CN109906625A - 无线局域网上的安全链路层连接的方法 - Google Patents

无线局域网上的安全链路层连接的方法 Download PDF

Info

Publication number
CN109906625A
CN109906625A CN201680090754.8A CN201680090754A CN109906625A CN 109906625 A CN109906625 A CN 109906625A CN 201680090754 A CN201680090754 A CN 201680090754A CN 109906625 A CN109906625 A CN 109906625A
Authority
CN
China
Prior art keywords
tls
etls
ethernet frame
type ethernet
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680090754.8A
Other languages
English (en)
Other versions
CN109906625B (zh
Inventor
巫长征
覃华伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN109906625A publication Critical patent/CN109906625A/zh
Application granted granted Critical
Publication of CN109906625B publication Critical patent/CN109906625B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本说明书提出一种方法和设备,其用于在两个端点(UE和WAG)之间建立以太网上传输层安全性TLS隧道,即,ETLS隧道,并传输在对于所有应用提议的TLS型以太网帧中封装和加密的UE业务,因此对于所有UE业务在公共无线局域网WLAN上提供安全层2连接性并克服公共WLAN上的传统HTTP登录机制的安全漏洞。UE利用可包括协商ETLS能力扩展的TLS握手协议,ETLS能力扩展包括用于建立分组数据连接的无线控制协议、和用于UE认证的隧穿认证协议以及用于对不同类型的以太网帧进行加密的全以太网保护。

Description

无线局域网上的安全链路层连接的方法
技术领域
本公开一般涉及公共无线局域网中的安全性。
背景技术
公共无线局域网WLAN接入通过接入点AP在诸如用户设备UE的装置和云中的WLAN接入网关WAG或软件定义网络SDN控制器/交换机之间提供点到点层2(P2P L2)链路。WAG位于公共WLAN中或位于运营商分组核心网络的边缘。装置/UE通过无线保真WiFi链路连接到AP,并且AP通常利用诸如虚拟局域网VLAN的以太网和桥接技术或诸如以太网上通用路由封装GRE的隧穿技术连接到WAG。因此,P2P连接是WiFi链路和AP-WAG以太网连接上的逻辑连接。AP通过在WiFi链路的数据链路层中的电气和电子工程师协会IEEE 802.11(媒体接入控制MAC)帧和朝向WAG或SDN控制器/交换机的以太网连接的数据链路层中(“导线上”)的IEEE802.3以太网帧之间的映射而通过P2P连接将从装置/UE接收的以太网帧传输到WAG/SDN控制器(或交换机)。在UE和TWAG之间的P2P L2链路上携带所有业务,包括例如动态主机控制协议DHCP消息、可扩展认证协议EAP消息、传送到UE/从UE传送的应用有效负载。
当通过P2P L2链路将来自装置/UE的所有业务传输到WAG/SDN控制器(或交换机)时,在将业务转发给互联网或企业网络或其它分组数据网络之前,WAG/SDN控制器(或交换机)可提供装置/UE业务的控制和管理,诸如服务链接和/或网络地址转换NAT。
在第三代合作伙伴计划3GPP技术规范TS 23.402中规定的可信WLAN(TWAN)接入包括通过P2P L2链路连接到UE并通过到运营商的演进型分组核心网络EPC中的分组数据网关PGW的公知3GPP S2a接口(层3 IP隧道)提供对运营商的演进型分组核心网络EPC的UE接入的WLAN AP和可信WLAN接入网关TWAG的合集。PGW提供对运营商的服务(例如,服务链接、内联网等)的接入以及对分组数据网络PDN的接入。当UE没有被授权连接到EPC资源或服务或者没有请求连接到EPC资源时,TWAG还可提供将UE业务直接本地卸载到互联网,在这种情况下,不存在为UE建立的PDN连接。
如图所指示,UE可经由通过P2P L2链路(UE-TWAG)和S2a接口(TWAG-PGW)建立的PDN连接而连接到运营商的EPC,或者可通过P2P L2链路从TWAG直接连接到互联网,而绕过EPC资源。3GPP TS 23.402规定了允许UE连接到EPC以及直接连接到互联网的三种接入连接模式。这三种接入连接模式由透明单连接模式TSCM、单连接模式SCM和多连接模式MCM组成。每种接入连接模式支持业务本地分汇(local break out)(又称为直接接入互联网或非无缝WLAN卸载NSWO)和/或通过PDN连接的EPC路由的业务。
在TSCM或SCM模式中,在UE和TWAG之间没有显式信令来通过S2a接口建立PDN连接。通过TWAG静态或动态地设立TWAG和PGW之间的S2a隧道,而无需来自UE的任何显式PDN连接信令。UE-TWAG P2P L2链路和S2a隧道之间的TWAN中的关联基于UE MAC地址。但是,在MCM中,利用UE和TWAG之间的专用信令协议(称为无线局部控制协议WLCP)来设立到EPC网络的一个或多个PDN连接。
为了支持通过通过TWAN中的P2P L2链路和S2a接口建立的PDN连接来接入EPC资源和服务,在3GPP TS 23.402中规定的UE和TWAN必须支持IEEE 802.1x认证。但是,广泛部署的许多公共WLAN接入网络并不遵守3GPP TS 23.402要求,并且并不利用IEEE 802.1x认证。实际上,在大多数公共WLAN接入中,一旦UE尝试接入互联网,就执行接入认证。取代允许用户业务进入到互联网,而是将它重新引导到门户网站,门户网站经由用户/密码登录机制来认证用户。利用标准安全超文本传输协议HTTPS连接来执行向门户网站认证,HTTPS连接是在互联网工程任务组IETF请求评议RFC 5246中规定的传输层安全性TLS上的HTTP协议。TLS协议使得装置/UE能够基于服务器证书认证TLS服务器(在门户网站中)并交换密码参数,密码参数将使得能够对与门户网站交换的HTTP有效负载进行加密。利用HTTPS连接,通过TLS协议在TCP/IP层对由用户通过P2P链路发送的登录数据(用户名和密码)进行加密,并且因此保护登录数据免于被窃取。一旦登录过程已经完成,通过P2P L2链路将IP业务从UE携带到互联网的所有以太网帧便将暴露于安全攻击,因为在公共WLAN中不存在链路层加密,并且可通过应用来提供任何加密(例如,如果UE通过公共WLAN经由HTTPS接入安全网站的话)。因此,许多用户在无心地接入不安全的网站时冒着它们的个人信息或数字身份的安全性的风险,因为用户的WiFi连接可能会被恶意用户抢夺。TWAN上的所有UE业务的这种缺乏地毯式保护可导致实质性的金钱损失或身份盗用。另外,尽管IEEE 802.1x规定了在无线链路上保护通信安全的机制,但是它在公共WLAN中并未广泛使用。
发明内容
本发明的目的是消除或缓解现有技术的至少一个缺点,并在用户开始向/从互联网或向/从运营商的分组核心网络发送和接收任何有效负载之前通过公共无线局域网WLAN提供安全点到点P2P L2链路。通过传输层安全性TLS提供安全P2P L2连接性,TLS在以太网上本地运行,并且其中在提出的TLS型以太网帧中加密和传输与信令和数据有关的有效负载。在TLS型以太网帧中加密的数据可以是本地IP有效负载或其它不同的以太网帧。通过TLS型以太网加密的信令包括TLS握手完成、警告、心跳,并且可包括在TLS协议的TLS握手阶段期间协商的隧穿认证协议以及用于建立和释放到运营商的分组核心网络的分组数据连接PDN的无线局部控制协议WLCP。
公开描述了与通过P2P L2链路建立和管理TLS隧道以便在公共WLAN上提供加密的链路层有关的用户设备UE、设备和在UE处执行的方法的实施例。本文中将P2P L2链路上的TLS隧道称为安全ETLS或ETLS。在一个实施例中,公开一种用于在WLAN上建立安全链路的方法,其中在用户设备UE处执行该方法,该方法包括以下步骤:通过链路层连接发送携带TLS客户端呼叫消息的TLS型以太网帧以便在UE和TLS型以太网帧的接收器之间建立安全以太网上TLS隧道(ETLS),其中接收器优选是无线接入网关。可通过从接收器接收到携带服务器呼叫请求消息的TLS型以太网帧或从UE的较上协议层接收到即将通过P2P L2链路发送的数据(诸如DHCP协议消息)来触发客户端呼叫消息。在UE从接收器获得封装在TLS型以太网帧中的TLS服务器呼叫消息之后,UE根据封装在TLS型以太网帧中的TLS握手消息在UE和接收器之间建立安全ETLS,并且其中TLS握手消息基于规定的TLS协议。一旦建立了安全ETLS(在本说明书中简称为ETLS),UE便执行在安全ETLS上遂穿选择的数据业务和信令的步骤,其中在数据TLS型以太网帧中加密和封装选择的数据业务。数据TLS型以太网帧是携带加密的有效负载的TLS型以太网帧。由于只存在在ETLS建立的初始交换中使用的未加密的几个TLS握手消息并且在TLS型以太网帧中加密发送剩余业务数据/信令,所以本说明书又将把数据TLS型以太网帧称为携带加密的有效负载的TLS型以太网帧。选择的数据业务和信令可以是在TLS型以太网帧中本地并加密传输的所有IP业务。备选地,在TLS型以太网帧内加密的选择的数据业务和信令可对应于与TLS型以太网帧不同的其它以太网帧。
在一个实施例中,该方法还包括UE和接收器协商ETLS能力扩展,并且其中ETLS能力扩展指示封装在TLS型以太网帧内的一种或多种类型的选择的数据业务。在一个实施例中,ETLS能力扩展指示在TLS型以太网帧内封装不同类型的一个或多个以太网帧。在另一个实施例中,ETLS能力扩展还指示支持隧穿认证协议以便认证UE在建立的安全ETLS上接入分组核心网络。
在一个实施例中,在ETLS上隧穿的认证协议对应于扩展型认证协议EAP。在另一个实施例中,ETLS能力扩展还指示支持在建立的安全ETLS上隧穿WLAN接入控制协议WLCP,并且其中利用WLCP来管理通过UE在建立的安全ETLS上建立和释放到分组核心网络的分组数据连接。
在一个实施例中,WLCP的启动以根据认证协议认证UE接入分组核心网络的成功结果为条件。
在一个实施例中,该方法还包括UE发送TLS警告消息以便指示通过UE释放安全ETLS。在另一个实施例中,该方法还包括通过UE从接收器(WAG)接收TLS警告消息以便指示UE的接入认证失败,并且在一个实施例中,在UE中的方法还包括通过UE发送TLS警告消息以便指示UE从分组核心网络分离。TLS警告消息可包括合适的原因值。
一些实施例描述一种装置(即,UE),其中该装置包括处理器和存储器,其中存储器包含可由处理器执行的指令,由此装置可进行操作以便通过链路层连接发送携带TLS客户端呼叫消息的TLS型以太网帧,从而在装置和TLS型以太网帧的接收器(例如,WAG)之间建立安全ETLS。当装置从接收器接收到封装在TLS型以太网帧中的TLS服务器呼叫消息时,装置根据封装在TLS型以太网帧中的TLS握手消息在装置和接收器之间建立安全ETLS。一旦建立安全ETLS,装置便在安全ETLS上隧穿选择的数据业务,其中在TLS型以太网帧中加密和封装选择的数据业务。
附图说明
现在将参考附图仅仅作为举例来描述本发明的实施例,其中:
图1示出根据实施例在以太网上在作为启动在以太网上建立TLS隧道的发送器的UE100和作为接收器的WAG 102之间设立TLS隧道的高级序列图。
图2示出根据实施例在AP上在作为发送器和接收器的UE和WAG处的协议堆栈体系结构。
图3示出根据实施例的TLS协议扩展。
图4a和4b示出根据两个实施例的两种TLS型以太网帧格式。
图5示出根据实施例利用ETLS将业务本地卸载到互联网。
图6示出根据实施例利用ETLS的业务的演进型分组核心EPC路由。
图7示出根据实施例利用TLS型以太网帧来建立ETLS的方法。
图8示出根据实施例的诸如UE的装置的示意性图示。
图9示出根据另一个实施例的诸如UE的装置的示意性图示。
具体实施方式
首字母缩略词和定义
本公开通篇中使用以下首字母缩略词和定义。
WiFi L2链路:UE和AP之间的链路,并且对应于IEEE 802.11数据链路层。
以太网链路:AP和WAG之间的链路,并且对应于IEEE 802.3数据链路层。
P2P L2链路:WiFi L2链路和以太网链路在AP处的连结,它将UE连接到WAG,其中AP在IEEE 802.3以太网帧和IEEE 802.11帧之间提供映射。P2P L2链路传输通过WiFi L2链路由MAC层封装并且在通过以太网链路传送时由VLAN或GRE帧封装的TLS型以太网帧。
ETLS:以太网上的TLS隧道或连接,并且对应于通过P2P L2链路在UE和WAG之间建立的TLS隧道。当在UE和WAG之间传送时,通过与链路层相关联的TLS记录子层对数据加密,并将数据封装在TLS型以太网帧中,从而在公共WLAN上对数据提供层2加密。在本说明书中,可互换地利用ETLS、ETLS连接、ETLS隧道来表示同一事物。
ETLS会话:维持与ETLS相关联的会话参数的持续时间,其中会话参数包括ETLS的会话ID以及用于在ETLS上对数据进行加密的密码信息。即使释放ETLS,仍可维持ETLS会话。可利用存储在ETLS会话中的密码信息来快速地重新建立ETLS。
现在将参考附图描述本发明的各种特征。下文结合示例性实施例和示例来更详细地描述这些各种方面以便于理解本发明,但是不应将它们理解为局限于这些实施例。而是,提供这些实施例是为了使得本公开将充分且完整,并将向本领域技术人员全面传达本发明的范围。
依据即将通过能够执行程序化指令的计算机系统或其它硬件的元件来执行的动作或功能的序列来描述本发明的许多方面。将意识到,可通过专门化电路、通过由一个或多个处理器执行的程序指令、或通过两者的组合来执行各种动作。此外,可另外考虑在包含将使得处理器进行本文中描述的技术的计算机指令的合适集合的任何形式的计算机可读载体或载波内完全实施本发明。
图1示出根据实施例用于通过P2P L2链路在作为启动ETLS的建立的发送器的UE100和作为ETLS的接收器端点的WAG 102之间设立TLS隧道(在本文中称为以太网上TLS,即ETLS)的高级序列图。还将描述其中WAG 102是启动与UE 100建立ETLS的发送器的其它实施例。在图1中示出的实施例中所使用的隧穿协议基于在互联网工程任务组IETF请求评议RFC5246中规定的传输层安全性TLS。
TLS是在互联网中广泛用于在两个通信计算机应用之间提供隐私和数据完整性的客户端-服务器协议。它在诸如web浏览、电子邮件等的应用中广泛使用。对应于TLS上的HTTP的HTTPS广泛用于在公共WLAN上提供安全登录机制(例如,在机场、咖啡厅、酒店等中的WLAN登录)。但是,一旦登录过程完成,便不再利用用于登录的HTTPS会话来对在公共WLAN上传送的互联网业务进行加密。如果用户尝试通过公共WLAN来接入互联网中的安全网站,那么将建立该应用的另一个TLS会话和连接以便保护对应的应用业务。这与在图1的实施例中建立的TLS连接/隧道不同,在图1的实施例中,在链路层(即,以太网)上建立TLS隧道/连接以便对UE 100和WAG 102之间的所有业务进行加密,而不管在供UE 100使用的应用层中的应用客户端的类型如何。
TLS协议由两个层组成:TLS记录协议和TLS握手协议。TLS记录协议用于封装各种较高级协议。记录协议取得即将传送的消息,将数据分割成可管理的块,可选地压缩数据,运用消息认证码来认证消息,加密并传送结果。对接收的数据进行解密、验证、解压缩、重新组合,并接着将它接送给更高级客户端。IETF RFC 5246中规定了利用记录协议的四个协议:握手协议,警告协议,改变密码规范协议,以及应用数据协议。利用记录协议的额外TLS协议是在IETF RFC 6520中规定的心跳协议。为了允许扩展TLS协议,可通过记录协议来支持额外的记录内容类型。当前,已知有以下记录内容类型:
-20 change_cipher_spec(改变密码规范)
-21 alert(警告)
-22 handshake(握手)
-23 application data(应用数据)
-24 Heartbeat(心跳)
本说明书描述隧穿认证协议和无线局部控制协议WLCP的额外记录内容类型的实施例。
在应用协议(例如,HTTP)传送或接收它的第一个数据字节之前,TLS服务器和TLS客户端利用握手协议来认证彼此并协商加密算法和密码密钥。一旦TLS握手完成,便建立TLS隧道/连接,并在TLS客户端和TLS服务器两者中创建和维持由唯一会话标识符标识的对应TLS会话。可通过协商的密码密钥来加密传送应用数据。当TLS隧道/连接关闭时,可释放或维持TLS会话。TLS客户端可在TLS隧道/连接设立期间重新创建新的TLS会话或重新开始现有TLS会话。
在RFC 5246中规定的TLS需要可靠的传输通道,通常在每个应用上建立TCP和TLS。当应用需要UDP作为传输协议时,取代TLS,利用在IETF RFC 6347中规定的数据报TLS(DTLS)。图1中的实施例描述了在层2等级建立TLS连接/会话/隧道以便在成功完成握手协议之后对UE 100和WAG 102之间的所有业务提供链路层加密。在P2P L2连接上对数据提供的TLS加密独立于可供较上层协议(例如,HTTPS数据)使用的任何其它TLS加密。另外,图1的实施例中的TLS协议并不利用TCP或UDP作为传输,而是在以太网上本地携带协议。
利用包括UE 100、AP 101和WAG 102的简化的公共WLAN来示出图1中的实施例。UE100可以是智能电话、平板、相机、Xbox等,换句话说,它可以是除了诸如LTE或5G的可能的其它蜂窝接口之外还支持WiFi接口(例如,IEEE 802.11接口)的任何用户装置或消费型装置。上文提到的任何装置将在本文中称为UE 100。UE 100在公共WLAN上利用WiFi接口连接以便接入互联网和/或用户的运营商分组核心网络和服务。在本说明书中描述的实施例中,如果WAG 102(充当TLS服务器)需要TLS客户端认证,那么在接入公共WLAN之前,UE 100可获得证书,或者可为UE 100配置证书。证书可以是国际电报联盟ITU X.509公共密钥证书或由可信实体提供的其它证书。
AP 101提供WiFi L2链路和以太网链路的连结以便在UE 100和WAG 102之间形成P2P L2链路。AP 101是在WiFi L2链路的数据链路层上从UE 100接收IEEE 802.11 MAC帧并在朝向WAG 102的以太网链路的数据链路层上将它们映射到IEEE 802.3以太网帧的AP。另外,AP 101利用诸如VLAN的桥接技术或诸如GRE上以太网的隧道技术来封装802.11帧的数据单元或有效负载,然后再在802.3以太网链路上将它们发送给WAG 102。同样地,检索在VLAN或GRE等内从WAG 102接收的数据单元并在802.11帧中将它们发送给UE 100。
图1的实施例中的AP 101从UE 100作为802.11 MAC帧中的数据单元接收TLS型以太网帧。802.11 MAC帧的以太网类型字段可指示存在TLS型以太网帧作为数据单元。作为一个实施例,802.11 MAC帧的以太网类型字段可指示“以太网上TLS”或“ETLS”作为新值。AP101从802.11 MAC帧检索数据单元(即,TLS型以太网帧),并封装在VLAN帧或GRE帧中,并通过802.3以太网链路将它发送给WAG 102。当利用VLAN作为AP 101和WAG 102之间的桥接技术时,VLAN报头将改为指示“ETLS”以便将有效负载或数据单元的类型标识为是携带TLS业务的TLS型以太网帧。将TLS型以太网帧作为数据单元进行处置,并且它的内容对于AP 101透明,除非WAG 102在功能上与AP 101共置,从而终止TLS隧道/连接。
WAG 102是WLAN接入网关,它可在公共WLAN中或在运营商的分组核心(例如,EPC)的边缘。WAG 102通过P2P L2链路从AP 101接收用户数据,并且要么将数据直接转发给NSWO配置中的互联网,从而绕过任何运营商的分组核心网络资源,要么如果UE 100支持并请求分组核心网络路由,那么通过S2a接口朝向运营商的分组核心网络中的网关(例如,PGW)隧穿数据。WAG 102可以是在3GPP TS 23.402中规定的TWAG,或者可以是为WLAN用户提供对互联网的直接接入或对运营商的分组核心资源和服务的接入的任何接入网关。WAG功能性也可分布在云环境中的SDN控制器/交换机之间。在本说明书中,利用WAG 102来描述本发明的实施例。在图1中描述的实施例中,WAG 102终止通过P2P L2链路与UE 100的TLS连接,检索来自UE 100的封装/加密的数据或信令以便进行进一步处理,并将封装/加密的数据/信令传送给UE 100。
另外,在本说明书中,利用EPC作为运营商的分组核心来描述实施例。但是,将了解,可利用任何运营商的分组核心网络,包括但不限于5G核心网络、通用分组无线电服务GPRS网络、虚拟化分布式分组核心和/或SDN定义的核心网络。在任何环境中,分组核心网络提供支持到WAG 102的S2a接口(或类似接口)的网关功能(在EPC情况下为PGW),以便提供对运营商的资源和服务的接入。那些服务的示例包括但不限于IP地址指派、服务链接、接入PDN、内联网、互联网协议多媒体子系统服务IMS等。
图1示出如何在通过P2P L2链路传送任何数据或其它信令之前通过AP 101直接通过P2P L2链路在UE 100和WAG 102之间设立TLS隧道/连接(本文中称为ETLS)。用于在图1的实施例中设立ETLS的TLS握手协议基于IETF RFC 5246的握手消息。在图1的实施例中,通过充当TLS客户端的UE 100利用与WAG 102的TLS握手交换来启动ETLS隧道设立。UE 100通过在步骤120发送TLS客户端呼叫消息(或第一TLS呼叫消息)来启动ETLS设立。TLS客户端呼叫消息列出诸如TLS版本的密码信息以及按照客户端的偏好顺序的由UE 100支持的CipherSuites(密码套件),并且可包括由UE 100中的TLS客户端支持的数据压缩方法。在以内容类型“握手”标识的TLS型以太网帧内并通过WiFi L2链路未加密地发送TLS客户端呼叫消息。可通过在UE 100中从较上协议层接收的数据(诸如即将发送给WAG 102的DHCP消息)来触发TLS客户端呼叫。此外,TLS客户端呼叫消息可包括可选扩展以使得UE 100能够与WAG102协商ETLS能力。ETLS能力指示用建立的TLS加密密钥加密以用于通过ETLS隧道的传送的业务的类型。协商的ETLS能力包括:
- 全以太网保护
- TLS隧穿认证支持
- 无线局部控制协议WLCP支持
全以太网保护:指示将在RFC IETF 5246中规定的TLS application_data子层中封装UE 100和WAG 102之间的所有有效负载。默认地,TLS型以太网帧可取代现有IP型以太网帧,并且IP型以太网帧的较上IP有效负载改为封装在TLS中并且包含在TLS型以太网帧中,然后通过P2P L2链路传送。另外,全以太网保护可包括将除了IP型以太网帧之外的所有其它以太网帧封装在TLS中(因此加密)。通过UE 100将对应的以太网类型(2个字节)添加到TLS帧中(跟在TLS报头之后),以使得WAG 102可恢复原始以太网帧。图4示出TLS型以太网帧的两个实施例。
TLS遂穿认证:指示利用遂穿认证。当在ETLS设立期间还没有为客户端(UE)颁发证书并且因此还没有执行客户端证书认证时(在这种情况下,在TLS握手期间只已经执行TLS客户端对TLS服务器的单向认证),可利用该能力。如果协商了遂穿认证以作为ETLS能力扩展的部分,那么在建立的ETLS上执行提供UE或相互认证的遂穿认证过程,其中作为TLS型以太网帧中的加密有效负载发送遂穿认证消息。定义新的TLS内容类型以便标识加密的TLS有效负载对应于遂穿认证,从而使得WAG 102能够快速地标识内容并向AAA服务器103认证UE100,如图6所示。AAA服务器103将把认证和授权的结果提供给WAG 102,WAG 102接着将结果传送给UE 100。UE 100另外接收指示是否允许UE 100连接到运营商的EPC和/或是否允许UE100如同在3GPP 23.402中规定的非无缝WLAN卸载NSWO连接中一样在本地连接到互联网的授权IP连接性。利用NSWO连接性,UE 100通过WAG 102直接连接到互联网,以便绕过EPC资源和服务。
当UE 100在客户端呼叫消息中的ETLS能力扩展中包括隧穿认证时,扩展还可包括得到UE 100支持的优选认证协议和方法的列表。WAG 102可在包含在服务器呼叫消息中的ETLS能力扩展中指示选择的隧道认证协议和方法。遂穿认证协议和方法的示例包括但不限于例如遂穿EAP-AKA’,其中在IETF RFC 5448中规定了EAP-AKA’。备选地,在ETLS建立之后,可通过利用与在IETF RFC 5281中规定的EAP遂穿TLS中描述的加密属性值对AVP类似的AVP来在UE 100和WAG 102之间遂穿认证信息。
WLCP支持:指示是否应当在建立的ETLS上执行在3GPP TS 24.244中规定的WLCP过程以便在UE 100和EPC中的PGW 104之间建立和释放一个或多个PDN连接,如图6所示。ETLS上的WLCP过程是以成功UE认证为条件的,成功UE认证可通过在ETLS上成功执行在握手协议期间协商的遂穿认证或是否在握手阶段期间成功执行客户端证书认证以及运营商的EPC网络是否认为它足够来提供。定义新的TLS内容类型以便将WLCP信令标识为是TLS型以太网帧中的加密有效负载。TLS型以太网帧中的WLCP消息的清晰标识将使得WAG 102和UE 100能够快速地标识WLCP信令,处理信令消息,并对WLCP信令消息作出响应。一旦建立PDN连接,便通过TLS记录层对通过PDN连接传输的用户数据进行加密。TLS型以太网帧可将通过PDN连接传输的加密有效负载标识为是TLS报头中的application_data内容类型。注意,不同于在3GPPTS 24.244中规定的要求UDP/IP协议的WLCP,在不要求实例化IP/UDP协议的层2 TLS型以太网帧中本地地传输并加密在ETLS上支持的WLCP。
图1中的AP 101通过WiFi L2链路接收包含TLS型以太网帧的802.11 MAC帧,TLS型以太网帧包含TLS客户端呼叫消息。AP 101将TLS型以太网帧重新封装在VLAN帧或GRE帧中,并在步骤121通过以太网链路将它发送给WAG 102。如之前所指示,AP 101对于TLS型以太网帧内容的内容是透明的,并且不对它进行处理。当WAG 102接收到TLS客户端呼叫消息时,WAG 102充当TLS服务器,并在步骤122以TLS服务器呼叫消息(又称为接收器TLS呼叫消息)对UE 100作出响应。TLS服务器呼叫消息包括由服务器从由TLS客户端在步骤120提供的列表中选择的CipherSuite、会话ID。WAG 102还发送它的数字证书。如果服务器需要数字证书来进行客户端认证,那么服务器发送包括支持的证书的类型和可接受的证书颁发机构(CA)的区别名称的列表的“客户端证书请求”。如果步骤120中的TLS客户端呼叫消息包括指示上文描述的一个或多个能力的ETLS能力,那么WAG 102将在TLS服务器呼叫消息中包括对于ETLS支持和选择的ETLS能力。在具有内容类型“握手”的TLS型以太网帧中封装但不加密TLS服务器呼叫消息,并在P2P L2链路上通过将WAG 102连接到AP 101的以太网链路利用GRE或VLAN封装等将它传送给UE 100。AP 101通过以太网链路接收包含TLS服务器呼叫消息的TLS型以太网帧。AP 101将TLS型以太网帧重新封装在802.11帧中,并在步骤123通过WiFi L2链路将它发送给UE 100。
如图所指示,由WAG 102发送给UE 100的服务器呼叫消息可包括由UE 100在客户端呼叫消息中提出的ETLS能力中指示选择的ETLS能力的一个或多个ETLS能力。备选地,WAG102可包括可并未由UE 100包含在客户端呼叫消息中的一个或多个ETLS能力。如果WAG运营商想要在运行中控制UE连接性并且运营商知道UE能力,那么这可被利用。例如,如果客户端呼叫不包括遂穿认证ETLS能力,那么WAG可在服务器呼叫中包括遂穿认证ETLS能力以便向UE 100指示它应当经由遂穿认证向网络进行认证。ETLS能力扩展可包括所有支持的隧道认证协议或方法。如果UE 100未能通过认证,那么WAG可断开ETLS。备选地,如果UE 100没有在客户端呼叫中协商WLCP能力,那么WAG 102可在服务器呼叫中包括WLCP能力以便请求UE100连接到EPC网络并将UE业务推动到EPC网络。
在图1中交换TLS客户端呼叫和服务器呼叫消息之后,UE 100验证WAG 102证书并检查密码参数,并且在步骤124,UE 100可发送包含以服务器公共密钥加密的密钥信息的客户端密钥交换消息。如果WAG 102已经请求了客户端证书,那么客户端发送以TLS客户端的私有密钥加密的随机字节串以及TLS客户端的数字证书,或者如果没有为UE 100配置证书或者UE 100无法获得证书,那么客户端发送“无数字证书警告”。还通过P2P L2链路在TLS型以太网帧中发送客户端密钥交换消息。AP 101执行类似的映射操作,并在步骤125将包含客户端密钥交换消息的TLS型以太网帧发送给WAG 102。在步骤126,WAG 102验证接收的客户端证书,如果之前在步骤122中请求了的话。如果接收到“无数字证书警告”,那么如果UE100在步骤120中在客户端呼叫消息中的ETLS能力扩展中指示支持遂穿认证,则WAG 102可继续建立TLS连接。备选地,WAG 102仍可在没有客户端认证的情况下允许UE 100设立TLS连接,或者如果WAG 102配置成中止ETLS设立过程,那么它可通过P2P L2链路朝向UE 100发送封装的TLS警告消息以便指示ETLS设立失败。
在步骤127,UE 100发送包含用秘密密钥加密的客户端“完成”消息的TLS型以太网帧,由此指示握手的客户端部分或UE 100完成。在步骤128,AP 101提取包含加密的客户端完成消息的TLS型以太网帧并通过802.3接口将它转发给WAG 102。在步骤129,WAG 102向UE100发送用秘密密钥加密的服务器“完成”消息,由此指示握手的WAG 102部分完成。将加密的服务器“完成”消息封装在TLS型以太网帧中,并通过以太网链路在VALN或GRE上将它发送给AP 101。在步骤131,AP 101提取TLS型以太网型帧,并通过WiFi L2链路将它发送给UE100。现在建立了ETLS。在通过P2P L2链路建立的TLS会话的持续时间(即,在ETLS的持续时间),UE 100和WAG 102可交换在数据TLS型以太网帧(即,具有加密的有效负载的TLS型以太网帧)中以共享秘密密钥对称加密的消息和数据。除了在ETLS上加密发送的TLS信令(例如,警告、心跳)之外,可通过如上文所解释的ETLS能力(即,隧道认证和WLCP)来协商在ETLS上加密的信令和数据的类型。对于ETLS内的数据封装,通过TLS本地加密所有IP业务并将它们作为TLS内容进行传输,或者如果协商了全以太网保护,那么它可将不同于TLS型帧的其它以太网帧加密为TLS帧的内容。在缺少ETLS能力协商的情况下,默认行为是在ETLS内封装所有IP有效负载,即,之前在IP型以太网帧中传输的有效负载。
在备选实施例中,可通过WAG 102取代UE 100启动ETLS设立。WAG 102可通过发送携带TLS握手呼叫请求消息的TLS型以太网帧来触发ETLS设立。一旦ETLS使能的UE 100从WAG 102接收到包含呼叫请求的该TLS型以太网帧,它便可通过发送携带TLS客户端呼叫消息的TLS型以太网帧来立即以WAG 102启动ETLS设立,并且图1中描述的所有步骤均适用。备选地,如果WAG 102不知道新UE 100是否已经与AP 101相关联,那么WAG 102可一直等待,直到它对于UE 100的新MAC地址从AP 101接收到普通以太网帧为止,然后它再向UE 100发送封装在TLS型以太网帧中的呼叫请求消息以便请求建立ETLS。只有能够对封装在TLS型帧中的呼叫请求进行分析和提取的UE才将以TLS客户端呼叫作出响应以便建立ETLS。如果UE100不理解TLS型帧并且不能分析该帧以便提取消息,那么将不设立ETLS。
图2示出根据实施例在桥接的AP上的UE 100和WAG 102的协议堆栈体系结构。在UE100和WAG 102中,TLS层对否则在缺少TLS层的情况下将如同当前部署中一样通过IP型以太网帧携带的IP有效负载进行加密。备选地,TLS层可对携带IP有效负载的IP型以太网帧进行加密。另外,TLS层可对既不是TLS型以太网帧也不是IP型以太网帧的其它以太网帧进行加密。注意,不对携带握手呼叫消息的TLS型以太网帧进行加密。依据IETF RFC 5246对其它TLS信令消息(例如,完成、警告、心跳)进行加密。另外,如果在握手呼叫交换期间协商了WLCP和隧道认证,那么在TLS型以太网帧内加密传输对应消息。
图2示出,UE 100将TLS帧作为由以太网报头封装的数据单元进行处置。以太网报头将数据单元标识为是指示数据单元是在以太网上携带的TLS帧的“ETLS”,因此又称为TLS型以太网帧。这有别于需要诸如TCP或UDP和IP的传输层协议的当前TLS实现。通过WiFi L2连接将由通过以太网报头封装的TLS帧组成的TLS型以太网帧作为802.11 MAC帧发送给AP100。AP 100接收802.11 MAC帧,恢复作为TLS型以太网帧的原始以太网帧,并将它重新封装在VLAN或GRE隧道等内。将了解,AP 101可利用不同的已知机制来将TLS型以太网帧从WiFiL2链路桥接或遂穿到以太网链路或反之,只要AP 101“在导线上”维持TLS帧,即,将它作为以太网帧进行传输,因为它是TLS型以太网帧。
根据图2的WAG 102从以太网链路接收TLS型以太网帧。由于WAG 102也是TLS服务器,所以它利用TLS内容类型来确定TLS帧的内容(握手、application_data、遂穿协议、WLCP等),并且基于内容类型,它可根据在ETLS握手时协商的密码参数来解密内容。一旦解密了内容(客户端呼叫除外),WAG 102便相应地处理内容。在WAG 102处进行的TLS内容处理的示例包括:
1. 如果内容是IP业务/分组,那么基于IP分组的IP地址等转发给下一个跳点(注意,如果UE 100尝试经由公共WLAN接入安全网站,那么IP业务可包括TCP/IP业务上的TLS,在这种情况下,根据本说明书的实施例,供UE 100使用的公共WLAN将利用对所有UE业务进行加密的基于TLS的链路层加密来独立地提供额外安全性层)。
2. 如果内容对应于遂穿认证,那么认证UE 100。
3. 如果内容对应于握手协议,那么建立ETLS。
4. 如果内容对于WLCP消息,那么建立PDN连接。
5. 如果内容对应于TLS心跳或TLS警告,那么管理ETLS和ETLS会话。
6. 如果内容对应于另一个以太网帧,那么确定下一个转发节点,或者如果WAG102是目的地,那么处理该帧。
类似地,当WAG 102需要向UE 100发送数据或信令时,WAG 102创建TLS帧,其中对内容(数据或信令)进行加密(服务器-呼叫和呼叫-请求除外)。在TLS帧的TLS报头中指示内容类型。接着,通过VLAN报头或GRE报头来封装TLS帧,并通过以太网链路将它发送给AP101。AP 101从VLAN或GRE报头等恢复TLS型以太网帧,并通过WiFi L2链路作为802.11 MAC帧发送给UE 100。接收802.11 MAC帧的UE 100确定以太网帧是TLS帧,解密加密的TLS内容,并对内容进行处理。在UE 100处进行的TLS内容处理的示例包括:
1. 如果内容是IP业务/分组,那么将有效负载发送给UE 100的较上IP层(注意,如果UE100尝试经由公共WLAN接入安全网站,那么IP业务可包括TCP/IP业务上的TLS,在这种情况下,根据本说明书的实施例,供UE 100使用的公共WLAN将利用对所有UE业务进行加密的基于TLS的链路层加密来独立地提供额外安全性层)。
2. 如果内容对应于遂穿认证,那么认证UE 100或进行相互认证协议处理。
3. 如果内容对应于握手协议消息,那么建立ETLS。
4. 如果内容对应于WLCP消息,那么建立PDN连接。
5. 如果内容对应于TLS心跳或TLS警告,那么管理ETLS和ETLS会话。
6. 如果内容对应于另一个以太网帧,那么确定下一个转发节点,或者如果WAG102是目的地,那么处理该帧。
图3示出根据实施例的TLS协议扩展。如之前所描述,当前存在利用记录协议的五个协议:在IETF RFC 5246中规定了握手协议、警告协议、改变密码规范协议和应用数据协议,而在IETF RFC 6520中规定了心跳协议。如之前所描述,定义新的记录内容类型以便支持遂穿认证和WLCP。以下是对用于标识由TLS型以太网帧封装的内容的类型的记录内容类型的提议更新。但是,将了解,可采用其它值来指示遂穿认证和WLCP:
- 20 change_cipher_spec(改变密码规范)
- 21 alert(警告)
- 22 handshake(握手)
- 23 application_data(应用数据)
- 24 Heartbeat(心跳)
- 25 Tunneled Authentication(隧穿认证)
- 26 WLCP
对握手协议进行更新以便在客户端呼叫和服务器呼叫消息的握手期间支持ETLS能力协商,其中利用ETLS能力来协商由ETLS加密的业务的类型。如果在握手协议中省略了ETLS能力扩展,那么后备将是在UE 100和WAG 102之间建立ETLS隧道,其中WAG 102为UE 100提供对互联网的直接接入,并且在ETLS上在TLS型以太网帧内加密传送IP有效负载。
当协商了ETLS能力扩展并且协商了全以太网保护时,TLS型以太网帧可加密如下内容:
1. 只有IP有效负载,即,之前由IP型以太网帧携带的IP有效负载或备选地携带IP有效负载的全IP以太网帧。
2. 其它类型的以太网有效负载。
当协商了ETLS能力扩展并且协商了隧道认证时,UE还可包括在扩展内使用的优选认证协议和方法的列表。当WAG发送服务器呼叫时,它指示用于在ETLS上随后认证的选择的隧道认证协议和方法。
当UE与WAG协商WLCP作为ETLS能力时,UE应当协商在TLS握手期间执行隧道认证或客户端认证并且被运营商的网络认为足够以便允许UE接入EPC资源。
对警告协议进行更新以便管理ETLS连接和会话参数。当遂穿认证在WAG 102处失败时,WAG利用错误警告消息来通知UE 100认证失败。如果失败是由于由UE 100提出的错误凭证引起的,那么WAG 102可命令UE 100关闭ETLS。但是,如果失败是由于WAG 102不能联系到AAA服务器103进行认证,那么WAG 102可限制UE 100只接入互联网(即,没有EPC路由),直到它恢复与AAA服务器103的通信为止,此时它经由警告消息或请求UE 100向WAG 102重新认证的另一个消息来告知UE 100尝试认证。
另外,UE 100和WAG 102可利用关闭警告消息或致命警告消息来指示ETLS连接的关闭或断开连接,而不一定要删除对应的ETLS会话参数。可通过TLS层本身来触发ETLS的断开连接。例如,利用心跳协议来检测ETLS路径的生活性,并在检测到任一个ETLS端点(即,UE100和WAG 102)不可达时假设ETLS断开连接。可通过与TLS层无关的其它事件(诸如UE 100与AP 101解除关联)来触发ETLS的断开连接。尽管ETLS关闭,但是不会因此删除ETLS会话。当状况允许UE 100利用相同会话ID重新启动ETLS的设立时,ETLS会话可重新开始。当重新开始ETLS会话时,UE 100不利用全部握手和证书认证过程。而是,UE 100和WAG 102交换ChangeCipherSpec消息,并且直接继续进行至完成消息以便建立ETLS。无需重新协商之前协商过的任何ETLS能力,因为这些ETLS能力作为会话参数的部分加以保存。
此外,当UE经由WLCP过程连接到EPC并且在稍后分离UE 100时,可利用警告消息来通知WAG 102 UE 100从EPC分离。注意,利用WLCP来通知PDN断开连接。但是,PDN断开连接不一定等效于UE 100的EPC分离。
图4a和4b示出TLS型以太网帧的两个实施例。图4a示出封装本地IP有效负载(即,没有封装在公知的IP型以太网帧中)的简单TLS型帧。可利用该帧作为默认帧或作为在没有协商ETLS能力时使用的帧。将取代遗留IP型以太网型帧而利用在图4a中表示的TLS型以太网帧来传输IP有效负载。TLS帧的TLS报头中的内容类型再利用application_data值来指示IP有效负载。但是,如果协商了ETLS能力并且协商了全以太网保护能力,那么可改为利用在图4b中示出的TLS型以太网帧。图4b的TLS型以太网帧包括紧跟在TLS报头之后的以太网类型字段,它用于标识经加密的以太网帧的类型以利于提取和分析该帧以便通过WAG 102进行进一步处理。以太网类型可以是除了TLS型以太网类型之外的任何以太网类型(以太网类型= !ETLS)。可设置TLS内容类型,以便指示利用作为附在TLS报头之后的额外以太网类型字段的application_data来进一步指示帧的类型。在图4b的备选实施例中,取代利用“application data”,可利用在TLS报头中携带的内容类型的新值来指示作为有效负载封装的“以太网帧”。在这种情况下,紧跟在TLS报头之后的额外以太网类型字段(2个字节)可能不是必需的,因为WAG 102将能够分析该帧,并且一经解密便能够确定封装的以太网帧的类型。将了解,作为示例提供图4a和图4b,但是可利用不同格式的TLS型以太网帧来标识有效负载的类型以便允许确定所需的处理。
图5和图6示出根据实施例的NSWO和根据另一个实施例的EPC路由。如上文所解释,如果在建立ETLS之后UE还没有协商WLCP,那么为UE 100提供对互联网106的NSWO接入,即,从WAG 102本地卸载到互联网,以便绕过EPC资源。在该配置中,在ETLS上加密所有IP有效负载,并通过P2P L2链路在TLS型以太网帧中在UE 100和WAG 102之间传送所有IP有效负载。此外,在建立的ETLS上传输用于ETLS管理的TLS信令。
如果在TLS握手时UE 100成功协商了WLCP能力,那么它还应当已经协商过遂穿认证能力。如果在握手时还没有执行客户端证书认证,或者如果运营商的网络需要更强的认证,那么可能需要遂穿认证。一旦利用在图1中示出的实施例在UE 100和WAG 102之间建立ETLS,并且协商了遂穿认证和WLCP两者,那么UE 100启动在ETLS上向WAG 102和AAA服务器103的认证。可利用在ETLS上遂穿的EAP-AKA’交换或根据EAP-TTLS的隧道AVP认证来认证UE100以及可选的WAG 102(如果选择相互认证方案的话)。在TLS型以太网帧中本地发送和加密所有认证消息,而无需UE 100建立IP层。利用指示遂穿认证的新的TLS内容类型或记录内容类型来指示加密的TLS有效负载对应于隧穿认证消息。一旦通过AAA服务器103成功完成认证,WAG 102便根据使用的认证协议通知UE 100。随后,如图6所示,UE 100启动WLCP以便与EPC中的PGW 104建立PDN连接。在ETLS上在TLS型以太网帧中加密发送WLCP消息。定义新的TLS内容类型以便标识加密的有效负载对应于WLCP消息。一旦利用在3GPP TS 24.244中规定的WLCP协议建立PDN连接,便通过TLS记录层来对通过PDN连接传输的用户数据进行加密,并通过TLS报头中的内容类型字段将它们标识为application_data。注意,不同于在3GPP TS 24.244中规定的要求UDP/IP协议的WLCP协议,在ETLS上支持的WLCP本地运行并在层2 TLS型以太网帧中进行加密。如果图6中的UE 100希望建立多个PDN连接,那么通过UE100利用WLCP建立的所有PDN连接共享相同的UE MAC地址,但是在TLS型以太网帧中利用不同的WAG虚拟MAC地址。即,尽管来自每个PDN连接的加密用户业务共享相同ETLS,但是来自不同PDN连接的业务可具有不同的TLS型以太网帧封装。这将允许UE 100和WAG 102区分来自共享ETLS的不同PDN连接的业务。
图7示出根据一个实施例在UE处执行以便通过P2P L2链路与WAG建立ETLS的方法70。支持ETLS的UE具有与UE的层2协议相关联的TLS客户端,以使得UE能够建立TLS隧道以便在公共WLAN上进行链路层加密。在步骤71,UE通过启动TLS握手协议并在TLS型以太网帧中发送未加密的客户端呼叫消息来开始与WAG通信,接着在通过AP通过将UE连接到WAG的P2PL2链路传送TLS型以太网帧。如果满足以下条件,则UE可触发客户端呼叫:
1. 它在TLS型以太网帧中接收到请求建立ETLS的服务器呼叫请求,或者
2. UE从它的较上层协议接收到要发送给WAG的数据,诸如即将通过UE发送以便从WLAN获取IP地址的DHCP消息。
另外,如果通过UE的运营商获得或配置客户端证书,那么UE可在客户端呼叫消息中包括客户端证书。客户端证书可以是ITU X.509公共密钥证书或由可信机构颁发的其它类型的证书。
如之前所描述,UE还可在客户端呼叫消息中包括ETLS能力扩展以便协商遂穿认证、WLCP和/或全以太网保护。在步骤72,当UE从WAG获得封装在TLS型以太网帧中的未加密的TLS服务器呼叫消息时,如果在步骤71中没有在客户端呼叫消息中包括客户端证书,那么它可包括对客户端证书的请求。UE继续进行握手协议以便与WAG建立安全ETLS。剩余的握手过程根据在IETF RFC 5246中描述的TLS握手消息,并且包括:UE启动可包括客户端证书的客户端密钥交换;UE启动由生成的共享秘密加密的客户端完成;以及接收通过由服务器生成的共享密钥加密的服务器完成消息,即,WAG标记握手的终点并建立ETLS(又称为安全ETLS)。在步骤73,UE开始在安全ETLS上遂穿选择的数据业务,其中选择的数据业务根据ETLS能力中的全以太网加密的协商。如果协商了全以太网加密,那么除了本地IP有效负载之外,UE还可加密并非是IP型和TLS型以太网帧的其它以太网帧。备选地,UE可发送包括IP型以太网帧的所有以太网帧以作为在TLS型以太网帧内加密的封装帧。在缺少全以太网加密协商的情况下,UE在TLS型以太网帧中加密本地IP有效负载以便在ETLS上传送,并通过TLS型以太网帧来取代IP型以太网帧。在本说明书中,有时利用数据TLS型以太网帧来指携带加密的有效负载的TLS型以太网帧。TLS型以太网帧和数据型以太网帧的格式相同。差别是,这些帧携带的是加密有效负载还是未加密有效负载,诸如客户端呼叫、服务器呼叫和呼叫请求。通过内容类型来标识有效负载的类型。为简单起见,通过利用术语TLS型以太网帧来指所有TLS型帧来描述大多数实施例,因为对大多数TLS业务进行加密,除了在上文提到的ETLS的初始建立中所使用的三个TLS消息例外。下表标识TLS帧的内容类型以及它是否加密:
数据/信令内容描述 内容类型 加密
客户端/服务器呼叫和呼叫请求 握手 否(没有加密的TLS型以太网)
完成 握手 是(TLS型以太网是数据TLS型以太网帧)
Change_cipher spec 改变密码规范 是(TLS型以太网帧是数据TLS型以太网帧)
TLS警告 警告 是(TLS型以太网是数据TLS型以太网)
TLS心跳 心跳 是(TLS型以太网是数据TLS型以太网)
WLCP WLCP 是(TLS型以太网是数据TLS型以太网)
遂穿认证 遂穿认证 是(TLS型以太网是数据TLS型以太网)
IP分组 Application_data 是(TLS型以太网是数据TLS型以太网)
以太网帧 Application_data(或以太网数据) 是(TLS型以太网是数据TLS型以太网)
如果UE成功协商遂穿认证和WLCP能力扩展以便接入EPC资源和服务,那么通过UE在ETLS上发送封装在TLS型以太网帧中的对应信令。如果没有为UE配置客户端证书,或者UE配置成执行不同于客户端证书认证的不同认证,那么UE可协商遂穿认证以便接入EPC资源和服务。如果UE在客户端呼叫消息中协商了遂穿认证能力扩展,那么扩展还指示用于通过WAG认证UE以及可选地通过UE认证WAG的认证协议和方法的偏好顺序。当UE从WAG接收服务器呼叫消息时,它在遂穿认证能力扩展中包括选择的认证协议和方法。一旦握手完成并建立ETLS,UE便根据协商的能力启动认证协议。在TLS型以太网帧中加密发送所有认证消息,其中内容类型指示遂穿认证。
在一个实施例中,UE在ETLS能力扩展中协商利用WLCP来管理在建立的ETLS上到EPC资源和服务的PDN连接。如果经由遂穿认证能力扩展协商了客户端认证或在握手期间执行了客户端证书认证并且被运营商的EPC认为足够,那么成功协商了WLCP的使用。一旦建立ETLS,UE便启动WLCP过程以便建立一个或多个PDN连接。UE在以太网上作为TLS有效负载本地地发送和接收加密的WLCP消息。对TLS记录内容类型进行更新以便指示WLCP业务为有效负载。
为了管理ETLS连接/遂道和会话,UE发送警告消息以便指示通过UE释放ETLS,或者它从WAG接收警告消息以便指示由于诸如认证失败的原因而释放ETLS。另外,如果UE分离,那么UE可发送警告消息以便指示UE分离。当UE释放ETLS连接时,它可在确定的时间量维持ETLS会话参数,在此期间它可利用相同的会话参数来重新建立ETLS连接/隧道。当UE重新利用存储的会话参数来重新建立ETLS连接时,UE无需发送客户端呼叫或重新协商任何ETLS能力扩展。而是,UE通过交换在IETF RFC 5246的TLS握手协议中规定的TLSChangeCipherSpec消息而继续,并且直接继续进行至发送完成消息,在此之后重新建立ETLS。在TLS型以太网帧内利用存储在会话参数中的密码参数加密发送ChangeCipherSpec和完成消息。
在图8中示出的一个实施例中,UE 100包括电路80,电路80执行根据图7中描述的实施例的方法步骤以及除了本文中描述的其它实施例之外的图1的步骤120、123、124、127、130和131。在一个实施例中,电路80可包括处理器81和包含指令的存储设备82(又称为存储器),指令在执行时使得处理器80执行根据本文中描述的实施例的方法中的步骤。电路80还可包括通过AP通过P2P L2链路利用ETLS与WAG 102通信的通信接口83。
图9示出包括处理模块91的UE 100的实施例,处理模块91配置成通过通信模块93通过P2P L2链路发送携带TLS客户端呼叫消息的TLS型以太网帧,以便在UE和充当TLS型以太网帧的接收器的网络中的WAG之间建立ETLS。一旦在通信模块93上从接收器接收到TLS服务器呼叫消息,并且其中TLS服务器呼叫封装在TLS型以太网帧中,处理模块91便通过通信模块93根据在IETF RFC 5246中规定的TLS握手消息在UE和接收器之间建立安全ETLS。通过处理模块91将握手消息封装在TLS型以太网帧中。处理模块91通过通信模块93在安全ETLS上遂穿选择的数据业务,其中在TLS型以太网帧中加密和封装选择的数据业务。
另外,通信模块93配置成发送和装在TLS型以太网帧中的TLS消息,并发送和接收封装在TLS型以太网帧中的选择的数据业务。处理模块91还配置成将与安全ETLS的建立相关联的会话参数存储在存储器模块92中。存储器模块(92)保存会话参数,直到释放ETLS会话为止,在此情况下,处理器模块(91)请求从存储器模块(92)删除会话参数。
本领域技术人员将了解,UE 100中的模块可作为在处理器上运行的计算机程序实现,并且这些模块可进行操作以便执行之前描述的实施例的步骤。
本领域技术人员将意识到对本公开的实施例的改进和修改。所有此类改进和修改视为在本文中公开的概念和随附权利要求的范围内。

Claims (28)

1.一种用于在无线区域网络WLAN上建立安全链路的方法(70),在用户设备UE处执行的所述方法包括:
- 通过链路层连接发送(71)携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述UE和所述TLS型以太网帧的接收器之间建立安全以太网上TLS隧道ETLS;
- 当从所述接收器获得封装在所述TLS型以太网帧中的TLS服务器招呼消息时,根据封装在所述TLS型以太网帧中的TLS握手消息在所述UE和所述接收器之间建立(72)所述安全ETLS;以及
- 在所述安全ETLS上遂穿(73)选择的数据业务和信令,其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。
2.如权利要求1所述的方法,其中所述方法还包括所述UE和所述接收器协商ETLS能力扩展,其中所述ETLS能力扩展指示要封装在所述数据TLS型以太网帧内的一种或多种类型的所述选择的数据业务和信令。
3.如权利要求2所述的方法,其中所述ETLS能力扩展指示在所述数据TLS型以太网帧内封装不同类型的一个或多个以太网帧。
4.如权利要求1所述的方法,其中所述隧穿选择的数据业务和信令的步骤指示在所述数据TLS型以太网帧内封装所述UE和所述接收器之间的本地互联网协议IP业务。
5.如权利要求2所述的方法,其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿认证协议以用于认证所述UE接入分组核心网络。
6.如权利要求5所述的方法,其中在所述ETLS上遂穿的所述认证协议对应于扩展型认证协议EAP。
7.如权利要求5所述的方法,其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿WLAN接入控制协议WLCP,并且其中利用所述WLCP来管理在所建立的安全ETLS上建立和释放到所述分组核心网络的分组数据连接。
8.如权利要求7所述的方法,其中所述WLCP的启动以根据所述认证协议认证所述UE接入所述分组核心网络的成功结果为条件。
9.如权利要求1所述的方法,其中通过从所述接收器接收到携带服务器招呼请求消息的TLS型以太网帧的至少一个或从所述UE的较上协议层接收到要通过所述链路层连接发送的数据而触发所述发送携带所述TLS客户端招呼消息的所述TLS型以太网帧的步骤。
10.如权利要求1所述的方法,其中所述方法还包括发送TLS警告消息以便指示释放所述安全ETLS。
11.如权利要求5所述的方法,其中所述方法还包括在所述安全ETLS上接收TLS警告消息以便指示接入认证失败。
12.如权利要求7所述的方法,其中所述方法还包括在所述安全ETLS上发送TLS警告消息以便指示所述UE从所述分组核心网络分离。
13.一种包括指令的计算机程序,所述指令在至少一个处理器上执行时使得所述至少一个处理器进行根据权利要求1至12中任一权利要求所述的方法。
14.一种包含如权利要求13所述的计算机程序的载体,其中所述载体是以下之一:电子信号、光信号、无线电信号或计算机可读存储介质。
15.一种配置成在无线区域网络WLAN上建立安全链路层连接的装置(100),所述装置(100)包括电路(80),所述电路(80)配置成:
- 通过链路层连接发送携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述装置和所述TLS型以太网帧的接收器(102)之间建立安全以太网上TLS隧道ETLS;
- 当从所述接收器接收到封装在所述TLS型以太网帧中的TLS服务器招呼消息时,根据封装在所述TLS型以太网帧中的TLS握手消息在所述装置(100)和所述接收器(102)之间建立所述安全ETLS;以及
- 在所述安全ETLS上遂穿选择的数据业务和信令,其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。
16.如权利要求15所述的装置(100),其中所述电路(80)还配置成在所述安全ETLS的建立期间协商ETLS能力扩展以便指示要封装在所述数据TLS型以太网帧内的一种或多种类型的所述选择的数据业务。
17.如权利要求16所述的装置(100),其中所述ETLS能力扩展指示,所述电路(80)还配置成在所述数据TLS型以太网帧内封装不同类型的一个或多个以太网帧。
18.如权利要求15所述的装置(100),其中选择的数据业务和信令对应于本地互联网协议IP业务。
19.如权利要求16所述的装置(100),其中所述ETLS能力扩展包括在所述建立的安全ETLS上遂穿认证协议以便认证所述装置接入分组核心网络。
20.如权利要求19所述的装置(100),其中在所述ETLS上遂穿的所述认证协议对应于扩展型认证协议EAP。
21.如权利要求19所述的装置(100),其中所述ETLS能力扩展还包括在所建立的安全ETLS上遂穿WLAN接入控制协议WLCP,并且其中利用所述WLCP来管理在所建立的安全ETLS上建立和释放到所述分组核心网络的分组数据连接。
22.如权利要求21所述的装置(100),其中所述WLCP的启动以根据所述认证协议对所述分组核心网络的所述认证的成功结果为条件。
23.如权利要求15所述的装置(100),其中所述电路(80)还配置成在从所述接收器(102)接收到携带服务器招呼请求消息的TLS型以太网帧的至少一个或从所述装置(100)的较上协议层接收到要发送的数据时发送携带所述TLS客户端招呼消息的所述TLS型以太网帧。
24.如权利要求15所述的装置(100),其中所述电路(80)还配置成发送TLS警告消息以便指示释放所述安全ETLS。
25.如权利要求19所述的装置(100),其中所述电路(80)还配置成在所述安全ETLS上接收TLS警告消息以便指示认证失败。
26.如权利要求21所述的装置(100),其中所述电路(80)还配置成在所述安全ETLS上发送TLS警告消息以便指示所述装置(100)从所述分组核心网络分离。
27.如权利要求15所述的装置(100),其中所述电路(80)包括处理器、通信接口和存储器,所述存储器包含可由所述处理器执行的指令。
28.一种装置(100),包括:
处理器模块(91),所述处理器模块(91)配置成:
- 通过通信模块(93)通过链路层连接发送携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述装置(100)和所述TLS型以太网帧的接收器(102)之间建立安全以太网上TLS隧道ETLS;
- 当通过所述通信模块(93)从所述接收器(102)接收到封装在所述TLS型以太网帧中的TLS服务器招呼消息时,通过所述通信模块(93)根据封装在所述TLS型以太网帧中的TLS握手消息在所述装置(100)和所述接收器(102)之间建立所述安全ETLS;
- 通过所述通信模块(93)在所述安全ETLS上遂穿选择的数据业务和信令,其中在数据TLS型以太网帧中加密和封装所述选择的数据业务;
- 将与所述安全ETLS相关联的会话参数存储在存储器模块(92)中;
所述通信模块(93)配置成:
- 发送和接收封装在所述TLS型以太网帧或所述数据TLS型以太网的至少一个中的TLS信令消息;
- 发送和接收封装在所述数据TLS型以太网帧中的所述选择的数据业务和信令;以及
所述存储器模块(92)配置成:
- 维持与所述安全ETLS的建立相关联的会话参数。
CN201680090754.8A 2016-09-12 2016-09-12 无线局域网上的安全链路层连接的方法 Active CN109906625B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/098737 WO2018045590A1 (en) 2016-09-12 2016-09-12 A method for secure link layer connection over wireless local area networks

Publications (2)

Publication Number Publication Date
CN109906625A true CN109906625A (zh) 2019-06-18
CN109906625B CN109906625B (zh) 2022-01-25

Family

ID=61561702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680090754.8A Active CN109906625B (zh) 2016-09-12 2016-09-12 无线局域网上的安全链路层连接的方法

Country Status (5)

Country Link
US (1) US11388145B2 (zh)
EP (1) EP3510803B1 (zh)
KR (1) KR20190050997A (zh)
CN (1) CN109906625B (zh)
WO (1) WO2018045590A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023274146A1 (zh) * 2021-07-01 2023-01-05 华为技术有限公司 远程接入方法、电子设备及存储介质
WO2023036030A1 (en) * 2021-09-08 2023-03-16 International Business Machines Corporation Concurrent tls data streams using a single handshake

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11265714B2 (en) * 2018-12-28 2022-03-01 Cable Television Laboratories, Inc. Systems and methods for subscriber certificate provisioning
US11246028B2 (en) 2019-03-14 2022-02-08 Cisco Technology, Inc. Multiple authenticated identities for a single wireless association
US11601288B1 (en) * 2019-08-21 2023-03-07 Cox Communications, Inc. On-demand security certificates for improved home router security
CN115701026A (zh) * 2021-07-21 2023-02-07 中移物联网有限公司 一种传输层安全协议的测试方法、装置及终端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101542967A (zh) * 2007-06-08 2009-09-23 株式会社东芝 Mih预先认证
CN101562814A (zh) * 2009-05-15 2009-10-21 中兴通讯股份有限公司 一种第三代网络的接入方法及系统
CN101715190A (zh) * 2009-11-04 2010-05-26 中兴通讯股份有限公司 一种无线局域网下实现终端与服务器鉴别的系统及方法
CN101778382A (zh) * 2008-12-23 2010-07-14 英特尔公司 扩展传输层安全性协议以进行高功率效率的无线安全性处理
US20120087356A1 (en) * 2010-10-07 2012-04-12 Qualcomm, Incorporated Tunneled direct link setup through a tunnel

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1388979B1 (en) * 2002-08-02 2013-07-10 Alcatel Lucent Method and apparatus for end-to-end connection between an RPR and an MPLS network
US7788705B2 (en) * 2002-08-12 2010-08-31 Mcafee, Inc. Fine grained access control for wireless networks
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7917947B2 (en) * 2006-05-26 2011-03-29 O2Micro International Limited Secured communication channel between IT administrators using network management software as the basis to manage networks
US8184530B1 (en) * 2006-09-08 2012-05-22 Sprint Communications Company L.P. Providing quality of service (QOS) using multiple service set identifiers (SSID) simultaneously
US8225096B2 (en) * 2006-10-27 2012-07-17 International Business Machines Corporation System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
US20080273706A1 (en) * 2007-05-04 2008-11-06 Neoscale Systems System and Method for Controlled Access Key Management
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
FR2930100B1 (fr) * 2008-04-09 2010-05-07 Canon Kk Procede d'etablissement d'un chemin de communication dans un reseau etendu de communication, tetes de tunnel,produit programme d'ordinateur et moyen de stockage correspondants
CN102090059A (zh) * 2008-05-23 2011-06-08 克劳迪奥·R·巴拉德 使用wap启用装置的远程控制的系统
IL192140A0 (en) * 2008-06-12 2009-02-11 Ethos Networks Ltd Method and system for transparent lan services in a packet network
FR2949931B1 (fr) * 2009-09-10 2011-08-26 Canon Kk Procedes et dispositifs de transmission d'un flux de donnees, produit programme d'ordinateur et moyen de stockage correspondants.
US8756690B2 (en) * 2009-09-30 2014-06-17 Symbol Technologies, Inc. Extensible authentication protocol attack detection systems and methods
FR2954029B1 (fr) * 2009-12-14 2012-07-13 Canon Kk Procede de transmission de paquets d'un flux de donnees bidirectionnel passager, dispositif gestionnaire, produit programme d'ordinateur et moyen de stockage correspondants
JP5952427B2 (ja) * 2012-01-11 2016-07-13 インターデイジタル パテント ホールディングス インコーポレイテッド Staとieee802.11ネットワークのアクセスポイントの間の加速されたリンクセットアップのための方法および装置
KR20130101603A (ko) * 2012-02-03 2013-09-16 삼성전자주식회사 Tcp fin 패킷 송신 방법 및 장치
US9438701B2 (en) * 2012-05-05 2016-09-06 Citrix Systems, Inc. Systems and methods for a SPDY to HTTP gateway
FR2992810A1 (fr) * 2012-06-29 2014-01-03 France Telecom Procede d'emission d'un message par un serveur d'un coeur de reseau ip multimedia, et serveur
US8850182B1 (en) * 2012-09-28 2014-09-30 Shoretel, Inc. Data capture for secure protocols
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
US9602498B2 (en) * 2013-10-17 2017-03-21 Fortinet, Inc. Inline inspection of security protocols
US9407692B2 (en) * 2013-11-27 2016-08-02 Avi Networks Method and system for distributed load balancing
US9961103B2 (en) * 2014-10-28 2018-05-01 International Business Machines Corporation Intercepting, decrypting and inspecting traffic over an encrypted channel
US10015287B2 (en) * 2015-03-04 2018-07-03 Oracle International Corporation Efficient tunneled streams for real-time communications
SG10201806366TA (en) * 2015-03-25 2018-08-30 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
CN107431691A (zh) * 2015-08-25 2017-12-01 华为技术有限公司 一种数据包传输方法、装置、节点设备以及系统
GB2542175B (en) * 2015-09-10 2019-12-04 Openwave Mobility Inc Intermediate network entity

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101542967A (zh) * 2007-06-08 2009-09-23 株式会社东芝 Mih预先认证
CN101778382A (zh) * 2008-12-23 2010-07-14 英特尔公司 扩展传输层安全性协议以进行高功率效率的无线安全性处理
CN101562814A (zh) * 2009-05-15 2009-10-21 中兴通讯股份有限公司 一种第三代网络的接入方法及系统
CN101715190A (zh) * 2009-11-04 2010-05-26 中兴通讯股份有限公司 一种无线局域网下实现终端与服务器鉴别的系统及方法
US20120087356A1 (en) * 2010-10-07 2012-04-12 Qualcomm, Incorporated Tunneled direct link setup through a tunnel

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023274146A1 (zh) * 2021-07-01 2023-01-05 华为技术有限公司 远程接入方法、电子设备及存储介质
WO2023036030A1 (en) * 2021-09-08 2023-03-16 International Business Machines Corporation Concurrent tls data streams using a single handshake
US11778037B2 (en) 2021-09-08 2023-10-03 International Business Machines Corporation Concurrent TLS data streams using a single handshake

Also Published As

Publication number Publication date
CN109906625B (zh) 2022-01-25
US20190268767A1 (en) 2019-08-29
EP3510803B1 (en) 2021-04-28
EP3510803A1 (en) 2019-07-17
KR20190050997A (ko) 2019-05-14
EP3510803A4 (en) 2020-03-25
US11388145B2 (en) 2022-07-12
WO2018045590A1 (en) 2018-03-15

Similar Documents

Publication Publication Date Title
CN109906625A (zh) 无线局域网上的安全链路层连接的方法
Prasad et al. 3GPP 5G security
Bonetto et al. Secure communication for smart IoT objects: Protocol stacks, use cases and practical examples
EP2561663B1 (en) Server and method for providing secured access to services
CN102377629B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
US9027111B2 (en) Relay node authentication method, apparatus, and system
WO2017181894A1 (zh) 终端连接虚拟专用网的方法、系统及相关设备
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
CN104168173B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
TW201624960A (zh) 用於下一代蜂巢網路的使用者面安全
US10897509B2 (en) Dynamic detection of inactive virtual private network clients
US20100313023A1 (en) Method, apparatus and system for internet key exchange negotiation
CN107005534A (zh) 安全连接建立
WO2004028071A1 (en) Linked authentication protocols
CN106169952B (zh) 一种英特网密钥管理协议重协商的认证方法及装置
WO2019091668A1 (en) Secure authentication in a 5g communication network in non-3gpp access
WO2021244509A1 (zh) 数据传输方法和系统、电子设备及计算机可读存储介质
WO2021244569A1 (zh) 数据传输方法、系统、电子设备、存储介质
KR20090102050A (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
CN105591748B (zh) 一种认证方法和装置
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
WO2014117524A1 (zh) Wlan接入网络中传递成对主密钥的方法和系统
Arora et al. Comparison of VPN protocols–IPSec, PPTP, and L2TP
WO2018183943A1 (en) Methods and apparatus for initializing a secure network connection
CN103237028B (zh) 一种删除Child SA的方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant