无线局域网上的安全链路层连接的方法技术

本说明书提出一种方法和设备，其用于在两个端点（UE和WAG）之间建立以太网上传输层安全性TLS隧道，即，ETLS隧道，并传输在对于所有应用提议的TLS型以太网帧中封装和加密的UE业务，因此对于所有UE业务在公共无线局域网WLAN上提供安全层2连接性并克服公共WLAN上的传统HTTP登录机制的安全漏洞。UE利用可包括协商ETLS能力扩展的TLS握手协议，ETLS能力扩展包括用于建立分组数据连接的无线控制协议、和用于UE认证的隧穿认证协议以及用于对不同类型的以太网帧进行加密的全以太网保护。

Secure Link Layer Connection Method in Wireless LAN

This specification proposes a method and device for establishing a transport layer security TLS tunnel between two endpoints (UE and WAG), namely, ETLS tunnel, and transmitting UE services encapsulated and encrypted in the proposed TLS Ethernet frame for all applications. Therefore, for all UE services, security layer 2 connectivity is provided on public WLAN and public WLAN is overcome. Security vulnerability of traditional HTTP login mechanism. UE utilizes TLS handshake protocols that may include negotiating ETLS capability extensions, which include wireless control protocols for establishing packet data connections, tunneling authentication protocols for UE authentication, and all-ethernet protection for encrypting different types of Ethernet frames.

【技术实现步骤摘要】
【国外来华专利技术】无线局域网上的安全链路层连接的方法
本公开一般涉及公共无线局域网中的安全性。
技术介绍
公共无线局域网WLAN接入通过接入点AP在诸如用户设备UE的装置和云中的WLAN接入网关WAG或软件定义网络SDN控制器/交换机之间提供点到点层2（P2PL2）链路。WAG位于公共WLAN中或位于运营商分组核心网络的边缘。装置/UE通过无线保真WiFi链路连接到AP，并且AP通常利用诸如虚拟局域网VLAN的以太网和桥接技术或诸如以太网上通用路由封装GRE的隧穿技术连接到WAG。因此，P2P连接是WiFi链路和AP-WAG以太网连接上的逻辑连接。AP通过在WiFi链路的数据链路层中的电气和电子工程师协会IEEE802.11（媒体接入控制MAC）帧和朝向WAG或SDN控制器/交换机的以太网连接的数据链路层中（“导线上”）的IEEE802.3以太网帧之间的映射而通过P2P连接将从装置/UE接收的以太网帧传输到WAG/SDN控制器（或交换机）。在UE和TWAG之间的P2PL2链路上携带所有业务，包括例如动态主机控制协议DHCP消息、可扩展认证协议EAP消息、传送到UE/从UE传送的应用有效负载。当通过P2PL2链路将来自装置/UE的所有业务传输到WAG/SDN控制器（或交换机）时，在将业务转发给互联网或企业网络或其它分组数据网络之前，WAG/SDN控制器（或交换机）可提供装置/UE业务的控制和管理，诸如服务链接和/或网络地址转换NAT。在第三代合作伙伴计划3GPP技术规范TS23.402中规定的可信WLAN（TWAN）接入包括通过P2PL2链路连接到UE并通过到运营商的演进型分组核心网络EPC中的分组数据网关PGW的公知3GPPS2a接口（层3IP隧道）提供对运营商的演进型分组核心网络EPC的UE接入的WLANAP和可信WLAN接入网关TWAG的合集。PGW提供对运营商的服务（例如，服务链接、内联网等）的接入以及对分组数据网络PDN的接入。当UE没有被授权连接到EPC资源或服务或者没有请求连接到EPC资源时，TWAG还可提供将UE业务直接本地卸载到互联网，在这种情况下，不存在为UE建立的PDN连接。如图所指示，UE可经由通过P2PL2链路（UE-TWAG）和S2a接口（TWAG-PGW）建立的PDN连接而连接到运营商的EPC，或者可通过P2PL2链路从TWAG直接连接到互联网，而绕过EPC资源。3GPPTS23.402规定了允许UE连接到EPC以及直接连接到互联网的三种接入连接模式。这三种接入连接模式由透明单连接模式TSCM、单连接模式SCM和多连接模式MCM组成。每种接入连接模式支持业务本地分汇（localbreakout）（又称为直接接入互联网或非无缝WLAN卸载NSWO）和/或通过PDN连接的EPC路由的业务。在TSCM或SCM模式中，在UE和TWAG之间没有显式信令来通过S2a接口建立PDN连接。通过TWAG静态或动态地设立TWAG和PGW之间的S2a隧道，而无需来自UE的任何显式PDN连接信令。UE-TWAGP2PL2链路和S2a隧道之间的TWAN中的关联基于UEMAC地址。但是，在MCM中，利用UE和TWAG之间的专用信令协议（称为无线局部控制协议WLCP）来设立到EPC网络的一个或多个PDN连接。为了支持通过通过TWAN中的P2PL2链路和S2a接口建立的PDN连接来接入EPC资源和服务，在3GPPTS23.402中规定的UE和TWAN必须支持IEEE802.1x认证。但是，广泛部署的许多公共WLAN接入网络并不遵守3GPPTS23.402要求，并且并不利用IEEE802.1x认证。实际上，在大多数公共WLAN接入中，一旦UE尝试接入互联网，就执行接入认证。取代允许用户业务进入到互联网，而是将它重新引导到门户网站，门户网站经由用户/密码登录机制来认证用户。利用标准安全超文本传输协议HTTPS连接来执行向门户网站认证，HTTPS连接是在互联网工程任务组IETF请求评议RFC5246中规定的传输层安全性TLS上的HTTP协议。TLS协议使得装置/UE能够基于服务器证书认证TLS服务器（在门户网站中）并交换密码参数，密码参数将使得能够对与门户网站交换的HTTP有效负载进行加密。利用HTTPS连接，通过TLS协议在TCP/IP层对由用户通过P2P链路发送的登录数据（用户名和密码）进行加密，并且因此保护登录数据免于被窃取。一旦登录过程已经完成，通过P2PL2链路将IP业务从UE携带到互联网的所有以太网帧便将暴露于安全攻击，因为在公共WLAN中不存在链路层加密，并且可通过应用来提供任何加密（例如，如果UE通过公共WLAN经由HTTPS接入安全网站的话）。因此，许多用户在无心地接入不安全的网站时冒着它们的个人信息或数字身份的安全性的风险，因为用户的WiFi连接可能会被恶意用户抢夺。TWAN上的所有UE业务的这种缺乏地毯式保护可导致实质性的金钱损失或身份盗用。另外，尽管IEEE802.1x规定了在无线链路上保护通信安全的机制，但是它在公共WLAN中并未广泛使用。
技术实现思路
本专利技术的目的是消除或缓解现有技术的至少一个缺点，并在用户开始向/从互联网或向/从运营商的分组核心网络发送和接收任何有效负载之前通过公共无线局域网WLAN提供安全点到点P2PL2链路。通过传输层安全性TLS提供安全P2PL2连接性，TLS在以太网上本地运行，并且其中在提出的TLS型以太网帧中加密和传输与信令和数据有关的有效负载。在TLS型以太网帧中加密的数据可以是本地IP有效负载或其它不同的以太网帧。通过TLS型以太网加密的信令包括TLS握手完成、警告、心跳，并且可包括在TLS协议的TLS握手阶段期间协商的隧穿认证协议以及用于建立和释放到运营商的分组核心网络的分组数据连接PDN的无线局部控制协议WLCP。公开描述了与通过P2PL2链路建立和管理TLS隧道以便在公共WLAN上提供加密的链路层有关的用户设备UE、设备和在UE处执行的方法的实施例。本文中将P2PL2链路上的TLS隧道称为安全ETLS或ETLS。在一个实施例中，公开一种用于在WLAN上建立安全链路的方法，其中在用户设备UE处执行该方法，该方法包括以下步骤：通过链路层连接发送携带TLS客户端呼叫消息的TLS型以太网帧以便在UE和TLS型以太网帧的接收器之间建立安全以太网上TLS隧道（ETLS），其中接收器优选是无线接入网关。可通过从接收器接收到携带服务器呼叫请求消息的TLS型以太网帧或从UE的较上协议层接收到即将通过P2PL2链路发送的数据（诸如DHCP协议消息）来触发客户端呼叫消息。在UE从接收器获得封装在TLS型以太网帧中的TLS服务器呼叫消息之后，UE根据封装在TLS型以太网帧中的TLS握手消息在UE和接收器之间建立安全ETLS，并且其中TLS握手消息基于规定的TLS协议。一旦建立了安全ETLS（在本说明书中简称为ETLS），UE便执行在安全ETLS上遂穿选择的数据业务和信令的步骤，其中在数据TLS型以太网帧中加密和封装选择的数据业务。数据TLS型以太网帧是携带加密的有效负载的TLS型以太网帧。由于只存在在ETLS建立的初始交换中使用的未加密的几个TLS握手消息并且在TLS型以太网本文档来自技高网...

【技术保护点】
1.一种用于在无线区域网络WLAN上建立安全链路的方法（70），在用户设备UE处执行的所述方法包括：‑ 通过链路层连接发送（71）携带传输层安全性TLS客户端招呼消息的TLS型以太网帧，以用于在所述UE和所述TLS型以太网帧的接收器之间建立安全以太网上TLS隧道ETLS；‑ 当从所述接收器获得封装在所述TLS型以太网帧中的TLS服务器招呼消息时，根据封装在所述TLS型以太网帧中的TLS握手消息在所述UE和所述接收器之间建立（72）所述安全ETLS；以及‑ 在所述安全ETLS上遂穿（73）选择的数据业务和信令，其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。

【技术特征摘要】
【国外来华专利技术】1.一种用于在无线区域网络WLAN上建立安全链路的方法（70），在用户设备UE处执行的所述方法包括：-通过链路层连接发送（71）携带传输层安全性TLS客户端招呼消息的TLS型以太网帧，以用于在所述UE和所述TLS型以太网帧的接收器之间建立安全以太网上TLS隧道ETLS；-当从所述接收器获得封装在所述TLS型以太网帧中的TLS服务器招呼消息时，根据封装在所述TLS型以太网帧中的TLS握手消息在所述UE和所述接收器之间建立（72）所述安全ETLS；以及-在所述安全ETLS上遂穿（73）选择的数据业务和信令，其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。2.如权利要求1所述的方法，其中所述方法还包括所述UE和所述接收器协商ETLS能力扩展，其中所述ETLS能力扩展指示要封装在所述数据TLS型以太网帧内的一种或多种类型的所述选择的数据业务和信令。3.如权利要求2所述的方法，其中所述ETLS能力扩展指示在所述数据TLS型以太网帧内封装不同类型的一个或多个以太网帧。4.如权利要求1所述的方法，其中所述隧穿选择的数据业务和信令的步骤指示在所述数据TLS型以太网帧内封装所述UE和所述接收器之间的本地互联网协议IP业务。5.如权利要求2所述的方法，其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿认证协议以用于认证所述UE接入分组核心网络。6.如权利要求5所述的方法，其中在所述ETLS上遂穿的所述认证协议对应于扩展型认证协议EAP。7.如权利要求5所述的方法，其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿WLAN接入控制协议WLCP，并且其中利用所述WLCP来管理在所建立的安全ETLS上建立和释放到所述分组核心网络的分组数据连接。8.如权利要求7所述的方法，其中所述WLCP的启动以根据所述认证协议认证所述UE接入所述分组核心网络的成功结果为条件。9.如权利要求1所述的方法，其中通过从所述接收器接收到携带服务器招呼请求消息的TLS型以太网帧的至少一个或从所述UE的较上协议层接收到要通过所述链路层连接发送的数据而触发所述发送携带所述TLS客户端招呼消息的所述TLS型以太网帧的步骤。10.如权利要求1所述的方法，其中所述方法还包括发送TLS警告消息以便指示释放所述安全ETLS。11.如权利要求5所述的方法，其中所述方法还包括在所述安全ETLS上接收TLS警告消息以便指示接入认证失败。12.如权利要求7所述的方法，其中所述方法还包括在所述安全ETLS上发送TLS警告消息以便指示所述UE从所述分组核心网络分离。13.一种包括指令的计算机程序，所述指令在至少一个处理器上执行时使得所述至少一个处理器进行根据权利要求1至12中任一权利要求所述的方法。14.一种包含如权利要求13所述的计算机程序的载体，其中所述载体是以下之一：电子信号、光信号、无线电信号或计算机可读存储介质。15.一种配置成在无线区域网络WLAN上建立安全链路层连接的装置（100），所述装置（100）包括电路（80），所述电路（80）配置成：-通过链路层连接发送携带传输层安全性TLS客户端招呼消息的TLS型以太网帧，以用于在所述装置和所述TLS型以太网帧的接收器（102）之间建立安全以太网上TLS隧道ETLS；-当从所述接收器接收到封装在所述TLS型以太网帧中的TLS服务器招呼消息时，根据封装在所述TLS型以太网帧中的TLS握手消息在所述装置（100）和所述接收器（102）之间建立所述安全ETLS；以及-在所述安全ETL...

【专利技术属性】
技术研发人员：巫长征，覃华伟，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE