用于安全Wi-Fi通话的方法、设备和系统技术方案

根据本公开的实施例，公开了一种用于实现安全Wi‑Fi通话的方法、设备和系统。该方法可以在接入网关中执行，包括：针对用户设备进行接入鉴权；通过验证、授权和记账AAA服务器向所述用户设备授权增强Wi‑Fi呼叫连接；以及基于对增强Wi‑Fi呼叫连接的授权，在用户设备与给定安全网关之间建立安全隧道，以实现用户设备的安全Wi‑Fi通话。

【技术实现步骤摘要】
用于安全Wi-Fi通话的方法、设备和系统
本公开总体涉及通信领域，更具体地涉及用于实现安全Wi-Fi通话的方法、设备和系统。
技术介绍
在现今社会，无线局域网(WLAN)的使用非常普遍，家庭、办公室、餐厅、商店甚至公交车等等，几乎所有地方都有WLAN的覆盖。在热点区域越来越多的公共WLAN接入在IEEE802.1x鉴权(authentication)架构下被提供使用。在这种架构下，用户设备(UE)首先与远程验证、授权和记账(AAA)服务器执行基于扩展鉴权协议(EAP)的鉴权。然后，UE获得本地因特网协议IP地址并且利用该地址来访问因特网。移动运营商可以具有集成到他们的演进分组核心(EPC)网络的公共WLAN接入，在这种情况下，UE基于存储在(通用)订户识别模块((U)SIM))卡中的证书(credential)自动实施基于EAP的鉴权。在标准定义中，存在三种集成EPC的受信(trusted)WLAN接入连接模式：透明单连接模式(TSCM)、单连接模式(SCM)和多连接模式(MCM)。每种连接模式都支持流量本地卸载(也称为非无缝WLAN卸载NSWO)，或者EPC路由(EPCrouted)。UE和网络(AAA服务器)协商所要使用的连接模式。大多数当前部署的公共WLAN都属于受信WLAN接入架构中的TSCM的NSWO。从运营商的角度来看，存在另一种集成EPC的WLAN接入，即非受信(un-trusted)WLAN接入，在3GPPTS23.402V14.2.0的第7节中对其进行了描述。在非受信WLAN接入中，演进分组数据网关(ePDG)充当将UE从任何WLAN接入连接到EPC网络和IP多媒体子系统(IMS)网络的网关。为了连接到EPC网络，在UE和网络之间实施相互鉴权，并且在UE和ePDG之间建立IP安全(IPsec)隧道(tunnel)连接。通过ePDG，UE可以建立到EPC网络的多个分组数据网络(PDN)连接，以用于多个演进分组系统(EPS)服务应用。该IPsec隧道利用由底层非受信WLAN接入提供的IP层连接并且对于WLAN接入是不可知的。受信WLAN接入和非受信WLAN接入是两种接入类型，UE在一个时间只能附着(attach)到其中的一个。网络可以向UE指示UE正附着到的WLAN接入的受信评估。这是在基于3GPP的接入鉴权过程(通过STa接口或SWa接口与AAA的互联)中通过EPA-AKA’/AKA扩展(参见3GPPTS24.302V14.2.0第6.2.3节)中的指示完成的。当受信接入类型被明示地指示给UE时，UE将不会通过WLAN接入建立IPsec隧道；否则，UE将会朝向ePDG发起IPsec隧道建立请求。当前公共WLAN接入广泛部署，但其主要提供因特网业务却很少提供EPS业务。3GPP标准已经定义了集成EPC的受信WLAN接入架构以支持EPS业务。如上所述，当前部署的大多数公共WLAN属于受信WLAN架构下的TSCM的NSWO。然而，TSCM仅向UE提供一个单个的隐式连接，这意味着UE仅能够使用因特网业务(在NSWO情况下)或者EPS业务(在EPC路由情况下)。因此，这种WLAN接入部署对于EPS业务启动具有明显的限制，因为TSCM对于EPS业务仅具有一个隐式的默认接入点名称(APN)，并且不支持移动性。SCM会好一些，因为它使得UE可以选择NSWO和EPC路由，甚至使得UE可以在请求EPS业务时选择APN。然而，SCM也仅能提供一个单个的显示连接，这就意味着UE在给定的时间在本地仅能使用因特网业务或者EPS业务。MCM通过使用WLAN控制协议(WLCP)支持多个连接，并且UE能够在本地使用因特网业务并可以同时使用EPS业务，但是通过MCM进行业务通信迄今为止没有在业界得到广泛的支持。目前，Wi-Fi通话基本上都是基于非受信WLAN接入架构实现的，由此其可更确切地被命名为非受信Wi-Fi通话。启用了Wi-Fi通话的大多数手机或移动终端也都是通过非受信WLAN接入建立连接，而不是使用受信WLAN接入用于Wi-Fi通话连接。也就是说，对于目前大多数启用了Wi-Fi通话的手机或移动终端，当它附着到WLAN接入时，将通过建立到ePDG的IPsec连接、然后建立到EPC网络的s2b连接来建立Wi-Fi通话连接。与基于受信WLAN接入的MCM的业务相比，非受信Wi-Fi通话基于通过WLAN接入建立的安全连接，并且不依赖于WLAN接入，它可以在任何WLAN接入之上非常容易地部署。另一方面，由于受信WLAN接入依赖于所部属的安全环境，它本身在用户面不具有安全保护，仅在受信接入的MCM中具有信令保护。这些因素成为非受信Wi-Fi通话业务发展很快，而受信WLAN接入业务似乎停滞的主要原因。但是基于3GPP标准的非受信WLAN接入的Wi-Fi通话也具有一些限制或缺陷。例如，从3GPP标准的角度来考虑，仅两种WLAN接入类型(即受信和非受信)和对应的过程被定义。如上所述，在一个时间仅一种接入类型和过程可以被UE实施。隐含地，3GPP标准不支持当UE已经附着到受信WLAN接入时对安全Wi-Fi通话连接的建立。此外，Wi-Fi通话在任何WLAN接入之上是透明的，并且很难提供准确的用户位置。然而，对于诸如合法侦听(LI)、计费、紧急呼叫、基于位置的控制等业务操作，用户位置是非常重要的。再例如，当前，几乎所有的移动运营商的移动终端都默认地连接到其归属网络，在这种情况下，语音呼叫漫游和卸载得不到支持。如何使用公共WLAN接入或受信WLAN接入来创建更高效和完善的安全Wi-Fi通话成为一个亟待解决的问题。
技术实现思路
为了解决上述问题中的一个或多个，本公开实施例提出了一种支持以网络控制的可管理的方式、通过公共WLAN接入进行安全Wi-Fi通话的方法、设备和系统。当然，根据本公开的方法、设备和系统并不仅限于公共WLAN接入，本领域技术人员将了解该方法、设备和系统也可以更广泛地适用于其他接入方式和接入网络。根据本公开的第一方面，提供了一种在接入网关中用于实现安全Wi-Fi通话的方法。该方法包括：针对用户设备进行接入鉴权；通过AAA服务器向该用户设备授权增强Wi-Fi呼叫连接；以及基于对增强Wi-Fi呼叫连接的授权，在用户设备与给定安全网关之间建立安全隧道，以实现该用户设备的安全Wi-Fi通话。根据本公开的一个实施例，在接入鉴权期间，接入网关向AAA服务器指示支持增强Wi-Fi呼叫连接的能力、从AAA服务器接收包括指示是否支持增强Wi-Fi呼叫连接的第一信息的第一属性、以及向用户设备转发该第一属性。根据本公开的又一实施例，如果第一信息指示支持增强Wi-Fi呼叫连接，则所述第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。根据本公开的进一步的实施例，接入网关从用户设备接收针对AAA服务器的响应消息，该响应消息可以包括第二属性。该第二属性包括指示是否支持增强Wi-Fi呼叫连接的第三信息，并且如果第三信息指示支持增强Wi-Fi呼叫连接，则该第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。根据本公开的又一实施例，接入网关从AAA服务器接收指示向用户设备授权增强Wi-Fi呼叫连接成功的第五信息，以及指示将被实施的隧道鉴权类型本文档来自技高网...

【技术保护点】
1.一种在接入网关中用于实现安全Wi‑Fi通话的方法(500)，所述方法包括：针对用户设备进行接入鉴权(510)；通过验证、授权和记账AAA服务器向所述用户设备授权增强Wi‑Fi呼叫连接(MWC)(520)；以及基于对所述增强Wi‑Fi呼叫连接的授权，在所述用户设备与给定安全网关之间建立安全隧道，以实现所述用户设备的安全Wi‑Fi通话(530)。

【技术特征摘要】
1.一种在接入网关中用于实现安全Wi-Fi通话的方法(500)，所述方法包括：针对用户设备进行接入鉴权(510)；通过验证、授权和记账AAA服务器向所述用户设备授权增强Wi-Fi呼叫连接(MWC)(520)；以及基于对所述增强Wi-Fi呼叫连接的授权，在所述用户设备与给定安全网关之间建立安全隧道，以实现所述用户设备的安全Wi-Fi通话(530)。2.根据权利要求1所述的方法，在所述接入鉴权期间，进一步包括：向所述AAA服务器指示支持所述增强Wi-Fi呼叫连接的能力；从所述AAA服务器接收包括指示是否支持所述增强Wi-Fi呼叫连接的第一信息的第一属性；以及向所述用户设备转发所述第一属性。3.根据权利要求2所述的方法，其中如果所述第一信息指示支持所述增强Wi-Fi呼叫连接，则所述第一属性进一步包括指示所支持的隧道鉴权类型的第二信息。4.根据权利要求3所述的方法，进一步包括：从所述用户设备接收针对所述AAA服务器的响应消息，所述响应消息包括第二属性，所述第二属性包括指示是否支持所述增强Wi-Fi呼叫连接的第三信息；并且如果所述第三信息指示支持所述增强Wi-Fi呼叫连接，则所述第二属性进一步包括指示所支持的隧道鉴权类型的第四信息。5.根据权利要求4所述的方法，进一步包括：从所述AAA服务器接收指示向所述用户设备授权所述增强Wi-Fi呼叫连接成功的第五信息、以及指示将被实施的隧道鉴权类型的第六信息；并且向所述用户设备转发所述第五和第六信息。6.根据权利要求3或4中所述的方法，其中所述隧道鉴权类型至少包括完全隧道鉴权(FTA)以及轻隧道鉴权(LTA)之一。7.根据权利要求1至5中任一项所述的方法，进一步包括：从所述AAA服务器接收标识所述给定安全网关的信息并向所述用户设备转发所述信息。8.根据权利要求7所述的方法，其中标识所述给定安全网关的信息基于服务于所述用户设备的接入点位置而被确定。9.根据权利要求1至5中任一项所述的方法，进一步包括：从所述AAA服务器接收用于所述用户设备的会话密钥。10.根据权利要求9所述的方法，其中所述会话密钥用于轻隧道鉴权。11.根据权利要求1至5中任一项所述的方法，其中所述给定安全网关被集成在所述接入网关中。12.根据权利要求1至5中任一项所述的方法，其中所述给定安全网关与所述接入网关分离。13.根据权利要求12所述的方法，其中所述接入网关接收来自所述用户设备的数据包并向所述给定安全网关转发所述数据包；并且所述接入网关接收来自所述给定安全网关的、针对所述用户设备的数据包并向所述用户设备转发所述数据包。14.一种在用户设备中用于实现安全Wi-Fi通话的方法(600)，所述方法包括：与接入网关进行接入鉴权(610)；从所述接入网关获得经由验证、授权和记账AAA服务器而向所述用户设备做出的增强Wi-Fi呼叫连接的授权(620)；以及基于所述增强Wi-Fi呼叫连接的授权，与给定安全网关建立安全隧道，以实现安全Wi-Fi通话(630)。15.根据权利要求14所述的方法，在所述接入鉴权期间，进一步包括：响应于接收到来自所述AAA服务器的指示是否支持所述增强Wi-Fi呼叫连接的第一信息，向所述接入网关提供指示是否支持所述增强Wi-Fi呼叫连接的第二信息。16.根据权利要求15所述的方法，其中如果所述第二信息指示支持所述增强Wi-Fi呼叫连接，则所述方法进一步包括向所述接入网关提供指示所支持的隧道鉴权类型的第三信息。17.根据权利要求16...

【专利技术属性】
技术研发人员：巫长征，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE