账(AAA)服务器执行基于扩展鉴权协议(EAP)的鉴权。然后,UE获得本地因特网协议IP地址并且利用该地址来访问因特网。移动运营商可以具有集成到他们的演进分组核心(EPC)网络的公共WLAN接入,在这种情况下,UE基于存储在(通用)订户识别模块((U)SIM))卡中的证书(credential)自动实施基于EAP的鉴权。
在标准定义中,存在三种集成EPC的受信(trusted)WLAN接入连接模式:透明单连接模式(TSCM)、单连接模式(SCM)和多连接模式(MCM)。每种连接模式都支持流量本地卸载(也称为非无缝WLAN卸载NSWO),或者EPC路由(EPC routed)。UE和网络(AAA服务器)协商所要使用的连接模式。大多数当前部署的公共WLAN都属于受信WLAN接入架构中的TSCM的NSWO。
从运营商的角度来看,存在另一种集成EPC的WLAN接入,即非受信(un-trusted)WLAN接入,在3GPP TS23.402 V14.2.0的第7节中对其进行了描述。
在非受信WLAN接入中,演进分组数据网关(ePDG)充当将UE从任何WLAN接入连接到EPC网络和IP多媒体子系统(IMS)网络的网关。为了连接到EPC网络,在UE和网络之间实施相互鉴权,并且在UE和ePDG之间建立IP安全(IPsec)隧道(tunnel)连接。通过ePDG,UE可以建立到EPC网络的多个分组数据网络(PDN)连接,以用于多个演进分组系统(EPS)服务应用。该IPsec隧道利用由底层非受信WLAN接入提供的IP层连接并且对于WLAN接入是不可知的。
受信WLAN接入和非受信WLAN接入是两种接入类型,UE在一个时间只能附着(attach)到其中的一个。网络可以向UE指示UE正附着到的WLAN接入的受信评估。这是在基于3GPP的接入鉴权过程(通过STa接口或SWa接口与AAA的互联)中通过EPA-AKA’/AKA扩展(参见3GPP TS24.302 V14.2.0第6.2.3节)中的指示完成的。当受信接入类型被明示地指示给UE时,UE将不会通过WLAN接入建立IPsec隧道;否则,UE将会朝向ePDG发起IPsec隧道建立请求。
当前公共WLAN接入广泛部署,但其主要提供因特网业务却很少提供EPS业务。
3GPP标准已经定义了集成EPC的受信WLAN接入架构以支持EPS业务。如上所述,当前部署的大多数公共WLAN属于受信WLAN架构下的TSCM的NSWO。然而,TSCM仅向UE提供一个单个的隐式连接,这意味着UE仅能够使用因特网业务(在NSWO情况下)或者EPS业务(在EPC路由情况下)。因此,这种WLAN接入部署对于EPS业务启动具有明显的限制,因为TSCM对于EPS业务仅具有一个隐式的默认接入点名称(APN),并且不支持移动性。SCM会好一些,因为它使得UE可以选择NSWO和EPC路由,甚至使得UE可以在请求EPS业务时选择APN。然而,SCM也仅能提供一个单个的显示连接,这就意味着UE在给定的时间在本地仅能使用因特网业务或者EPS业务。MCM通过使用WLAN控制协议(WLCP)支持多个连接,并且UE能够在本地使用因特网业务并可以同时使用EPS业务,但是通过MCM进行业务通信迄今为止没有在业界得到广泛的支持。
目前,Wi-Fi通话基本上都是基于非受信WLAN接入架构实现的,由此其可更确切地被命名为非受信Wi-Fi通话。启用了Wi-Fi通话的大多数手机或移动终端也都是通过非受信WLAN接入建立连接,而不是使用受信WLAN接入用于Wi-Fi通话连接。也就是说,对于目前大多数启用了Wi-Fi通话的手机或移动终端,当它附着到WLAN接入时,将通过建立到ePDG的IPsec连接、然后建立到EPC网络的s2b连接来建立Wi-Fi通话连接。
与基于受信WLAN接入的MCM的业务相比,非受信Wi-Fi通话基于通过WLAN接入建立的安全连接,并且不依赖于WLAN接入,它可以在任何WLAN接入之上非常容易地部署。另一方面,由于受信WLAN接入依赖于所部属的安全环境,它本身在用户面不具有安全保护,仅在受信接入的MCM中具有信令保护。这些因素成为非受信Wi-Fi通话业务发展很快,而受信WLAN接入业务似乎停滞的主要原因。
但是基于3GPP标准的非受信WLAN接入的Wi-Fi通话也具有一些限制或缺陷。例如,从3GPP标准的角度来考虑,仅两种WLAN接入类型(即受信和非受信)和对应的过程被定义。如上所述,在一个时间仅一种接入类型和过程可以被UE实施。隐含地,3GPP标准不支持当UE已经附着到受信WLAN接入时对安全Wi-Fi通话连接的建立。
此外,Wi-Fi通话在任何WLAN接入之上是透明的,并且很难提供准确的用户位置。然而,对于诸如合法侦听(LI)、计费、紧急呼叫、基于位置的控制等业务操作,用户位置是非常重要的。再例如,当前,几乎所有的移动运营商的移动终端都默认地连接到其归属网络,在这种情况下,语音呼叫漫游和卸载得不到支持。
如何使用公共WLAN接入或受信WLAN接入来创建更高效和完善的安全Wi-Fi通话成为一个亟待解决的问题。
发明内容
为了解决上述问题中的一个或多个,本公开实施例提出了一种支持以网络控制的可管理的方式、通过公共WLAN接入进行安全Wi-Fi通话的方法、设备和系统。当然,根据本公开的方法、设备和系统并不仅限于公共WLAN接入,本领域技术人员将了解该方法、设备和系统也可以更广泛地适用于其他接入方式和接入网络。
根据本公开的第一方面,提供了一种在接入网关中用于实现安全Wi-Fi通话的方法。该方法包括:针对用户设备进行接入鉴权;通过AAA服务器向该用户设备授权增强Wi-Fi呼叫连接;以及基于对增强Wi-Fi呼叫连接的授权,在用户设备与给定安全网关之间建立安全隧道,以实现该用户设备的安全Wi-Fi通话。
根据本公开的一个实施例,在接入鉴权期间,接入网关向AAA服务器指示支持增强Wi-Fi呼叫连接的能力、从AAA服务器接收包括指示是否支持增强Wi-Fi呼叫连接的第一信息的第一属性、以及向用户设备转发该第一属性。
根据本公开的又一实施例,如果第一信息指示支持增强Wi-Fi呼叫连接,则所述第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。
根据本公开的进一步的实施例,接入网关从用户设备接收针对AAA服务器的响应消息,该响应消息可以包括第二属性。该第二属性包括指示是否支持增强Wi-Fi呼叫连接的第三信息,并且如果第三信息指示支持增强Wi-Fi呼叫连接,则该第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。
根据本公开的又一实施例,接入网关从AAA服务器接收指示向用户设备授权增强Wi-Fi呼叫连接成功的第五信息,以及指示将被实施的隧道鉴权类型的第六信息,并且向用户设备转发第五和第六信息。
根据本公开的另一实施例,隧道鉴权类型至少可以包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
根据本公开的又一实施例,接入网关还可以从AAA服务器接收标识给定安全网关的信息并向用户设备转发该信息。可选地,标识给定安全网关的信息可以基于服务于用户设备的接入点位置而被确定。
根据本公开的又一实施例,接入网关还可以从AAA服务器接收用于用户设备的会话密钥。该会话密钥可以用于轻隧道鉴权。
根据本公开的又一实施例,给定安全网关可以被集成在接入网关中,以集成模式进行操作;或者,给定安全网关也可以与接入网关分离,以独立模式进行操作。
在以独立模式进行操作的实施例中,接入网关可以接收来自用户设备的数据包并向给定安全网关强制转发该数据包;同样,接入网关也可以接收来自给定安全网关的、针对用户设备的数据包并向用户设备转发该数据包。
根据本公开的第二方面,提供了一种在用户设备中用于实现安全Wi-Fi通话的方法。该方法包括:与接入网关进行接入鉴权;从该接入网关获得经由AAA服务器而向该用户设备做出的增强Wi-Fi呼叫连接的授权;以及基于该增强Wi-Fi呼叫连接的授权,与给定安全网关建立安全隧道,以实现安全Wi-Fi通话。
根据本公开的第三方面,提供了一种在AAA服务器中用于实现安全Wi-Fi通话的方法。该方法包括:针对与接入网关关联的用户设备进行接入鉴权;向该用户设备授权增强Wi-Fi呼叫连接;以及基于对该增强Wi-Fi呼叫连接的授权,促使在该用户设备与给定安全网关之间建立安全隧道,以实现该用户设备的安全Wi-Fi通话。
根据本公开的第四方面,提供了一种接入网关。该接触网关包括处理器以及存储器。该存储器包含如下指令,该指令当在处理器上被执行时使得该接入网关执行根据本公开第一方面所述的方法。
根据本公开的第五方面,提供了一种用户设备。该用户设备包括处理器以及存储器。该存储器包含如下指令,该指令当在处理器上被执行时使得该用户设备执行根据本公开第二方面所述的方法。
根据本公开的第六方面,提供了一种AAA服务器。该AAA服务器包括处理器以及存储器。该存储器包含如下指令,该指令当在处理器上被执行时使得该AAA服务器执行根据本公开第三方面所述的方法。
根据本公开的第七方面,提供了一种用于实现安全Wi-Fi通话的系统。该系统包括根据本公开第四方面所述的接入网关、根据本公开第五方面所述的用户设备、以及根据本公开第六方面所述的AAA服务器。
根据本公开的上述各个方面和各实施例,用户设备可以通过增强Wi-Fi呼叫连接方式而经由公共WLAN等接入网络方便高效地实现安全Wi-Fi通话。
附图说明
参照附图来更详细地描述本文中的实施例的示例,其中:
图1示出了支持增强Wi-Fi呼叫连接的示例性网络架构;
图2描述根据本公开实施例的、通过MWAG对用户进行接入鉴权和授权的过程以及PDN连接建立的过程;
图3示出了根据本公开的一个实施例的、在EPC接入鉴权和MWC授权后利用LTA进行的隧道鉴权信令流图;
图4示意性地给出了根据本公开实施例的MWC授权协商逻辑;
图5示出了根据本公开实施例的一种在接入网关中用于实现安全Wi-Fi通话的方法的流程图;
图6示出了根据本公开实施例的一种在用户设备中用于实现安全Wi-Fi通话的方法的流程图;
图7示出了根据本公开实施例的一种在AAA服务器中用于实现安全Wi-Fi通话的方法的流程图;以及
图8示出了根据本公开实施例的一种用于实现安全Wi-Fi通话的系统。
具体实施方式
现在将参考若干示例性实施例来描述本公开。应当理解,这些实施例的描述仅仅是为了使本领域技术人员能够更好地理解和实现本公开,而不构成对本公开范围的限制。
在本文中所使用的术语“用户设备”可以是订户站(SS)、便携订户站、移动站(MS)或接入终端(AT)等。用户设备可以包括但不限于移动电话、蜂窝电话、智能电话、平板电脑、可穿戴设备、个人数字助理(PDA)等。
在本文中所使用的单数形式的“一”和“该”也旨在包括复数形式,除非上下文另有明确指示。术语“第一”和“第二”仅用来指示不同的事物,但是这些事物并不受该术语的限制。例如,第一单元也可以被称为第二单元;同样,第二单元也可以被称为第一单元,而不会脱离本公开的范围。在本文所使用的术语“包括”、“包含”和“具有”表示所讨论的特征、元件、组件和/或单元等的存在,但不排除一个或多个其他特征、元件、组件和/或单元及其组合的存在。在本文所使用的术语“基于”将被解读为“至少部分地基于”。
在本文中所使用的“一个实施例”、“另一实施例”等指示所描述的实施例可以包括特定特征、结构或特性等,但是并不必要每一个实施例均包括该特定特征、结构或特性等。而且,当一个特定特征、结构或特性等与某个实施例结合讨论时,本领域技术人员也应当明白该特征、结构或特性等也可以与其他实施例结合。
本公开提出了一种支持以网络控制的可管理的方式通过公共接入网进行安全Wi-Fi通话的方法、设备和端到端系统。该公共接入网可以包括但不限于公共WLAN,也可包括其他公共接入技术及其所支撑的固定接入网。为了便于描述,下文仅基于公共WLAN进行讨论,但本领域技术人员将理解,根据本公开实施例的方法、设备和系统可以更广泛地适用于其他接入网络。
为了便于描述,在下文中,使用公共WLAN以网络控制的可管理的方式通过公共接入网建立的Wi-Fi呼叫连接被称为“增强Wi-Fi呼叫连接”。为了便于描述,术语“增强Wi-Fi呼叫连接”也被简称为MWC。然而,本领域技术人员应当明白,该术语及其简称仅是为了便于描述,其本身并不对本公开的内容和范围形成任何限定,其他术语名称或简称也可用于本公开所提出的方法、设备和系统。同样,仅出于便于描述而非限制性的目的,支持MWC的公共WLAN在本文中可被称为受管理的WLAN,简称为MWLAN,其可以基于在3GPP TS 23.402V14.2.0中定义的连接到EPC网络的受信WLAN接入或者其他公共WLAN接入进行操作。
以下将参考附图详细描述根据本公开的各个实施例。
图1示出了支持增强Wi-Fi呼叫连接(即MWC)的示例性网络架构。本领域技术人员应当理解,根据具体实现方式,支持MWC的网络架构可以包含其他更多的相关网络节点。以下将仅对可能与本公开相关的主要网络节点进行描述,其他未特别描述的网络节点、网络和/或连接与现有的网络节点、网络和/或连接的操作及功能相同,在此不再赘述。
如图1所示,UE通过MWLAN接入网络连接到EPC网络。在MWLAN接入网络(AN)中包括接入点(AP)、根据本公开实施例的接入网关(为便于描述,在下文中使用MWAG来表示该接入网关)以及安全网关(SEGW),例如ePDG。MWAG在对UE的接入鉴权和MWC授权过程中以及在PDN的建立过程中与AAA服务器交互。
根据本公开的一些实施例,安全网关SEGW可以被集成在MWAG中。出于描述而非限制性的目的,这种集成的模式在下文中被称为“组合模式”;并且这种被集成在MWAG中的SEGW在下文中被称为“集成SEGW”或“集成安全网关”。该“集成SEGW”或“集成安全网关”可以具有现有的ePDG的功能,并且还可选地包括如下功能:在IPsec隧道建立过程中支持轻隧道鉴权(下文将详细描述),以及支持从MWAG向PDN网关(P-GW)进行的接入网位置信息传输。
根据本公开的另一些实施例,安全网关SEGW也可以与MWAG分离地设置。出于描述而非限制性的目的,这种分离的模式在下文中被称为“独立模式”;并且这种与MWAG分离的SEGW被称为“独立SEGW”或“独立安全网关”,其例如可以是一个独立的ePDG。
以下将参考图2描述根据本公开实施例的、通过MWAG对用户进行接入鉴权和授权的过程以及PDN连接建立的过程。
图2所示的信令交互包含两个部分,第一部分涉及针对UE的接入鉴权和授权协商,第二部分涉及PDN连接的建立以及隧道鉴权。
当UE关联到MWLAN的AP时,接入鉴权和授权协商过程被用来对用户进行接入鉴权并且授权用户通过关联的MWLAN网络使用Wi-Fi通话业务和因特网业务。根据本公开的实施例,此处所讨论的“授权”还包括“MWC授权”。
在3GPP TS 29.273 V13.3.0的第4节和第5节、3GPP TS 33.402 V13.1.0的第6节以及3GPP TS 24.302 V14.2.0的第6.4节中描述了接入鉴权和授权的过程。在以下对图2的信令的描述中,没有特别提及和详细描述的(例如步骤0、1、2、3、6a、8、8a、9a中的)信令、属性或信息等已在标准中定义,在此出于简洁的目的,不再赘述。
下面参考图2对根据本公开实施例的接入鉴权和授权过程进行详细描述。
首先,在步骤0中,UE与接入网关联,建立连接。
然后,在步骤1中,MWAG向UE发送EAP请求/标识(EAP-REQ/Identity)消息。然后,在步骤2,UE向MWAG发送EAP响应/标识(EAP-RSP/Identity)消息,以此来验证用户的身份。
在步骤2a中,MWAG向AAA服务器指示其支持增强Wi-Fi呼叫连接MWC的能力。
例如,MWAG可以通过在向AAA服务器发送的鉴权和授权请求(Diameter-EAP-Request,DER)消息中包含一个新的属性值对(AVP)来向AAA服务器指示其支持MWC的能力。该新的属性值对例如可以被表示为“MWC-支持-模式(MWC-Support-Mode)”AVP。如果在上述请求消息中没有包含该AVP或者该AVP的值为“空(Null)”,那么就意味着MWAG不支持MWC。
作为一个示例,该“MWC-支持-模式”AVP可以具有Unsigned32类型并且包含比特掩码。这些比特的含义可以如表1中所定义的那样。
表1
然后,在步骤3,AAA服务器针对该UE从归属用户服务器(HSS)接收鉴权向量,用于对UE进行鉴权。
在步骤4中,MWAG从所述AAA服务器接收指示是否支持MWC的第一信息。该第一信息被包含在一个新的属性(下文中被称为第一属性)中。如果该第一信息指示支持MWC,则第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。
例如,MWAG可以从AAA服务器接收鉴权和授权应答(Diameter-EAP-Answer(DEA))消息,其中包含该第一属性来指示是否支持MWC。该第一属性例如可以被表示为“AT_MWC_支持(AT_MWC_Support)”。该属性可以根据RFC 3748中的规则进行定义。例如,该第一属性可以具有如下格式:
其中,“AT_MWC_支持”的值由因特网数字分配机构(IANA)来分配。例如,可以通过将“连接能力_MWC_支持”的八位位组中的0比特设置为1来指示支持MWC。进一步地,可以通过对“隧道_鉴权_类型”的八位位组中的0比特进行设置来指示是否支持完全隧道鉴权(FTA)(如在3GPP TS 33.402 V13.1.0中所定义的);同样可以通过对“隧道_鉴权_类型”的八位位组中的1比特进行设置来指示是否支持轻隧道鉴权(LTA)(将在下文详细描述)。
进一步地,在步骤4中,“AT_结果_IND(AT_RESULT_IND)”属性也可以被发送给MWAG并被转发到UE,例如被包含在鉴权和授权应答DEA消息中。
然后,在步骤4a中,MWAG向UE转发从AAA服务器接收到的各属性,例如将第一属性和AT_结果_IND属性包含在向UE发送的EAP-请求/AKA’-挑战(EAP-REQ/AKA'-Challenge)消息中。
在步骤5中,UE向MWAG发送针对AAA服务器的响应消息。该响应消息包括第二属性。该第二属性包括指示是否支持MWC的第三信息。如果该第三信息指示支持MWC,则第二属性可以进一步包括指示所支持的隧道鉴权类型的第四信息。在步骤5a中,MWAG将从UE接收的第二属性向AAA服务器转发。
例如,当UE接收到从MWAG转发的“AT_结果_IND”属性后,UE针对AAA服务器发送EAP响应消息EAP-RSP,在该EAP响应消息中包含“AT_MWC_支持”属性,如上所述。该“AT_MWC_支持”属性包含指示是否支持MWC的信息,并且如果支持,则该“AT_MWC_支持”属性还包括指示能够实施完全隧道鉴权(FTA)和轻隧道鉴权(LTA)中的哪个或哪些的信息。
MWAG然后可以将第二属性包括在鉴权和授权请求消息中而向AAA服务器发送。
响应于接收到来自MWAG的鉴权和授权请求,在步骤6中,AAA服务器从HSS提取授权信息和UE的用户简档,并且根据该授权信息确定是否向该UE授权了MWC,例如经由“接入-授权-标志(Access-Authorization-Flags)”AVP知道是否向用户授权了MWC。
在步骤7中,MWAG从所述AAA服务器接收第三属性和第四属性。该第三属性可以包括指示针对UE的最终MWC授权结果的第五信息,例如该第五信息可以指示向UE授权MWC成功,并且第四属性可以包括指示将被实施的隧道鉴权类型的第六信息。
然后,MWAG在步骤7a中向UE转发该第三属性和第四属性。
此外,可选地,AAA服务器还可以将标识给定安全网关的信息向MWAG发送,并由MWAG向UE转发该信息。
例如,MWAG可以调用EAP-请求/AKA’-通知对话(EAP-Request/AKA'-Notificationdialogue),在其中包含“AT_通知”属性和“AT_MWC_支持”属性,并且可选地还可以包括“AT_EPDG_ID”属性。“AT_通知”属性可以包括指示向UE授权MWC成功与否的信息;“AT_MWC_支持”属性可以包括指示支持MWC的信息以及指示将实施完全隧道鉴权还是轻隧道鉴权的信息;“AT_EPDG_ID”属性可以包含标识给定安全网关的信息,例如该安全网关的地址或域名等。然后,MWAG在向UE发送的EAP-请求/AKA’-通知(EAP-REQ/AKA’-notification)消息中包含“AT_通知”、“AT_MWC_支持”以及“AT_EPDG_ID”等属性。
具体而言,“AT_EPDG_ID”属性可以根据RFC 3748中的规则进行定义。例如,该属性可以具有如下格式,其中“AT_EPDG_ID”的值可以由IANA来分配。
具体地,“地址_类型”字段可以被编码为指示IPv4、IPv6或IPv4IPv6。如果“地址_类型”字段指示IPv4,那么ePDG IP地址将包含一个由八位位组5至八位位组8中的IPv4地址组成的IP地址;如果“地址_类型”字段指示IPv6,那么ePDG IP地址将包含一个由八位位组5至八位位组20中的IPv6地址组成的IP地址;如果“地址_类型”字段指示IPv4IPv6,那么ePDGIP地址将包含两个地址,一个是由八位位组5至八位位组8中的IPv4地址组成的IP地址,另一个是由八位位组9至八位位组24中的IPv6地址组成的IP地址。
AAA服务器提供给MWAG和UE的标识给定安全网关的信息(例如ePDG ID)可以是基于服务于UE的接入网的位置、更具体地基于接入点AP的位置而被确定的。
在组合模式下,给定安全网关SEGW被集成在MWAG中,由于MWAG固定服务其区域的若干个AP,因此MWAG的位置就体现了UE上线时AP的位置。因而,在组合模式下,AAA服务器不必将被集成的SEGW的标识信息提供给MWAG。但是,如果AAA服务器能够将该标识信息提供给MWAG,那么在UE发送因特网密钥交换协议(IKE)数据时就不需要再去寻求别的安全网关的地址,直接使用所提供的地址即可,从而提高接入效率。
在独立模式下,AAA服务器基于服务于UE的接入网的位置来为UE选择安全网关,例如ePDG。具体地,AAA服务器可以根据UE上线时AP的位置来选择ePDG,然后再将该ePDG地址告诉UE和MWAG。
AAA服务器如何基于接入网的位置来选择可用的ePDG是依赖于实现方式的。例如,AAA服务器可以使用接入网位置和ePDG ID之间的映射表来进行选择。
当选择了某个ePDG时,如果ePDG ID是完全合格域名(FQDN),那么AAA服务器可以解析该FQDN以获得IP地址。然后,利用该IP地址,AAA服务器可以负责测试该ePDG是否可到达。在此之后,AAA服务器可以将该ePDG ID返回给UE和MWAG。出于冗余性的考虑,AAA服务器也可以返回一个或多个从属ePDG ID信息。
现在继续参考图2的流程,在步骤8和8a中,UE在接收到来自AAA服务器的通知消息之后,对该通知消息做出响应,例如经由MWAG向AAA服务器发送EAP-响应/AKA’-通知(EAP-RSP/AKA’-notification)消息。
在步骤9中,AAA服务器可以向MWAG通知接入鉴权和授权是否成功、是否成功授权MWC、将使用何种隧道鉴权类型并且向MWAG发送会话密钥。
例如,AAA服务器可以通过DIAMETER消息向MWAG发送“接入_授权_标志(Access-Authorization-Flag)”AVP(如在3GPP TS29.273中所定义的)、“MWC_支持_模式”AVP、“MWC_主_会话_密钥(MWC_MSK)”AVP以及用户简档,其中“接入_授权_标志”和“MWC_MSK”AVP可以被包含在用户简档中也可以独立于用户简档。具体地,AAA服务器可以在“接入_授权_标志”AVP中定义一个新的比特,以指示MWC被授权给用户。在这种情况下,“MWC_支持_模式”AVP也会被包括,以指示将实施MWC,更具体地指示将实施组合模式MWC还是独立模式MWC。同时,“MWC_MSK”AVP也可以被包括,以提供主会话密钥用于以后的轻隧道鉴权。此外,如果“MWC_支持_模式”指示独立模式MWC,则“MIP6_代理_信息(MIP6_Agent_Info)”AVP也可以被包括以向MWAG提供ePDG ID。
例如,“MWC_MSK”AVP可以具有八位组字符串(OctetString)类型,其包含主会话密钥。AAA服务器可以使用该AVP在DEA消息中向MWAG提供主会话密钥用于UE和SEGW之间的轻隧道鉴权。主会话密钥可以是根据RFC 5448在EAP-AKA’鉴权情况下生成的扩展主会话密钥(EMSK)。
当MWC授权成功、将要实施MWC和轻隧道鉴权LTA时,给定安全网关将不再需要与AAA服务器进行交互,而是使用在上述过程中获得的用户简档和会话密钥来进行LTA。当MWC授权不成功、不实施MWC和/或LTA,即仅允许实施MWC及FTA或者仅实施MWC而不实施LTA时,在安全隧道建立过程中,给定安全网关需要与AAA服务器进行交互,AAA服务器会重新下发用户简档(之前的用户简档被忽略)和会话密钥,用于Wi-Fi呼叫建立和完全隧道鉴权。
此外,无论在步骤9中的消息的“接入_授权_标志”AVP中是否设置了NSWO,NSWO都会被启用。MWAG将打开网关,允许UE访问因特网。
至此,针对UE的接入鉴权和授权过程完成。
而后,在步骤10中,如果MWC被授权给用户并且MWAG工作在独立模式下,则MWAG可以将从UE接收到的数据包向给定安全网关转发。同时,MWAG也会将从给定安全网关接收的针对UE的数据包向该UE转发。
例如,MWAG将在IKE或IPsec ESP数据包上实施转向控制,允许被授权MWC的UE通过MWAG而连接到给定安全网关SEGW,例如ePDG。
具体而言,当MWAG工作在组合模式下时,MWAG可以操控从UE接收到的IKE数据包,使其被MWAG内部的集成SEGW处理。对于从该SEGW到UE的反向IKE数据包,MWAG在利用以太网报头对其进行封装之后向UE发送,该以太网报头包含UE的媒体接入控制(MAC)地址和MWAGMAC地址。
同样,MWAG对从UE接收的IPsec ESP数据包、以及从SEGW发往UE的反向IPsec ESP数据包进行类似的操控和处理,在此不再赘述。
当MWAG工作在独立模式下时,MWAG对IKE或IPsec数据包进行不同的操控,具体描述如下。
如果从UE接收的IKE数据包的目的地地址与在上述接入鉴权和授权过程中由AAA服务器返回的标识安全网关的信息(例如ePDG ID)所标识的给定安全网关的地址相同,则MWAG对接收的IKE数据包进行操控并将其转发到所标识的安全网关。
否则,如果所接收的IKE数据包的目的地地址与所标识的给定安全网关的地址不同,则MWAG要么直接丢弃所接收的数据包,要么在转发之前对所接收的数据包进行网络地址转换NAT。在执行NAT过程中,MWAG会记录所接收的IKE数据包的原始源端口和原始目的地IP地址,然后用新的源端口和新的目的地IP地址、即在上述接入鉴权和授权过程中由AAA服务器返回的标识安全网关的信息(例如ePDG ID)所标识的给定安全网关(例如ePDG)的源端口和IP地址来替代原始的源端口和IP地址。例如,当在MWAG中启用了NAT时,MWAG可以针对来自UE的所有IKE数据包执行NAT,甚至在原始目的地地址和给定安全网关的地址相同的情况下也是如此,也就是说针对原始源端口进行NAT。
对于从给定安全网关到UE的反向IKE数据包,MWAG操控由被授权了MWC的UE的目的地地址和给定安全网关的源地址所标识的数据包,在利用包含UE的MAC地址和MWAG MAC地址的以太网报头对IKE数据进行封装后将其向UE发送。MWAG将丢弃其他IKE数据。对于从给定安全网关接收到的IKE数据,如果在MWAG中没有启用NAT功能,则MWAG在利用包含UE MAC地址和MWAG MAC地址的以太网报头对该IKE数据进行封装后将其向UE发送;如果在MWAG中启用了NAT功能,则MWAG可以利用先前记录的源端口和目的地IP地址来替代所接收的IKE数据的目的地端口和源IP地址,然后在利用包含UE MAC地址和MWAG MAC地址的以太网报头对其进行封装后向UE发送。
同样,MWAG对从UE接收的IPsec ESP数据包、以及从分离的给定安全网关发往UE的反向IPsec ESP数据包进行类似的操控和处理,在此不再赘述。
返回图2,在图2的第二部分,也即步骤11中,描述了PDN连接建立以及隧道鉴权。
在针对MWC的PDN连接建立过程中,可以利用在3GPP TS 23.402的第7节中定义的、用于针对EPC网络的非受信WLAN接入的附着/PDN连接过程。通过使用IKEv2过程,在UE和安全网关SEGW之间建立IPsec隧道,然后通过使用诸如在3GPP TS 29.274中定义的GPRS隧道传输协议(GTP)来在安全网关SEGW和P-GW之间建立s2b连接。MWAG对IKE/IPsec数据包的操控允许UE通过MWAG与给定SEGW进行通信,不需要在MWAG和P-GW之间建立s2a连接。
在IPsec隧道建立过程中,需要执行隧道鉴权。上文已经提到两种隧道鉴权的类型:第一种是完全隧道鉴权FTA,第二种是轻隧道鉴权LTA,本领域技术人员应该明白,本文仅是为了便于描述而将第二种鉴权类型命名为轻隧道鉴权,该术语并不对此种鉴权类型的内容和含义进行任何限制。
完全隧道鉴权FTA在现有3GPP标准(例如,3GPP TS 33.402 V13.1.0)中已有详细定义,在此不再进行详细描述。需注意的是,在本文所讨论的上下文中,当UE支持MWC和FTA但不支持LTA或者UE根本不支持MWC时,UE将在与给定SEGW建立IPsec隧道的过程中朝向AAA服务器指示使用EAP方法来生成主会话密钥。在该情况下,需要在SEGW和AAA服务器之间使用SWm接口进行交互。
轻隧道鉴权与完全隧道鉴权不同。当UE和AAA服务器均支持MWC和LTA时,在与给定SEGW建立IPsec隧道的过程中UE将不会向AAA服务器指示使用EAP方法,从而使得轻隧道鉴权LTA得以实施。
图3示出了根据本公开的一个实施例的、在接入鉴权和MWC授权后利用LTA进行的隧道鉴权信令流图。
在上文所描述的根据本公开实施例的接入鉴权和授权之后,在UE和MWAG中都已准备好了主会话密钥。如图3所示,在IKE安全关联的初始阶段(IKE_SA_INIT),如果UE在朝向MWAG的第一个IKE_鉴权(IKE_AUTH)请求中包括鉴权(AUTH)净荷,这就意味着在IPsec隧道建立的过程中,UE将不使用EAP方法,而使用之前在接入鉴权过程中生成的主会话密钥进行隧道鉴权。
根据3GPP TS 33.402 V13.1.0中的第8.2.2节以及RFC 5996中对IKEv2的定义,MWAG中集成的给定SEGW将使用该主会话密钥来生成鉴权参数,以对IKE_SA_INIT阶段消息进行鉴权。相应地,UE将使用其主会话密钥作为输入来生成鉴权参数以对第一IKE_SA_INIT消息进行鉴权。
在LTA中,在该给定SEGW与AAA服务器之间没有交互。在先前接入鉴权和授权过程中返回的用户简档会被用于隧道鉴权以及整个PDN连接的建立。
图4示意性地给出了根据本公开实施例的MWC授权协商逻辑。该MWC授权协商逻辑在AAA服务器中完成,该协商过程在HSS对MWC授权的前提下在UE、MWAG和AAA服务器之间进行。如果HSS未对用户授权使用MWC,则MWC授权协商过程将停止,MWC将不会在任何一个网络节点处执行。
当在图2的第2a步骤中MWAG没有提供“MWC_支持_模式”AVP或者将该AVP的值设置为“空”,那么将不会发起MWC授权协商过程。
如果MWC被授权,但是由于UE的原因,不支持或不能完成MWC授权协商过程,那么AAA服务器可以授权MWAG在没有UE参与的情况下实施MWC。在这种情况下,在PDN连接建立过程中将只能实施完全隧道鉴权。
具体地,参考图2的流程,当AAA服务器从HSS获得授权信息和用户简档,并据此判断出MWC已被授权(图4中的框401所示),则AAA服务器便可根据UE、MWAG及其自身提供的能力信息来做出最终的判断,即是否实施MWC、实施何种模式的MWC以及待实施的隧道鉴权类型等。
如图4所示,框402示出了UE所提供的能力信息。上文参考图2描述了在步骤5和5a中UE通过第二属性(例如AT_MWC_支持)朝向AAA服务器提供其是否支持MWC以及所支持的隧道鉴权类型。具体而言,UE所提供的信息包括三种可能:支持MWC和LTA/FTA(图4中表示为MWC/LTA,省略FTA,因为支持LTA必然支持FTA);支持MWC和FTA,不支持LTA(图4中表示为MWC/FTA);或者不支持MWC(图4中表示为MWC/空)。
图4中的框403示出了AAA服务器自身所具有的能力信息,其也包括三种可能:支持MWC和LTA(默认支持FTA);支持MWC和FTA,不支持LTA;或者不支持MWC。
图4的框404示出了MWAG所提供的能力信息。上文参考图2描述了在步骤2a中MWAG向AAA服务器指示其支持MWC的能力。具体而言,MWAG所提供的能力信息包括三种可能:支持组合模式MWC;支持独立模式MWC;或者不支持MWC。
获得了这些能力信息之后,AAA服务器便可按照如下逻辑给出最终结果:
如果MWAG指示不支持MWC,则不能实施MWC;
否则,如果UE和AAA服务器均支持MWC和LTA并且MWAG指示组合模式MWC,那么支持或实施组合模式MWC和LTA,此种情况下默认地支持MWC和FTA;
否则,如果UE和AAA服务器均支持MWC和LTA并且MWAG指示独立模式MWC,那么支持或实施独立模式MWC和FTA;
否则,如果UE或AAA服务器仅支持MWC和FTA,那么支持或实施MWC和FTA;
否则,如果AAA服务器不支持MWC,那么将不支持或实施MWC;
否则,如果UE指示不支持MWC但AAA服务器支持MWC,那么MWAG和AAA服务器可以在没有UE参与的情况下支持或实施MWC和FTA。
在框405做出判断之后,在框406获得最终结果,其包括四种可能:支持或实施组合MWC和LTA;支持或实施组合MWC和FTA;支持或实施独立MWC和FTA;或者不支持或不实施MWC。
AAA服务器然后将在框407和框408中把MWC授权结果通知UE和MWAG,如在上述图2的步骤7和9中所做的那样。在框407,向UE通知结果时,如果结果是支持或实施MWC和LTA,那么还可以可选地发送标识安全网关的信息,例如ePDG ID;如果结果是支持或实施MWC和FTA,那么通常会发送标识安全网关的信息,例如ePDG ID。在框408,向MWAG通知结果时,如果结果是支持或实施组合模式MWC,那么还向MWAG发送会话密钥;如果结果是支持或实施独立模式MWC,那么还可以发送标识安全网关的信息,例如ePDG ID。
图5示出了根据本公开实施例的一种在接入网关中用于实现安全Wi-Fi通话的方法的流程图500。该接入网关例如可以是上述MWAG。
方法500开始于框510,其中接入网关针对用户设备进行接入鉴权。该用户设备例如可以是上述UE,该接入网例如可以是上述WLAN,也可以是其他接入网,例如某些固定接入网络。
根据本公开的一个实施例,在接入鉴权期间,接入网关可以向AAA服务器指示支持增强Wi-Fi呼叫连接(例如上述MWC)的能力,例如通过向AAA服务器发送上述“MWC_支持_模式”AVP。然后接入网关从AAA服务器接收包括指示是否支持增强Wi-Fi呼叫连接的第一信息的第一属性,并随后向用户设备转发该第一属性。该第一属性例如可以是图2的步骤4中所示的“AT_MWC_支持”属性。
根据本公开的另一实施例,如果该第一信息指示支持增强Wi-Fi呼叫连接,则该第一属性还可以包括指示所支持的隧道鉴权类型的第二信息。隧道鉴权类型例如可以至少包括完全隧道鉴权FTA和轻隧道鉴权LTA之一。
根据本公开的进一步实施例,接入网关还从用户设备接收针对AAA服务器的响应消息,该响应消息包括第二属性,该第二属性包括指示是否支持增强Wi-Fi呼叫连接的第三信息。如果第三信息指示支持增强Wi-Fi呼叫连接,则第二属性可以进一步包括指示所支持的隧道鉴权类型的第四信息。该第二属性例如可以是图2的步骤5中所示的“AT_MWC_支持”属性。
继续参考图5,在框520中,接入网关通过AAA服务器向用户设备授权增强Wi-Fi呼叫连接。
根据本公开的一个实施例,接入网关还从AAA服务器接收第三属性和第四属性,该第三属性可以包括指示向用户设备授权增强Wi-Fi呼叫连接成功的第五信息,并且该第四属性可以包括指示将被实施的隧道鉴权类型的第六信息,并且接入网关向用户设备转发该第三和第四属性。该第三属性例如可以是图2的步骤7中的“AT_通知”属性,该第四属性例如可以是图2的步骤9中的“MWC_支持_模式”属性。
根据本公开的进一步的实施例,接入网关还从AAA服务器接收标识给定安全网关的信息并向用户设备转发该信息,例如上述的AT_ePDG_ID属性。具体地,标识给定安全网关的信息可以基于服务于用户设备的接入点而被确定。
根据本公开的另一实施例,接入网关还可以从AAA服务器接收用于用户设备的会话密钥。该会话密钥可以用于轻隧道鉴权。该会话密钥例如在图2的步骤9中可以由AAA服务器发送的MWC-MSKAVP指示。
在图5的框530中,接入网关基于对增强Wi-Fi呼叫的授权,在用户设备与给定安全网关之间建立安全隧道,以实现用户设备的安全Wi-Fi通话。
根据本公开的一个实施例,该给定安全网关可以被集成在所述接入网关中。可替代地,该给定安全网关可以是与接入网关分离的演进分组数据网关,例如ePDG。
在给定网关是与接入网关分离的ePDG的实施例中,该接入网关可以将从用户设备接收到的数据包向该给定安全网关强制转发,并且该接入网关也可以将从给定安全网关接收的针对用户设备的数据包朝向用户设备转发,例如通过上述NAT转换功能。
图6示出了根据本公开实施例的一种在用户设备中用于实现安全Wi-Fi通话的方法的流程图600。该用户设备例如可以是上文参照图2描述的UE。
方法600开始于框610,其中用户设备与接入网关(例如上述MWAG)进行接入鉴权。
在该接入鉴权期间,用户设备响应于接收到来自AAA服务器的指示是否支持增强Wi-Fi呼叫连接(例如上述MWC)的信息,向接入网关提供指示是否支持增强Wi-Fi呼叫连接的信息(例如被包含在图2的步骤5中的“AT_MWC_支持”属性中)。如果用户设备能够支持增强Wi-Fi呼叫连接,则会进一步向接入网关提供指示所支持的隧道鉴权类型的信息(例如被包含在图2的步骤5中的“AT_MWC_支持”属性中)。
如上所述,该隧道鉴权类型至少可以包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
在框620中,用户设备从接入网关获得经由AAA服务器而向用户设备做出的增强Wi-Fi呼叫连接的授权。然后,基于该增强Wi-Fi呼叫连接的授权,在框630,用户设备与给定安全网关建立安全隧道,以实现安全Wi-Fi通话。
该用户设备的操作与上述参照图2所描述的相应方法步骤相同,出于简洁的目的,在此不再赘述。
图7示出了根据本公开实施例的一种在AAA服务器中用于实现安全Wi-Fi通话的方法的流程图700。该AAA服务器例如可以是上文参照图2描述的AAA服务器。
方法700开始于框710,其中AAA服务器针对与接入网关(例如上述MWAG)关联的用户设备进行接入鉴权。
在所述接入鉴权期间,AAA服务器从接入网关接收指示是否支持增强Wi-Fi呼叫连接的信息,然后向该接入网关提供包含指示是否支持增强Wi-Fi呼叫连接的第一信息的第一属性。如果该第一信息指示支持增强Wi-Fi呼叫连接,则该第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。
根据本公开的一个实施例,AAA服务器还接收来自用户设备的、包含指示是否支持增强Wi-Fi呼叫连接的第三信息的第二属性。如果该第三信息指示支持增强Wi-Fi呼叫连接,则该第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。具体地,隧道鉴权类型至少可以包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
在框720,AAA服务器向用户设备授权增强Wi-Fi呼叫连接。
在框730,基于对增强Wi-Fi呼叫连接的授权,AAA服务器促使在用户设备与给定安全网关之间建立安全隧道,以实现该用户设备的安全Wi-Fi通话。
根据本公开的一个实施例,AAA服务器可以基于所接收到的第一属性和第二属性来确定是否实施增强Wi-Fi呼叫连接以及将被实施的隧道鉴权类型。
根据本公开的另一实施例,给定安全网关可以被集成在所述接入网关中。在该实施例中,如果AAA服务器确定将要实施轻隧道鉴权LTA,则还将生成用于用户设备的会话密钥并将该会话密钥提供给接入网关。
根据本公开的又一实施例,给定安全网关可以与接入网关分离。
在一些实施例中,如果AAA服务器确定将要实施完全隧道鉴权FTA,则还会向接入网关提供标识给定安全网关的信息。
AAA服务器的操作与上述参照图2所描述的相应方法步骤相同,出于简洁的目的,在此不再赘述。
图8示出了根据本公开实施例的一种用于实现安全Wi-Fi通话的系统,该系统包括用户设备810、接入网关820和AAA服务器830。用户设备810、接入网关820和AAA服务器830可以实现为如图2所示的UE、MWAG和AAA服务器。
如图8所示,用户设备810包括处理器811、耦合到处理器811的存储器(MEM)812以及适当的RF发射机和接收机TX/RX 813。MEM 812存储程序(PROG)814。TX/RX 813可以用于经由接入点等与接入网关820的双向无线通信。
程序814包括程序指令,当该程序指令由相关联的处理器811执行时,使得用户设备810能够根据本公开的实施例来操作,例如根据图2以及图6中的方法600进行操作。本文的实施例可以通过用户设备810的处理器811可执行的计算机软件、或者通过硬件、或者通过软件和硬件的组合来实现。处理器811和MEM 812的组合可以形成适于实现本公开的各种实施例的处理装置815。
如图8所示,接入网关820包括处理器821、耦合到处理器821的存储器(MEM)822以及适当的发射机和接收机TX/RX 823。MEM 822存储程序(PROG)824。TX/RX 823可以用于经由接入点等与用户设备810的双向通信和与AAA服务器830的双向通信。
程序824包括程序指令,当该程序指令由相关联的处理器821执行时,使得接入网关820能够根据本公开的实施例来操作,例如根据图2以及图5中的方法500进行操作。本文的实施例可以通过接入网关820的处理器821可执行的计算机软件、或者通过硬件、或者通过软件和硬件的组合来实现。处理器821和MEM 822的组合可以形成适于实现本公开的各种实施例的处理装置825。
如图8所示,AAA服务器830包括处理器831、耦合到处理器831的存储器(MEM)832以及适当的发射机和接收机TX/RX 833。MEM 832存储程序(PROG)834。TX/RX 833可以用于与接入网关820和HSS进行双向通信。
程序834包括程序指令,当该程序指令由相关联的处理器831执行时,使得AAA服务器830能够根据本公开的实施例来操作,例如根据图2以及图7中的方法700进行操作。本文的实施例可以通过AAA服务器830的处理器831可执行的计算机软件、或者通过硬件、或者通过软件和硬件的组合来实现。处理器831和MEM 832的组合可以形成适于实现本公开的各种实施例的处理装置835。
MEM 812、822和832可以是适合于本地技术环境的任何类型,并且可以使用任何合适的数据存储技术来实现,作为非限制性示例,其可以是基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器和可移动存储器。虽然在用户设备810、接入网关820、AAA服务器830中的每一个中仅示出了一个MEM,但是其中可以存在若干物理上相分离的存储器模块。
处理器811、821和831可以是适合于本地技术环境的任何类型,并且作为非限制性示例,可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一个或多个。用户设备810、接入网关820、AAA服务器830的每一个可以具有多个处理器,诸如在时间上从属于与主处理器同步的时钟的专用集成电路芯片。
一般来说,本公开的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以以硬件实现,而其他方面可以由控制器、微处理器或其他计算设备可执行的固件或软件来实现。尽管本公开的实施例的各个方面被示出和描述为框图、流程图或使用一些其他图形表示,但是应当理解,作为非限制性示例,本文所描述的框、装置、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合来实现。
作为示例,本公开的实施例可以在机器/计算机可执行指令的一般上下文中描述,诸如包括在程序模块中的、在真实或虚拟目标处理器上执行的指令。一般来说,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。可以按照各种实施例的需要在程序模块之间组合或拆分程序模块的功能。用于程序模块的机器/计算机可执行指令可以在本地设备或分布式设备中执行。在分布式设备中,程序模块可以位于本地和远程存储介质中。
用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。这些程序代码可以被提供给通用计算机的处理器或控制器、专用计算机或其他可编程数据处理装置,使得当由处理器或控制器执行程序代码时,该程序代码使得在流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上执行、部分在机器上执行、作为独立软件包执行、部分在机器上执行部分在远程机器上执行,或者完全在远程机器或服务器上执行。
在本公开的上下文中,机器/计算机可读介质可以是可以包含或存储由指令执行系统、装置或设备使用或与其结合的程序的任何有形介质。机器/计算机可读介质可以是机器/计算机可读信号介质或机器/计算机可读存储介质。机器/计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置或设备、或前述的任何合适的组合。机器/计算机可读存储介质的更具体的示例将包括具有一个或多个线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或前述的任何合适的组合。
在本公开的上下文中,设备可以在由计算机系统执行的计算机系统可执行指令比如程序模块的一般上下文中实现。一般来说,程序模块可以包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。设备可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机系统存储介质中。
此外,虽然以特定顺序描绘操作,但是这不应被理解为要求这些操作以所示出的特定顺序或以顺序的次序执行,或者所有所示出的操作被执行以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。同样,虽然在上述讨论中包含若干具体实施细节,但是这些不应被解释为对本公开的范围的限制,而是解释为可能对特定实施例特定的特征的描述。在各个实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。反过来,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独地或以任何合适的子组合的方式来实现。
虽然以结构特征和/或方法动作专用的语言描述了本公开,但是应当理解,所附权利要求中限定的本公开不必局限于上述具体特征或动作。相反,上述具体特征和动作作为实现权利要求的示例形式而被公开。
Claims (30)
1.一种在接入网关中用于实现安全Wi-Fi通话的方法(500),所述方法包括:
针对用户设备进行接入鉴权(510);
通过验证、授权和记账AAA服务器向所述用户设备授权增强Wi-Fi呼叫连接(MWC)(520);以及
基于对所述增强Wi-Fi呼叫连接的授权,在所述用户设备与给定安全网关之间建立安全隧道,以实现所述用户设备的安全Wi-Fi通话(530);
在所述接入鉴权期间,进一步包括:
向所述AAA服务器指示支持所述增强Wi-Fi呼叫连接的能力;
从所述AAA服务器接收包括指示是否支持所述增强Wi-Fi呼叫连接的第一信息的第一属性;以及
向所述用户设备转发所述第一属性。
2.根据权利要求1所述的方法,其中
如果所述第一信息指示支持所述增强Wi-Fi呼叫连接,则所述第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。
3.根据权利要求2所述的方法,进一步包括:
从所述用户设备接收针对所述AAA服务器的响应消息,所述响应消息包括第二属性,所述第二属性包括指示是否支持所述增强Wi-Fi呼叫连接的第三信息;并且
如果所述第三信息指示支持所述增强Wi-Fi呼叫连接,则所述第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。
4.根据权利要求3所述的方法,进一步包括:
从所述AAA服务器接收指示向所述用户设备授权所述增强Wi-Fi呼叫连接成功的第五信息、以及指示将被实施的隧道鉴权类型的第六信息;并且
向所述用户设备转发所述第五和第六信息。
5.根据权利要求2或3中所述的方法,其中
所述隧道鉴权类型至少包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
6.根据权利要求1至4中任一项所述的方法,进一步包括:
从所述AAA服务器接收标识所述给定安全网关的信息并向所述用户设备转发所述信息。
7.根据权利要求6所述的方法,其中
标识所述给定安全网关的信息基于服务于所述用户设备的接入点位置而被确定。
8.根据权利要求1至4中任一项所述的方法,进一步包括:
从所述AAA服务器接收用于所述用户设备的会话密钥。
9.根据权利要求8所述的方法,其中
所述会话密钥用于轻隧道鉴权。
10.根据权利要求1至4中任一项所述的方法,其中
所述给定安全网关被集成在所述接入网关中。
11.根据权利要求1至4中任一项所述的方法,其中
所述给定安全网关与所述接入网关分离。
12.根据权利要求11所述的方法,其中
所述接入网关接收来自所述用户设备的数据包并向所述给定安全网关转发所述数据包;并且
所述接入网关接收来自所述给定安全网关的、针对所述用户设备的数据包并向所述用户设备转发所述数据包。
13.一种在用户设备中用于实现安全Wi-Fi通话的方法(600),所述方法包括:
与接入网关进行接入鉴权(610);
从所述接入网关获得经由验证、授权和记账AAA服务器而向所述用户设备做出的增强Wi-Fi呼叫连接的授权(620);以及
基于所述增强Wi-Fi呼叫连接的授权,与给定安全网关建立安全隧道,以实现安全Wi-Fi通话(630);
在所述接入鉴权期间,进一步包括:
响应于接收到来自所述AAA服务器的指示是否支持所述增强Wi-Fi呼叫连接的第一信息,向所述接入网关提供指示是否支持所述增强Wi-Fi呼叫连接的第二信息。
14.根据权利要求13所述的方法,其中
如果所述第二信息指示支持所述增强Wi-Fi呼叫连接,则所述方法进一步包括向所述接入网关提供指示所支持的隧道鉴权类型的第三信息。
15.根据权利要求14所述的方法,其中
所述隧道鉴权类型至少包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
16.一种在验证、授权和记账AAA服务器中用于实现安全Wi-Fi通话的方法(700),所述方法包括:
针对与接入网关关联的用户设备进行接入鉴权(710);
向所述用户设备授权增强Wi-Fi呼叫连接(720);以及
基于对所述增强Wi-Fi呼叫连接的授权,促使在所述用户设备与给定安全网关之间建立安全隧道,以实现所述用户设备的安全Wi-Fi通话(730);
在所述接入鉴权期间,进一步包括:
接收来自所述接入网关的指示是否支持所述增强Wi-Fi呼叫连接的信息;
向所述接入网关提供包含指示是否支持所述增强Wi-Fi呼叫连接的第一信息的第一属性;其中
如果所述第一信息指示支持所述增强Wi-Fi呼叫连接,则所述第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。
17.根据权利要求16所述的方法,进一步包括:
接收来自所述用户设备的包含指示是否支持所述增强Wi-Fi呼叫连接的第三信息的第二属性;其中
如果所述第三信息指示支持所述增强Wi-Fi呼叫连接,则所述第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。
18.根据权利要求17所述的方法,其中
所述隧道鉴权类型至少包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。
19.根据权利要求17或18所述的方法,进一步包括:
基于所述第一属性和所述第二属性,确定是否实施所述增强Wi-Fi呼叫连接以及将被实施的隧道鉴权类型。
20.根据权利要求16-18中任一项所述的方法,其中
所述给定安全网关被集成在所述接入网关中。
21.根据权利要求16-18中任一项所述的方法,其中
所述给定安全网关与所述接入网关分离。
22.根据权利要求20所述的方法,其中
如果确定将要实施轻隧道鉴权(LTA),则生成用于所述用户设备的会话密钥并将所述会话密钥提供给所述接入网关。
23.根据权利要求21所述的方法,其中
如果确定将要实施完全隧道鉴权(FTA),则向所述接入网关提供标识所述给定安全网关的信息。
24.一种接入网关(820),包括:
处理器;以及
存储器,所述存储器包含指令,所述指令当在所述处理器上被执行时使得所述接入网关执行根据权利要求1-12中任一项所述的方法。
25.一种用户设备(810),包括:
处理器;以及
存储器,所述存储器包含指令,所述指令当在所述处理器上被执行时使得所述用户设备执行根据权利要求13-15中任一项所述的方法。
26.一种验证、授权和记账AAA服务器(830),包括:
处理器;以及
存储器,所述存储器包含指令,所述指令当在所述处理器上被执行时使得所述AAA服务器执行根据权利要求16-23中任一项所述的方法。
27.一种用于实现安全Wi-Fi通话的系统,包括:
根据权利要求24所述的接入网关;
根据权利要求25所述的用户设备;以及
根据权利要求26所述的验证、授权和记账AAA服务器。
28.一种计算机可读存储介质,存储有计算机程序,该计算机程序包括指令,当该指令在处理器上执行时使得该处理器执行根据权利要求1-12中任一项所述的方法。
29.一种计算机可读存储介质,存储有计算机程序,该计算机程序包括指令,当该指令在处理器上执行时使得该处理器执行根据权利要求13-15中任一项所述的方法。
30.一种计算机可读介质,存储有计算机程序,该计算机程序包括指令,当该指令在处理器上执行时使得该处理器执行根据权利要求16-23中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710245282.5A CN108924832B (zh) | 2017-04-14 | 2017-04-14 | 用于安全Wi-Fi通话的方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710245282.5A CN108924832B (zh) | 2017-04-14 | 2017-04-14 | 用于安全Wi-Fi通话的方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108924832A CN108924832A (zh) | 2018-11-30 |
| CN108924832B true CN108924832B (zh) | 2023-02-21 |
Family
ID=64402641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710245282.5A Active CN108924832B (zh) | 2017-04-14 | 2017-04-14 | 用于安全Wi-Fi通话的方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108924832B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104435B (zh) * | 2018-10-12 | 2021-04-06 | 中国科学院上海高等研究院 | 一种实现数据按序传送的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8356171B2 (en) * | 2006-04-26 | 2013-01-15 | Cisco Technology, Inc. | System and method for implementing fast reauthentication |
| CN101296509B (zh) * | 2007-04-28 | 2012-12-12 | 华为技术有限公司 | 紧急通信业务实现方法、系统及其相关设备 |
| US9386615B2 (en) * | 2014-06-16 | 2016-07-05 | Verizon Patent And Licensing Inc. | Adaptive paging procedure for a call terminating via a wireless local area network |
| US10341300B2 (en) * | 2015-03-01 | 2019-07-02 | Cisco Technology, Inc. | System, method, apparatus and machine-readable media for enterprise wireless calling |
| EP3351049A4 (en) * | 2015-09-15 | 2019-04-03 | Telefonaktiebolaget LM Ericsson (publ) | METHOD FOR SECURE WIFI CALL CONNECTIVITY ON MANAGED PUBLIC WLAN ACCESS |
-
2017
- 2017-04-14 CN CN201710245282.5A patent/CN108924832B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108924832A (zh) | 2018-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10993161B2 (en) | Authenticating user equipments through relay user equipments | |
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| CN108029017B (zh) | 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法 | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| US20190380033A1 (en) | User Identity Privacy Protection in Public Wireless Local Access Network, WLAN, Access | |
| JP6628295B2 (ja) | 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート | |
| KR20210024654A (ko) | 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 | |
| US20180191493A1 (en) | Multiple pdn connections over untrusted wlan access | |
| US20060154645A1 (en) | Controlling network access | |
| US20170289883A1 (en) | Emergency services handover between untrusted wlan access and cellular access | |
| CN106105134A (zh) | 改进的端到端数据保护 | |
| US10299120B2 (en) | Methods and arrangements for identification of user equipments for authentication purposes | |
| CN108924832B (zh) | 用于安全Wi-Fi通话的方法、设备和系统 | |
| JP2020505845A (ja) | 緊急アクセス中のパラメータ交換のための方法およびデバイス | |
| Valmikam et al. | Extensible Authentication Protocol (EAP) Attributes for Wi-Fi Integration with the Evolved Packet Core | |
| WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |