[发明专利]无线局域网上的安全链路层连接的方法

说明书

本说明书提出一种方法和设备，其用于在两个端点（UE和WAG）之间建立以太网上传输层安全性TLS隧道，即，ETLS隧道，并传输在对于所有应用提议的TLS型以太网帧中封装和加密的UE业务，因此对于所有UE业务在公共无线局域网WLAN上提供安全层2连接性并克服公共WLAN上的传统HTTP登录机制的安全漏洞。UE利用可包括协商ETLS能力扩展的TLS握手协议，ETLS能力扩展包括用于建立分组数据连接的无线控制协议、和用于UE认证的隧穿认证协议以及用于对不同类型的以太网帧进行加密的全以太网保护。

技术领域

本公开一般涉及公共无线局域网中的安全性。

背景技术

公共无线局域网WLAN接入通过接入点AP在诸如用户设备UE的装置和云中的WLAN接入网关WAG或软件定义网络SDN控制器/交换机之间提供点到点层2（P2P L2）链路。WAG位于公共WLAN中或位于运营商分组核心网络的边缘。装置/UE通过无线保真WiFi链路连接到AP，并且AP通常利用诸如虚拟局域网VLAN的以太网和桥接技术或诸如以太网上通用路由封装GRE的隧穿技术连接到WAG。因此，P2P连接是WiFi链路和AP-WAG以太网连接上的逻辑连接。AP通过在WiFi链路的数据链路层中的电气和电子工程师协会IEEE 802.11（媒体接入控制MAC）帧和朝向WAG或SDN控制器/交换机的以太网连接的数据链路层中（“导线上”）的IEEE802.3以太网帧之间的映射而通过P2P连接将从装置/UE接收的以太网帧传输到WAG/SDN控制器（或交换机）。在UE和TWAG之间的P2P L2链路上携带所有业务，包括例如动态主机控制协议DHCP消息、可扩展认证协议EAP消息、传送到UE/从UE传送的应用有效负载。

当通过P2P L2链路将来自装置/UE的所有业务传输到WAG/SDN控制器（或交换机）时，在将业务转发给互联网或企业网络或其它分组数据网络之前，WAG/SDN控制器（或交换机）可提供装置/UE业务的控制和管理，诸如服务链接和/或网络地址转换NAT。

在第三代合作伙伴计划3GPP技术规范TS 23.402中规定的可信WLAN（TWAN）接入包括通过P2P L2链路连接到UE并通过到运营商的演进型分组核心网络EPC中的分组数据网关PGW的公知3GPP S2a接口（层3 IP隧道）提供对运营商的演进型分组核心网络EPC的UE接入的WLAN AP和可信WLAN接入网关TWAG的合集。PGW提供对运营商的服务（例如，服务链接、内联网等）的接入以及对分组数据网络PDN的接入。当UE没有被授权连接到EPC资源或服务或者没有请求连接到EPC资源时，TWAG还可提供将UE业务直接本地卸载到互联网，在这种情况下，不存在为UE建立的PDN连接。

如图所指示，UE可经由通过P2P L2链路（UE-TWAG）和S2a接口（TWAG-PGW）建立的PDN连接而连接到运营商的EPC，或者可通过P2P L2链路从TWAG直接连接到互联网，而绕过EPC资源。3GPP TS 23.402规定了允许UE连接到EPC以及直接连接到互联网的三种接入连接模式。这三种接入连接模式由透明单连接模式TSCM、单连接模式SCM和多连接模式MCM组成。每种接入连接模式支持业务本地分汇（local break out）（又称为直接接入互联网或非无缝WLAN卸载NSWO）和/或通过PDN连接的EPC路由的业务。

在TSCM或SCM模式中，在UE和TWAG之间没有显式信令来通过S2a接口建立PDN连接。通过TWAG静态或动态地设立TWAG和PGW之间的S2a隧道，而无需来自UE的任何显式PDN连接信令。UE-TWAG P2P L2链路和S2a隧道之间的TWAN中的关联基于UE MAC地址。但是，在MCM中，利用UE和TWAG之间的专用信令协议（称为无线局部控制协议WLCP）来设立到EPC网络的一个或多个PDN连接。