LTE WLAN聚合的安全性增强制造技术

本发明专利技术公开一种管理LTE WLAN聚合(LTE WLAN Aggregation，LWA)的多个加密配置的方法。在该方法中，在移动设备和源eNB处实施源演进节点B(evolved Node B，eNB)加密配置，用于通过WLAN节点在移动设备与源eNB之间通信数据。在移动设备与WLAN节点处实施WLAN加密配置，用于通过WLAN节点在移动设备与源eNB之间通信数据。响应于确定WLAN加密配置已被实施，发送指示WLAN加密配置已被实施的消息，并且响应于该消息，执行至少一个动作。

Safety Enhancement of LTE WLAN Polymerization

The invention discloses a method for managing multiple encryption configurations of LTE WLAN Aggregation (LWA). In this method, the evolved Node B (eNB) encryption configuration is implemented at mobile devices and source eNB to communicate data between mobile devices and source eNB through WLAN nodes. WLAN encryption configuration is implemented between mobile devices and WLAN nodes to communicate data between mobile devices and source eNB via WLAN nodes. In response to the determination that the WLAN encryption configuration has been implemented, a message indicating that the WLAN encryption configuration has been implemented is sent, and in response to the message, at least one action is performed.

【技术实现步骤摘要】
【国外来华专利技术】LTEWLAN聚合的安全性增强
本专利技术涉及在实现LTEWLAN聚合(LTEWLANAggregation，LWA)的系统中管理加密(ciphering)配置的系统及方法。更具体而言，本专利技术涉及LWA的安全性增强。
技术介绍
无线接入网(RadioAccessNetwork，RAN)和无线局域网均是无线通信技术。在蜂窝RAN中，网络所分布的区域均由小区覆盖，每个小区由至少一个基站(通常在3G网络中称为节点B(NodeB)，在LTE/4G网络中称为演进节点B(eNodeB))服务。移动设备，称为用户设备(UserEquipment，UE)，位于与电通信核心网通过小区的基站连接的该小区之内。WLAN描述了无线通信系统，其中覆盖较小区域。一个通常的示例为Wi-Fi，其是无线数据通信及网络技术，由定义了开放系统互联模型(OpenSystemsInterconnectionmodel，OSIModel)的物理层(physicallayer，PHY)和媒体访问控制层(mediumaccesscontrol，MAC)的电气和电子工程协会(InstituteofElectricalandElectronicsEngineers，IEEE)802.11系列标准指定。WLAN使能的设备可以建立与WLAN接入点(Accesspoint，AP)的无线链接，WLAN接入点随后允许互联网访问。WLAN使能的设备可以为移动设备，例如，掌上电脑、个人数字助理和移动电话，或者固定设备，例如台式电脑和配备有WLAN网络接口的工作基站。WLAN系统使用ISM无线频带，即部分频谱在国际上被预留给除了电通信之外的工业、科技和医疗目的。使用该频带的频谱不需要任何费用或许可证。Wi-Fi和其他非3GPP标准化无线接入技术提供了相对较小区域的无线覆盖，但数据率相对较高。使用未受限的无线频谱和用于所提供的数据率的相对较低成本设备已使得WLAN接入点得到广泛部署。接入点可以是私用或公用的，很多商用接入点被放置在公共位置，以供消费者使用。接入点可以由蜂窝网络提供商/运营商管理和控制(“运营商控制的接入点”)，或者可以是独立的(“非运营商控制的接入点”)。第三代合作项目(3rdGenerationPartnershipProject，3GPP)和蜂窝运营商已能够将Wi-Fi集成到长期演进(Long-TermEvolution，LTE)网络中。这允许蜂窝运营商将更好的服务提供给位于蜂窝覆盖通常较差的室内(例如，家里、办公室、商场等)的用户，其中Wi-Fi通常被部署。Wi-Fi可以通过在较差的蜂窝接收的区域中提供数据服务，补充蜂窝无线网络。Wi-Fi可以通过提供更高的数据吞吐量，补充蜂窝无线网络。在3GPP的第12版本中，3GPP一直研究将允许Wi-Fi接入点(accesspoint，AP)连接到LTE核心网上的新功能。因此，核心网(corenetwork，CN)运营商能提供载波级Wi-Fi，其允许蜂窝用户卸载其部分通信量。从无线点的角度来看，LTE无线接入网(更具体地，演进节点B(evolvedNodeB，eNB))处理Wi-FiAP集，其广播标识被提供给LTE无线接口上的用户设备。也需要该设备上报Wi-Fi无线测量，使得LTERAN可以触发CN以将业务承载从一个无线接入引导到另一个无线接入。该功能称为LTEWLAN互联(interworking)。在第13版本中，采取了其他步骤，其中LTERAN(而不是核心网)控制卸载以允许与IP应用相关的所有或部分数据流的最佳接入网。也就是说，LTE数据在WLAN网络内由RAN进行隧道化。WLAN网络包括WLAN终端(WLANTermination，WT)点，其终止RAN接口(Xw)。WT控制WLAN接入点集的信息。这通常称为LWA。图1示出了实现LWA的系统1的基础通用架构。在系统1中，存在CN3，其包括移动管理实体/服务网关(MobileManagementEntity/ServingGateway，MME/S-GW)。CN3通过接口7与eNB5连接。eNB5通过Xw接口9与WLAN连接。每个Xw接口终止于WT11，UE13与WT11连接。需要UE13能够使用Wi-Fi无线接入进行操作，同时其在异构LTERAN网络和/或WLAN网络之间移动时能够配置安全参数。图2示出了特定承载信道将使用的无线协议架构。LWA存在两种承载类型：分割LWA承载和切换LWA承载。在切换LWA承载类型中，每个承载执行卸载，使得分组数据覆盖协议分组数据单元(PacketDataConvergenceProtocolPacketDataUnit，PDCPPDU)通过WLAN或RAN自eNB5传输到UE13。在分割LWA承载类型中，每个PDCPPDU执行卸载，使得PDCPPDU通过WLAN或RAN自eNB5传输到UE13。eNB5可以根据无线环境在WLAN与RAN之间来回切换承载业务(用于其所有或部分数据流)。在下行链路(downlink，DL)方向上，对于LWA操作中的WLAN上发送的PDU，eNB5中的LWA接入点(LWAAccessPoint，LWAAP)实体生成包含数据无线承载(DataRadioBearer，DRB)标识的LWAPDU，并且WT使用LWAEtherType以在WLAN上将该数据转发给UE13。一旦自WT11接收到PDU，UE13使用LWAEtherType确定所接收到的PDU属于LWA承载，并使用DRB标识确定该PDU属于哪个LWA承载。在上行链路(uplink，UL)方向上，对于LWA操作中的WLAN上发送的PDU，UE13生成包括DRB标识的LWAPDU，并且WT11使用LWAEtherType以在WLAN上将该数据转发给eNB。在3GPPLTE无线协议架构下，上层IP数据PDU由PDCP子层加密。然而，当这些PDCP数据PDU在LWA操作中的WLAN上传送时，额外的加密由Wi-Fi层使用。避免双方加密可以有助于降低UE处理时间、功耗及成本。更具体地，在下行链路期间，LTE硬件最大支持1Gbps，而Wi-Fi802.11ad硬件可以支持高达7Gbps。这样，在LWA操作中，Wi-Fi硬件可以比处理数据的LTE硬件快7倍地转发该数据。在上行链路期间可能发生相似问题。在这种情景中，LTE硬件可能作为LWA中的瓶颈。先前已提出了以允许缺少PDCP加密，以为了有助减缓因瓶颈问题所引起的下降至少一些速度。然而，在这种情况中，PDCPPDU应仍然由WLAN进行加密。从安全性的角度来看，由于WLAN网络处于LTE网络运营商的控制下，所以WLAN网络的安全是LTE网络运营商所关心的问题。因此，LTE网络运营商考虑需要WLAN网络的安全。鉴于此，RAN提供安全密钥(即给WT和UE的所谓的S-KWT)以用于保护WLAN链路。这种安全密钥用作IEEE802.11规范中所定义的成对主键(PairwiseMasterKey，PMK)。PMK用于开启UE与WLANAP之间WLAN链路上的四路握手，以执行WLAN重新认证。当UE在连接到WLAN时在同一eNB或不同eNB内是移动的时候，RAN可以刷新并更新安全密钥(security本文档来自技高网...

【技术保护点】
1.一种管理LTE WLAN聚合的多个加密配置的方法，其特征在于，该方法包括：向移动设备发送包括与数据相关的数据序列号的控制指示；在所述移动设备处接收所述控制指示；以及使用所述数据序列号，确定是使用第一加密配置还是第二加密配置，以用于从所述移动设备到WLAN节点的上行链路和/或从所述WLAN节点到所述移动设备的下行链路；以及响应于所述确定，使用所述第一加密配置或所述第二加密配置以用于上行链路和/或下行链路。

【技术特征摘要】
【国外来华专利技术】2016.08.11 GB 1613824.01.一种管理LTEWLAN聚合的多个加密配置的方法，其特征在于，该方法包括：向移动设备发送包括与数据相关的数据序列号的控制指示；在所述移动设备处接收所述控制指示；以及使用所述数据序列号，确定是使用第一加密配置还是第二加密配置，以用于从所述移动设备到WLAN节点的上行链路和/或从所述WLAN节点到所述移动设备的下行链路；以及响应于所述确定，使用所述第一加密配置或所述第二加密配置以用于上行链路和/或下行链路。2.根据权利要求1中所述的方法，其特征在于，所述控制指示为配置消息。3.一种管理LTEWLAN聚合的多个加密配置的方法，其特征在于，该方法包括：在移动设备和源演进节点B处实施源演进节点B加密配置，用于通过WLAN节点在所述移动设备与所述源演进节点B之间通信数据；在所述移动设备和所述WLAN节点处实施WLAN加密配置，用于通过WLAN节点在所述移动设备与所述源演进节点B之间通信数据；确定所述WLAN加密配置已被实施，且作为响应，发送指示所述WLAN加密配置已被实施的消息；以及响应于指示所述WLAN加密配置已被实施的消息，执行至少一个动作。4.根据权利要求3中所述的方法，其特征在于，响应于指示所述WLAN加密配置已被实施的消息，执行至少一个动作，包括：在所述源演进节点B处，去激活加密方案。5.根据权利要求3或4中所述的方法，其特征在于，所述源演进节点B加密配置包括在所述源演进节点B处使用PDCP加密。6.根据权利要求3-5中任一项所述的方法，其特征在于，所述WLAN加密配置包括在所述WLAN节点处使用WLAN加密。7.根据权利要求5或6中所述的方法，其特征在于，响应于指示所述WLAN加密配置已被实施的消息而执行的至少一个动作包括：在源演进节点B处，去激活PDCP加密。8.根据权利要求3-7中任一项所述的方法，其特征在于，还包括：确定所述WLAN加密配置没被实施，并作为响应，发送指示所述WLAN加密配置没被实施的消息；以及响应于指示所述WLAN加密配置没被实施的消息，执行至少一个动作。9.根据权利要求5和8中所述的方法，其特征在于，响应于指示所述WLAN加密配置没被实施的消息而执行的至少一个动作包括：在所述源演进节点B处，防止去激活PDCP加密。10.根据权利要求3-9中任一项所述的方法，其特征在于，该方法还包括：在实施所述WLAN加密配置之前，接收指示所述WLAN加密配置的实施调度的调度消息。11.根据权利要求10中所述的方法，其特征在于，所述调度消息指示在确定可能实施所述WLAN加密配置之后，立即实施所述WLAN加密配置。12.根据权利要求11中所述的方法，其特征在于，还包括：确定可能实施所述WLAN加密配置，并作为响应，实施所述WLAN加密配置。13.根据权利要求12中所述的方法，其特征在于，还包括：在所述WLAN节点处接收指示安全密钥的数据；以及在所述移动设备处接收指示安全密钥的数据；以及其中确定可能实施所述WLAN加密配置，包括：接收指示安全密钥在所述WLAN节点和所述移动设备处已被接收的数据的指示。14.根据权利要求10中所述的方法，其特征在于，所述调度消息指示实施所述WLAN加密配置将被推迟。15.根据权利要求14中所述的方法，其特征在于，响应于所述调度消息，所述WLAN加密配置是在延迟之后实施的。16.根据权利要求14和15中所述的方法，其特征在于，所述调度消息指示实施所述WLAN加密配置被推迟，直到检测到所述移动设备与所述WLAN节点之间的通信中的暂停；以及该方法还包括：检测所述移动设备与所述WLAN节点之间的通信中的暂停；以及作为响应，实施所述WLAN加密配置。17.根据权利要求3-16中任一项所述的方法，其特征在于，还包括：向所述移动设备发送指示与数据相关的数据序列号的配置消息；在所述移动设备处，接收所述配置消息；以及使用所述数据序列号，确定是使用第一加密配置还是第二加密配置，以用于从所述移动设备到WLAN节点的上行链路和/或从所述WLAN节点到所述移动设备的下行链路；以及响应于所述确定，使用所述第一加密配置或所述第二加密配置以用于上行链路和/或下行链路。18.根据权利要求17中所述的方法，其特征在于，所述配置消息还指示：关于承载标识的信息；和/或所述配置消息是与上行链路相关还是与下行链路相关；和/或关于所述WLAN节点处的加密配置的信息。19.根据权利要求17或18中所述的方法，其特征在于，还包括：使用与低于所述配置消息所指示的序列号的序列号相关的数据的所述第一加密配置，以用于上行链路和/或下行链路。20.根据权利要求17-19中任一项所述的方法，其特征在于，还包括：使用与高于所述配置消息所指示的序列号的序列号相关的数据的所述第二加密配置，以用于上行链路和/或下行链路。21.根据权利要求17-20中任一项所述的方法，其特征在于，由所述配置消息所指示的数据序列号指示与上行链路数据相关的上行链路序列号；以及基于所述上行链路数据序列号，确定是使用所述第一加密配置还是所述第二加密配置，以用于从所述移动设备到所述WLAN节点的上行链路；以及响应于所述确定，使用所述第一加密配置或所述第二加密配置以用于上行链路。22.根据权利要求17-21中任一项所述的方法，其特征在于，由所述配置消息所指示的数据序列号指示与下行链路数据相关的下行链路序列号；以及基于所述下行链路数据序列号，确定是使用所述第一加密配置还是所述第二加密配置，以用于从所述移动设备到所述WLAN节点的下行链路；以及响应于所述确定，使用所述第一加密配置或所述第二加密配置以用于下行链路。23.根据权利要求17-22中任一项所述的方法，其特征在于，还包括：检测所述移动设备与WLAN之间的数据率；其中发送所述配置消息是基于所检测到的数据率而触发的。24.根据前述权利要求中任一项所述的方法，其特征在于，还包括：在移动设备与目标演进节点B处实施目标演进节点B加密配置，用于通过WLAN节点在所述移动设备与所述目标演进节点B之间通信数据；在所述移动设备处，使用所述目标演进节点B加密配置以通过所述WLAN节点发送用于所述目标演进节点B处接收的上行链路数据。25.根据权利要求24中所述的方法，其特征在于，还包括：在所述移动设备与所述源演进节点B处实施源演进节点B加密配置，用于通过WLAN节点在所述移动设备与所述源演进节点B之间通信数据；以及在所述移动设备处，使用所述源演进节点B加密配置以通过所述WLAN节点发送用于所述源演进节点B处接收的上行链路数据。26.根据权利要求3-25中任一项所述的方法，其特征在于，还包括：在移动设备与目标演进节点B处实施目标演进节点B加密配置，用于通过WLAN节点在所述移动设备与所述目标演进...

【专利技术属性】
技术研发人员：凯若兰·嘉克塔，
申请(专利权)人：捷开通讯深圳有限公司，
类型：发明
国别省市：广东,44