无线局域网中业务隧道建立的方法

专利名称：无线局域网中业务隧道建立的方法
技术领域：
本发明涉及通道建立技术，特别是指一种无线局域网(WLAN)中对用户终端所请求业务完成业务隧道建立的方法。
背景技术：
由于用户对无线接入速率的要求越来越高，无线局域网(WLAN，WirelessLocal Area Network)应运而生，它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术，目前应用较为广泛的一个技术标准是IEEE802.11b，它采用2.4GHz频段，最高数据传输速率可达11Mbps，使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术，其中，802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段，最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术，大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络，其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入，通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展，WLAN与各种无线移动通信网，诸如GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中，用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连，还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接，具体地说就是，WLAN用户终端在本地接入时，经由WLAN接入网络与3GPP的归属网络相连，如图2所示；在漫游时，经由WLAN接入网络与3GPP的访问网络相连，3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连，比如3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器；3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG，Packet DataGateway)等等，如图1所示。其中，图1、图2分别为漫游情况下和非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。
参见图1、图2所示，在3GPP系统中，主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络，此3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中，3GPP AAA服务器负责对用户的鉴权、授权和计费，对WLAN接入网络送来的计费信息收集并传送给计费系统；分组数据关口负责将用户数据从WLAN接入网络到3GPP网络或其他分组网络的数据传输；计费系统主要接收和记录网络传来的用户计费信息，还包括OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息，并进行统计和控制。
在非漫游情况下，当WLAN用户终端希望直接接入Interneet/Intranet时，用户终端通过WLAN接入网与AAA服务器(AS)完成接入认证授权后，用户终端可通过WLAN接入网接入到Internet/Intranet。如果WLAN用户终端还希望接入3GPP分组交换(PS)域业务，则可进一步向3GPP归属网络申请互通场景3(Scenario3)的业务，即WLAN用户终端向3GPP归属网络的AS发起互通场景3的业务授权请求，3GPP归属网络的AS对该业务授权请求进行业务鉴权和授权，如果成功，则AS给用户终端发送接入允许消息，且AS给用户终端分配相应的PDG，用户终端与所分配的PDG之间建立隧道后，即可接入3GPPPS域业务。同时，CGw/CCF和OCS根据用户终端的网络使用情况记录计费信息。在漫游情况下，当WIAN用户终端希望直接接入Internet/Intranet时，用户终端可通过3GPP访问网络向3GPP归属网络申请接入到Internet/Intranet。如果用户终端还希望申请互通场景3业务，接入到3GPP PS域业务，则用户终端需要通过3GPP访问网络向3GPP归属网络发起业务授权过程，该过程同样在用户终端和3GPP归属网络的AS之间进行，当授权成功后，AS给用户终端分配相应的归属PDG，用户终端通过3GPP访问网络中的WAG与分配的PDG之间建立隧道后，用户终端即可接入归属网络的3GPP PS域业务。
从以上描述可以看出，对于任何一个用户期望接入的业务，都需要建立WLAN用户终端与PDG之间的业务隧道，但如何建立该业务隧道的具体实现过程，目前尚未提出明确的解决方案。

发明内容
有鉴于此，本发明的主要目的在于提供一种无线局域网中业务隧道建立的方法，使WLAN用户终端与分组数据关口之间能建立安全的业务数据隧道。
为达到上述目的，本发明的技术方案是这样实现的一种无线局域网WLAN中业务隧道建立的方法，该方法包括以下步骤a.业务认证授权单元对当前请求业务的WLAN用户终端进行认证和授权，并判断认证授权是否通过，如果未通过，则结束当前隧道建立流程，如果通过，则生成包括用于当前请求业务WLAN用户终端与目的分组数据关口之间通信的共享密钥在内的业务授权信息；b.业务认证授权单元将步骤a中生成的至少包括共享通信密钥的业务授权信息发送给目的分组数据关口；c.目的分组数据关口根据所得到的共享通信密钥与当前请求业务的WLAN用户终端协商建立安全信任关系，如果建立成功，则目的分组数据关口继续为当前请求业务的WLAN用户终端分配隧道资源、协商参数，完成隧道的建立；否则结束当前隧道建立流程。
其中，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证可分为以下几种情况第一种情况进一步包括a11.所述WLAN用户终端直接向业务认证授权单元发送含有所请求业务标识和自身标识的认证请求；a12.业务认证授权单元收到认证请求后，根据用户标识对当前发起认证请求的WLAN用户终端进行身份认证和业务鉴权；a13.业务认证授权单元根据请求业务标识和用户签约信息确定所述WLAN用户终端所需连接的目的分组数据关口。
第二种情况进一步包括a21.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有自身标识的隧道建立请求；a22.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端标识的认证授权请求；a23.业务认证授权单元收到认证授权请求后，根据用户标识对当前发起隧道建立请求的WLAN用户终端进行身份认证和业务鉴权。
第三种情况进一步包括a31.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的标识认证通过的证书信息的认证请求；a32.业务认证授权单元根据请求业务标识和用户签约信息确定所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的证书信息是否有效，如果有效，则认证通过；否则认证失败。
第四种情况进一步包括a41.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的标识认证通过的证书信息的隧道建立请求；a42.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端证书信息的认证授权请求；a43.业务认证授权单元判断所收到的证书信息是否有效，如果有效，则认证通过；否则认证失败。
这里，所述证书信息为WLAN用户终端当前拥有的证书，或为用于查询WLAN用户终端当前拥有证书的证书索引标识。所述证书信息为证书索引标识时，所述判断证书信息是否有效进一步包括业务认证授权单元先根据所收到的证书索引标识查找WLAN用户终端当前拥有的证书，再判断所查找到的证书是否有效。
第五种情况进一步包括a51.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的共享秘密会话标识的认证请求；a52.业务认证授权单元根据请求业务标识确定和用户签约信息所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的共享秘密会话标识是否有效，如果有效，则认证通过；否则认证失败。
第六种情况进一步包括a61.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的共享秘密会话标识的隧道建立请求；a62.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端共享秘密会话标识的认证授权请求；a63.业务认证授权单元判断所收到的共享秘密会话标识是否有效，如果有效，则认证通过；否则认证失败。
第七种情况进一步包括a71.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的重认证标识的认证请求；a72.业务认证授权单元根据请求业务标识确定和用户签约信息所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的重认证标识是否有效，如果有效，则认证通过；否则认证失败。
第八种情况进一步包括a81.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的重认证标识的隧道建立请求；a82.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端重认证标识的认证授权请求；a83.业务认证授权单元判断所收到的重认证标识是否有效，如果有效，则认证通过；否则认证失败。
上述方案中，步骤b中业务认证授权单元将共享通信密钥发送给目的分组数据关口之前，进一步包括目的分组数据关口向业务认证授权单元发送业务授权请求，业务认证授权单元收到业务授权请求后，将自身生成的共享通信密钥及相关业务授权信息发送给目的分组数据关口。
对于第一、三、五、七种情况，步骤b与步骤c之间进一步包括当前请求业务的WLAN用户终端向目的分组数据关口发送隧道建立请求。
上述方案中，所述业务认证授权单元为认证授权计费服务器。在3G中，所述业务认证授权单元为3GPP AAA服务器。
本发明所提供的无线局域网中业务隧道建立的方法，利用现有WLAN交互网络的认证机制，使提供业务的PDG能对请求业务的WLAN用户终端进行识别和认证，进而在目的PDG与WLAN用户终端之间建立安全的业务数据隧道，从而可保障数据传输的安全可靠性，且实现简单方便，实现方式灵活多样。


图1为漫游情况下WLAN系统与3GPP系统互通的网络结构示意图；图2为非漫游情况下WLAN系统与3GPP系统互通的网络结构示意图；图3为本发明方法的实现流程示意图；图4为本发明第一实施例的实现流程示意图；图5为本发明第二实施例的实现流程示意图；
图6为本发明第三实施例的实现流程示意图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
如图3所示，本发明方法的具体实现过程包括以下步骤步骤301～303当前请求业务的WLAN用户终端与业务认证授权单元之间进行认证和授权，包括身份认证、业务鉴权和业务授权；并且，业务认证授权单元判断对当前请求业务的WLAN用户终端的认证授权是否通过，如果通过，则继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。
这里，业务认证授权单元可以由AAA服务器实现，在3G中，业务认证授权单元可以是3GPP AAA服务器。如果WLAN用户终端处于访问网络，则WLAN用户终端发送给AAA服务器的信息可以经由AAA代理转发。以下仅以业务认证授权单元是AAA服务器为例。
本步骤中，AAA服务器对WLAN用户终端的认证可以分为以下几种情况第一种情况当前请求业务的WLAN用户终端直接向AAA服务器发送认证请求，该请求中至少包括用户标识、所请求业务标识，还可进一步包括用户签约信息等信息。其中，所请求业务标识可以是所请求业务对应的接入点名称(APN)。
这种情况下，AAA服务器收到WLAN用户终端发来的认证请求后，一方面根据请求中的业务标识和用户签约信息确定处理该业务的目的PDG。另一方面，根据请求中的用户标识以及其它信息对当前发起请求的WLAN用户终端进行身份认证和业务授权，这里所述的其它信息包括发起请求WLAN用户终端的认证密码、用户签约信息等。AAA服务器根据请求中的信息和用户签约信息来确定该WLAN用户终端是否为合法用户，并确认是否允许为该WLAN用户终端提供所请求的业务，如果用户合法且具有提供所请求业务的权限，则对该WLAN用户终端认证通过，可继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。
第二种情况，当前请求业务的WLAN用户终端通过解析知道所请求业务对应哪个PDG，即知道所请求业务能由哪个PDG提供，则当前请求业务的WLAN用户终端按照解析出的目的PDG地址直接向目的PDG发送隧道建立请求，该请求中至少携带用户标识，目的PDG地址可根据业务名解析出。
这种情况下，目的PDG收到WLAN用户终端发来的隧道建立请求，先获取请求中的用户标识，然后向AAA服务器发起认证授权请求，该认证授权请求中含有用户标识及其它相关信息，比如发起请求WLAN用户终端的认证密码、用户签约信息等。AAA服务器收到认证授权请求后，根据请求中的用户标识和用户签约信息来确定该WLAN用户终端是否为合法用户，并确认是否允许为该WLAN用户终端提供所请求的业务，如果用户合法且具有提供所请求业务的权限，则对该WLAN用户终端认证通过，可继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。
第三种情况，当前请求业务的WLAN用户终端向AAA服务器发送含有当前拥有的、标识认证通过的证书信息和所请求业务标识的认证请求。这里所述的证书信息是指WLAN用户终端当前所拥有的证书本身，或者是用于查询WLAN用户终端当前所拥有证书的证书索引标识。
这里所提到的证书是利用公知的证书方法获得的，所谓证书方法具体是指用户获得一个私钥用来加密数据，证书服务器产生公钥来公开，用户获得的私钥与证书服务器的相关公钥共同形成证书，该证书可以自由被相关设备包括用户自身荻取，用来确认用户。
这种情况下，AAA服务器收到WLAN用户终端发来的认证请求后，一方面根据请求中的业务标识和用户签约信息确定处理该业务的目的PDG。另一方面，对请求中WLAN用户终端提供的证书信息进行确认，根据自身记录的信息或与证书服务系统交互获取的信息，来判断WLAN用户终端当前所拥有的证书是否有效，如果有效，则通过对当前请求业务WLAN用户终端的认证，继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。在进行证书信息确认时，如果证书信息为证书索引标识，则AAA服务器还要先根据所收到的证书索引标识到证书服务系统中查找WLAN用户终端当前拥有的证书，再判断所查找到的证书是否有效。
第四种情况，当前请求业务的WLAN用户终端向AAA服务器发送含有当前拥有的共享秘密会话标识和所请求业务标识的认证请求。
这里所提到的共享秘密会话标识是通过共享秘密方法获得的，所谓共享秘密方法是在GBA(Generic Bootstrapping Architecture)构架下，BSF(Boot-trapping Service Function)和用户交互产生密钥后，给用户发送一个会话标识(TID，Transaction ID)来标识它们之间的共享秘密，该共享秘密包括密钥、随机序列、检验值等安全信息。当用户向NAF(Operator-controlled NetworkApplication Function functionality)请求业务时，发送TID给用户，则NAF把该TID送给BSF，BSF则判断该TID是否有效，有效则初步认证通过，再把相关的共享秘密发送给NAF，NAF利用这些共享秘密进一步与用户进行认证建立信任关系。
这种情况下，AAA服务器收到WLAN用户终端发来的认证请求后，一方面根据请求中的业务标识和用户签约信息确定处理该业务的目的PDG。另一方面，对请求中WLAN用户终端提供的共享秘密会话标识进行确认，根据自身记录的信息判断该共享秘密会话标识是否有效，如果是，则通过对当前请求业务WLAN用户终端的认证，继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。
第五种情况，当前请求业务的WLAN用户终端向AAA服务器发送含有当前拥有的重认证标识和所请求业务标识的认证请求。
这种情况下，AAA服务器收到WLAN用户终端发来的认证请求后，一方面根据请求中的业务标识和用户签约信息确定处理该业务的目的PDG。另一方面，对请求中WLAN用户终端提供的重认证标识进行确认，根据自身记录的信息判断该重认证标识是否有效，如果是，则通过对当前请求业务WLAN用户终端的认证，继续执行步骤304；否则，对该WLAN用户终端认证失败，结束当前隧道建立流程。
上述第三、第四、第五种情况比较类似，只是在接入认证时，所分配的证书、共享秘密会话标识与重认证标识的安全级别不同，虽然都是认证通过，但证书和共享秘密会话标识相对于重认证标识而言，不必担心被盗取冒用，安全可靠性更高。所述证书、或共享秘密会话标识、或重认证标识可以是该WLAN用户终端在接入认证时获取的；也可以是由AAA服务器随时更新的。这两种情况中所述的接入认证，遵循802.1X接入认证的过程，基本包括WLAN用户终端与WLAN接入网建立无线连接后，由网络或所述WLAN用户终端发起接入认证过程，WLAN接入网向所述WLAN用户终端发送请求用户名报文；所述WLAN用户终端收到请求用户名报文后，通过接入控制单元向AAA服务器发送鉴权所需的认证信息，AAA服务器根据得到的用户终端相关信息以及自身存储的信息，在自身完成接入认证鉴权判定，如果认证鉴权成功，则根据签约情况对用户的接入范围进行授权，继续后续操作，否则通知用户终端接入认证鉴权失败，结束当前接入授权流程。
上述第三、第四、第五种情况中，WLAN用户终端也可以将自己当前拥有的证书、或共享秘密会话标识、或重认证标识放在隧道建立请求中发给目的PDG，目的PDG收到后再将证书、或共享秘密会话标识、或重认证标识通过认证授权请求转发给AAA服务器，由AAA服务器对请求业务的WLAN用户终端进行认证，AAA服务器执行的认证过程与前面所述过程相同。
另外，还有一种情况是如果存在一个用于进行初始接入处理的业务解析单元，则当前请求业务的WLAN用户终端将隧道建立请求发送给该业务解析单元，该请求中含有用户标识、用户签约信息、所请求业务名等信息，所述业务解析单元收到请求后，向业务认证授权单元发送含有用户标识、用户签约信息的认证授权请求，业务认证授权单元根据发起请求WLAN用户终端的用户签约信息，对发起请求的用户终端进行身份认证和业务授权。其中，该业务解析单元可以由一个PDG实现。
步骤304AAA服务器在自身生成至少包括用于当前请求业务WLAN用户终端和目的PDG之间共享通信密钥在内的业务授权信息，并将所生成的共享通信密钥发送给目的PDG；同时，当前请求业务WLAN用户终端也与AAA服务器协商生成共享通信密钥；并且，AAA服务器要向目的PDG发送业务授权消息，允许目的PDG向当前请求业务WLAN用户终端提供相应业务。所述业务授权消息可以是AAA服务器主动向目的PDG发送的；也可以是目的PDG向AAA服务器发送业务授权请求，请求从AAA服务器获取的。
本步骤所述生成共享通信密钥的过程可以是这样预先在WLAN用户终端和HLR/HSS设置共享密钥Ki，可采用SIM或USIM的方式存储；然后，以SIM的三元组认证为例，HLR会将相关的衍生三元组发送给AAA服务器，其中包括随机数Rand和密钥Kc，根据随机数Rand和Kc可以生成用于WLAN用户终端和目的PDG之间共享通信的密钥Ks；同时AAA服务器会将随机数Rand和Kc发给WLAN用户终端，WLAN用户终端也根据收到的随机数Rand和Kc生成共享通信密钥Ks，这就是所说的协商生成共享通信密钥，该共享通信密钥Ks用于与目的PDG之间数据传输。这里提到的SIM、USIM是指现有技术中通过三元组或五元组进行认证的方法。
AAA服务器可以将共享通信密钥放置于业务授权消息中发送给目的PDG，而且，在AAA服务器向目的PDG发送业务授权时，还可以将其它业务授权信息一起发送给目的PDG，所谓其它业务授权信息是指当前请求业务WLAN用户终端的相关用户信息、认证通过信息、授权WAPN等信息。当然，所述的共享通信密钥、授权WAPN等信息也可以分别独立发送。
另外，AAA服务器向目的PDG发送信息的前提是目的PDG与AAA服务器之间已经预先建立好相互信任的安全通道，该建立过程属于现有技术，比如可以采用预先设置共享密钥，或是建立站到站设备间多个用户共享的专用通道、或物理专线连接等多种方式，在此不再详细描述。
步骤305WLAN用户终端与目的PDG之间利用共享通信密钥Ks进行相互认证和协商，建立相互的安全信任关系。一旦完成相互安全信任关系的建立，则目的PDG继续为WLAN用户终端分配隧道资源、协商相关参数，完成安全业务数据隧道的建立，并为WLAN用户终端提供所需的业务。这里所述分配隧道资源、协商相关参数的过程与VPN中隧道建立的过程类似，所述分配隧道资源是指分配隧道内部用户IP地址、隧道标识、用户信息存储空间等资源，协商相关参数是指协商所用加密算法、协议版本等参数。如果未通过相互认证，则结束当前的隧道建立过程。这里所述的安全通信是指双方都要对发出的数据利用共享通信密钥加密，并且利用共享通信密钥对收到的数据解密和检验。
如果步骤301中请求业务的WLAN用户终端采用第一、或第三、或第四种情况到AAA服务器进行认证，则本步骤执行之前，请求业务的WLAN用户终端还要向目的PDG发送隧道建立请求。其中，目的PDG的地址，AAA服务器可以单独或在发共享通信密钥时一起发送给WLAN用户终端。
本步骤中所提到的WLAN用户终端与目的PDG双方相互认证协商建立安全信任关系时，是将共享通信密钥Ks作为基础预共享密钥完成进一步的协商操作。比如可利用现有的协议IKE、TLS等，将共享通信密钥Ks作为这些协议的基础预共享密钥完成进一步的协商操作。另外，也可以可以采用安全认证机制，比如WLAN用户终端和目的PDG先各自生成一个随机数，并分别利用自身生成的随机数和Ks计算出各自的密钥信息；在进行安全认证时，一方先利用对方的密钥信息生成自身的鉴权密钥，再根据双方确定的数字签名算法、自身生成的密钥信息、自身生成的鉴权密钥以及共享密钥，计算出本次认证过程中用于认证的签名字，并将计算出的签名字和密钥信息发给另一方，另一方再将计算出的自身当前使用的签名字和所收到的签名字进行比较，根据比较结果来确定对方是否为合法方。如果双方均为合法方，则认证成功；否则认证失败。
实施例一如图4所示，在3GPP-WLAN互通网络中，WLAN用户终端A选择接入某个业务，根据业务名解析发现该业务由PDG提供，则PDG为WLAN用户终端要连接的目的PDG，本实施例中，业务授权单元为3GPP AAA服务器。本实施例中，用户终端A在接入WLAN网络时，先经由WLAN接入网与3GPP AAA服务器完成接入认证和授权，如步骤400所示。之后，当WLAN用户终端A请求PDG提供的业务时，WLAN用户终端A与PDG之间的隧道建立过程包括以下步骤步骤401WLAN用户终端A向PDG发送端到端隧道建立请求，该请求中包括用于认证的用户标识、用户签约信息。
步骤402～403PDG收到端到端隧道建立请求后，将隧道建立请求中的认证信息通过认证授权请求转发给3GPP AAA服务器；3GPP AAA服务器收到后，根据所收到的认证信息对WLAN用户终端A进行认证，并判断认证是否通过，本实施例中设定认证通过。
步骤404～4053GPP AAA服务器根据预先设置的共享密钥Kc生成WLAN用户终端A与PDG进行安全通信所用的共享通信密钥Key，并将Key发送给PDG；同时，WLAN用户终端A也根据预先设置的共享密钥Kc生成共享通信密钥。并且，3GPP AAA服务器向PDG发业务授权消息，允许PDG向WLAN用户终端A提供业务。本实施例中，发送给PDG的Key放置在业务授权消息中，同时，业务授权消息中还包括授权WAPN等信息。
步骤406～407PDG向WLAN用户终端A返回端到端隧道建立响应，并利用所获得的Key为WLAN用户终端A分配隧道资源、协商相关参数，协商建立安全的业务数据隧道，为WLAN用户终端A提供所请求的业务数据。在双方传输数据过程中，各自利用所获取的Key对隧道数据进行加解密和检验。
实施例二如图5所示，与实施例一的条件和实现过程基本类似，只是步骤501中WLAN用户终端A向PDG发送的端到端隧道建立请求中携带有当前拥有的证书或用于查询证书的证书索引标识；则步骤503中，3GPP AAA服务器根据自身记录的信息或根据与证书服务系统交互获取的信息，判断WLAN用户终端A当前所拥有的证书是否有效，如果有效，则认证通过；否则，认证失败。
实施例三如图6所示，与实施例一的条件和实现过程基本类似，只是步骤601中WLAN用户终端A向PDG发送的端到端隧道建立请求中携带有当前拥有的共享秘密会话标识(TID)；则步骤603中，3GPP AAA服务器同时作为BSF功能实体，根据自身记录的信息判断所收到的TID是否有效，如果有效，则初步认证通过，3GPP AAA服务器将TID和相关共享秘密信息发送给PDG，此时PDG作为GBA构架下的NAF功能实体，PDG根据共享秘密信息与和用户终端进一步协商建立安全信任关系，其中共享秘密信息至少包含有Ks；否则，认证失败，用户终端可能需要重新交互获得TID。
以上所述，仅为本发明的较佳实施例而已，并非用来限定本发明的保护范围。
权利要求
1.一种无线局域网WLAN中业务隧道建立的方法，其特征在于，该方法包括以下步骤a.业务认证授权单元对当前请求业务的WLAN用户终端进行认证和授权，并判断认证授权是否通过，如果未通过，则结束当前隧道建立流程，如果通过，则生成包括用于当前请求业务WLAN用户终端与目的分组数据关口之间通信的共享通信密钥在内的业务授权信息；b.业务认证授权单元将步骤a中生成的至少包括共享通信密钥的业务授权信息发送给目的分组数据关口；c.目的分组数据关口根据所得到的共享通信密钥与当前请求业务的WLAN用户终端协商建立安全信任关系，如果建立成功，则目的分组数据关口继续为当前请求业务的WLAN用户终端分配隧道资源、协商参数，完成隧道的建立；否则结束当前隧道建立流程。
2.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a11.所述WLAN用户终端直接向业务认证授权单元发送含有所请求业务标识和自身标识的认证请求；a12.业务认证授权单元收到认证请求后，根据用户标识对当前发起认证请求的WLAN用户终端进行身份认证和业务鉴权；a13.业务认证授权单元根据请求业务标识和用户签约信息确定所述WLAN用户终端所需连接的目的分组数据关口。
3.根据权利要求1所述的方法，其特征在于，步骤a中业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a21.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有自身标识的隧道建立请求；a22.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端标识的认证授权请求；a23.业务认证授权单元收到认证授权请求后，根据用户标识对当前发起隧道建立请求的WLAN用户终端进行身份认证和业务鉴权。
4.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a31.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的标识认证通过的证书信息的认证请求；a32.业务认证授权单元根据请求业务标识和用户签约信息确定所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的证书信息是否有效，如果有效，则认证通过；否则认证失败。
5.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a41.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的标识认证通过的证书信息的隧道建立请求；a42.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端证书信息的认证授权请求；a43.业务认证授权单元判断所收到的证书信息是否有效，如果有效，则认证通过；否则认证失败。
6.根据权利要求4或5所述的方法，其特征在于，所述证书信息为WLAN用户终端当前拥有的证书，或为用于查询WLAN用户终端当前拥有证书的证书索引标识。
7.根据权利要求6所述的方法，其特征在于，所述证书信息为证书索引标识时，所述判断证书信息是否有效进一步包括业务认证授权单元先根据所收到的证书索引标识查找WLAN用户终端当前拥有的证书，再判断所查找到的证书是否有效。
8.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a51.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的共享秘密会话标识的认证请求；a52.业务认证授权单元根据请求业务标识确定和用户签约信息所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的共享秘密会话标识是否有效，如果有效，则认证通过；否则认证失败。
9.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a61.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的共享秘密会话标识的隧道建立请求；a62.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端共享秘密会话标识的认证授权请求；a63.业务认证授权单元判断所收到的共享秘密会话标识是否有效，如果有效，则认证通过；否则认证失败。
10.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a71.所述WLAN用户终端向业务认证授权单元发送含有所请求业务标识和当前拥有的重认证标识的认证请求；a72.业务认证授权单元根据请求业务标识确定和用户签约信息所述WLAN用户终端所需连接的目的分组数据关口，并且，业务认证授权单元判断所收到的重认证标识是否有效，如果有效，则认证通过；否则认证失败。
11.根据权利要求1所述的方法，其特征在于，步骤a中所述业务认证授权单元对当前请求业务的WLAN用户终端进行认证进一步包括a81.所述WLAN用户终端向当前请求业务所对应的目的分组数据关口发送含有所请求业务标识和当前拥有的重认证标识的隧道建立请求；a82.所述目的分组数据关口收到隧道建立请求后，向业务认证授权单元发送含有发起请求WLAN用户终端重认证标识的认证授权请求；a83.业务认证授权单元判断所收到的重认证标识是否有效，如果有效，则认证通过；否则认证失败。
12.根据权利要求1所述的方法，其特征在于，步骤b中业务认证授权单元将共享通信密钥发送给目的分组数据关口之前，进一步包括目的分组数据关口向业务认证授权单元发送业务授权请求，业务认证授权单元收到业务授权请求后，将自身生成的共享通信密钥及相关业务授权信息发送给目的分组数据关口。
13.根据权利要求2、4、8或10所述的方法，其特征在于，步骤b与步骤c之间进一步包括当前请求业务的WLAN用户终端向目的分组数据关口发送隧道建立请求。
14.根据权利要求1至5任一项或8至12任一项所述的方法，其特征在于，所述业务认证授权单元为认证授权计费服务器。
15.根据权利要求14所述的方法，其特征在于，所述业务认证授权单元为3GPP AAA服务器。
全文摘要
本发明公开了一种无线局域网中业务隧道建立的方法，该方法包括业务认证授权单元对当前请求业务的WLAN用户终端进行认证授权，并判断认证授权是否通过，如果通过，则生成包括用于当前请求业务、WLAN用户终端与目的分组数据关口之间共享通信密钥在内的业务授权信息，否则结束当前流程；业务认证授权单元将生成的包括共享通信密钥的业务授权信息发送给目的分组数据关口；目的分组数据关口根据所得到的共享通信密钥与当前请求业务的用户终端协商建立安全信任关系，如果建立成功，则目的分组数据关口继续为当前请求业务的用户终端分配隧道资源、协商参数，完成隧道的建立；否则结束当前流程。该方法使用户终端与分组数据关口间能建立安全的业务数据隧道。
文档编号H04L12/28GK1627753SQ200310118239
公开日2005年6月15日 申请日期2003年12月8日 优先权日2003年12月8日
发明者张文林 申请人:华为技术有限公司