This specification proposes a method and device for establishing a transport layer security TLS tunnel between two endpoints (UE and WAG), namely, ETLS tunnel, and transmitting UE services encapsulated and encrypted in the proposed TLS Ethernet frame for all applications. Therefore, for all UE services, security layer 2 connectivity is provided on public WLAN and public WLAN is overcome. Security vulnerability of traditional HTTP login mechanism. UE utilizes TLS handshake protocols that may include negotiating ETLS capability extensions, which include wireless control protocols for establishing packet data connections, tunneling authentication protocols for UE authentication, and all-ethernet protection for encrypting different types of Ethernet frames.
【技术实现步骤摘要】
【国外来华专利技术】无线局域网上的安全链路层连接的方法
本公开一般涉及公共无线局域网中的安全性。
技术介绍
公共无线局域网WLAN接入通过接入点AP在诸如用户设备UE的装置和云中的WLAN接入网关WAG或软件定义网络SDN控制器/交换机之间提供点到点层2(P2PL2)链路。WAG位于公共WLAN中或位于运营商分组核心网络的边缘。装置/UE通过无线保真WiFi链路连接到AP,并且AP通常利用诸如虚拟局域网VLAN的以太网和桥接技术或诸如以太网上通用路由封装GRE的隧穿技术连接到WAG。因此,P2P连接是WiFi链路和AP-WAG以太网连接上的逻辑连接。AP通过在WiFi链路的数据链路层中的电气和电子工程师协会IEEE802.11(媒体接入控制MAC)帧和朝向WAG或SDN控制器/交换机的以太网连接的数据链路层中(“导线上”)的IEEE802.3以太网帧之间的映射而通过P2P连接将从装置/UE接收的以太网帧传输到WAG/SDN控制器(或交换机)。在UE和TWAG之间的P2PL2链路上携带所有业务,包括例如动态主机控制协议DHCP消息、可扩展认证协议EAP消息、传送到UE/从UE传送的应用有效负载。当通过P2PL2链路将来自装置/UE的所有业务传输到WAG/SDN控制器(或交换机)时,在将业务转发给互联网或企业网络或其它分组数据网络之前,WAG/SDN控制器(或交换机)可提供装置/UE业务的控制和管理,诸如服务链接和/或网络地址转换NAT。在第三代合作伙伴计划3GPP技术规范TS23.402中规定的可信WLAN(TWAN)接入包括通过P2PL2链路连接到UE并通过到运营商的演进型分 ...
【技术保护点】
1.一种用于在无线区域网络WLAN上建立安全链路的方法(70),在用户设备UE处执行的所述方法包括:‑ 通过链路层连接发送(71)携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述UE和所述TLS型以太网帧的接收器之间建立安全以太网上TLS隧道ETLS;‑ 当从所述接收器获得封装在所述TLS型以太网帧中的TLS服务器招呼消息时,根据封装在所述TLS型以太网帧中的TLS握手消息在所述UE和所述接收器之间建立(72)所述安全ETLS;以及‑ 在所述安全ETLS上遂穿(73)选择的数据业务和信令,其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。
【技术特征摘要】
【国外来华专利技术】1.一种用于在无线区域网络WLAN上建立安全链路的方法(70),在用户设备UE处执行的所述方法包括:-通过链路层连接发送(71)携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述UE和所述TLS型以太网帧的接收器之间建立安全以太网上TLS隧道ETLS;-当从所述接收器获得封装在所述TLS型以太网帧中的TLS服务器招呼消息时,根据封装在所述TLS型以太网帧中的TLS握手消息在所述UE和所述接收器之间建立(72)所述安全ETLS;以及-在所述安全ETLS上遂穿(73)选择的数据业务和信令,其中在数据TLS型以太网帧中加密和封装所述选择的数据业务。2.如权利要求1所述的方法,其中所述方法还包括所述UE和所述接收器协商ETLS能力扩展,其中所述ETLS能力扩展指示要封装在所述数据TLS型以太网帧内的一种或多种类型的所述选择的数据业务和信令。3.如权利要求2所述的方法,其中所述ETLS能力扩展指示在所述数据TLS型以太网帧内封装不同类型的一个或多个以太网帧。4.如权利要求1所述的方法,其中所述隧穿选择的数据业务和信令的步骤指示在所述数据TLS型以太网帧内封装所述UE和所述接收器之间的本地互联网协议IP业务。5.如权利要求2所述的方法,其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿认证协议以用于认证所述UE接入分组核心网络。6.如权利要求5所述的方法,其中在所述ETLS上遂穿的所述认证协议对应于扩展型认证协议EAP。7.如权利要求5所述的方法,其中所述ETLS能力扩展还指示支持在所建立的安全ETLS上遂穿WLAN接入控制协议WLCP,并且其中利用所述WLCP来管理在所建立的安全ETLS上建立和释放到所述分组核心网络的分组数据连接。8.如权利要求7所述的方法,其中所述WLCP的启动以根据所述认证协议认证所述UE接入所述分组核心网络的成功结果为条件。9.如权利要求1所述的方法,其中通过从所述接收器接收到携带服务器招呼请求消息的TLS型以太网帧的至少一个或从所述UE的较上协议层接收到要通过所述链路层连接发送的数据而触发所述发送携带所述TLS客户端招呼消息的所述TLS型以太网帧的步骤。10.如权利要求1所述的方法,其中所述方法还包括发送TLS警告消息以便指示释放所述安全ETLS。11.如权利要求5所述的方法,其中所述方法还包括在所述安全ETLS上接收TLS警告消息以便指示接入认证失败。12.如权利要求7所述的方法,其中所述方法还包括在所述安全ETLS上发送TLS警告消息以便指示所述UE从所述分组核心网络分离。13.一种包括指令的计算机程序,所述指令在至少一个处理器上执行时使得所述至少一个处理器进行根据权利要求1至12中任一权利要求所述的方法。14.一种包含如权利要求13所述的计算机程序的载体,其中所述载体是以下之一:电子信号、光信号、无线电信号或计算机可读存储介质。15.一种配置成在无线区域网络WLAN上建立安全链路层连接的装置(100),所述装置(100)包括电路(80),所述电路(80)配置成:-通过链路层连接发送携带传输层安全性TLS客户端招呼消息的TLS型以太网帧,以用于在所述装置和所述TLS型以太网帧的接收器(102)之间建立安全以太网上TLS隧道ETLS;-当从所述接收器接收到封装在所述TLS型以太网帧中的TLS服务器招呼消息时,根据封装在所述TLS型以太网帧中的TLS握手消息在所述装置(100)和所述接收器(102)之间建立所述安全ETLS;以及-在所述安全ETL...
【专利技术属性】
技术研发人员:巫长征,覃华伟,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。