无线局域网上的安全链路层连接的方法与流程

本公开一般涉及公共无线局域网中的安全性。
背景技术：
：公共无线局域网wlan接入通过接入点ap在诸如用户设备ue的装置和云中的wlan接入网关wag或软件定义网络sdn控制器/交换机之间提供点到点层2（p2pl2）链路。wag位于公共wlan中或位于运营商分组核心网络的边缘。装置/ue通过无线保真wifi链路连接到ap，并且ap通常利用诸如虚拟局域网vlan的以太网和桥接技术或诸如以太网上通用路由封装gre的隧穿技术连接到wag。因此，p2p连接是wifi链路和ap-wag以太网连接上的逻辑连接。ap通过在wifi链路的数据链路层中的电气和电子工程师协会ieee802.11（媒体接入控制mac）帧和朝向wag或sdn控制器/交换机的以太网连接的数据链路层中（“导线上”）的ieee802.3以太网帧之间的映射而通过p2p连接将从装置/ue接收的以太网帧传输到wag/sdn控制器（或交换机）。在ue和twag之间的p2pl2链路上携带所有业务，包括例如动态主机控制协议dhcp消息、可扩展认证协议eap消息、传送到ue/从ue传送的应用有效负载。当通过p2pl2链路将来自装置/ue的所有业务传输到wag/sdn控制器（或交换机）时，在将业务转发给互联网或企业网络或其它分组数据网络之前，wag/sdn控制器（或交换机）可提供装置/ue业务的控制和管理，诸如服务链接和/或网络地址转换nat。在第三代合作伙伴计划3gpp技术规范ts23.402中规定的可信wlan（twan）接入包括通过p2pl2链路连接到ue并通过到运营商的演进型分组核心网络epc中的分组数据网关pgw的公知3gpps2a接口（层3ip隧道）提供对运营商的演进型分组核心网络epc的ue接入的wlanap和可信wlan接入网关twag的合集。pgw提供对运营商的服务（例如，服务链接、内联网等）的接入以及对分组数据网络pdn的接入。当ue没有被授权连接到epc资源或服务或者没有请求连接到epc资源时，twag还可提供将ue业务直接本地卸载到互联网，在这种情况下，不存在为ue建立的pdn连接。如图所指示，ue可经由通过p2pl2链路（ue-twag）和s2a接口（twag-pgw）建立的pdn连接而连接到运营商的epc，或者可通过p2pl2链路从twag直接连接到互联网，而绕过epc资源。3gppts23.402规定了允许ue连接到epc以及直接连接到互联网的三种接入连接模式。这三种接入连接模式由透明单连接模式tscm、单连接模式scm和多连接模式mcm组成。每种接入连接模式支持业务本地分汇（localbreakout）（又称为直接接入互联网或非无缝wlan卸载nswo）和/或通过pdn连接的epc路由的业务。在tscm或scm模式中，在ue和twag之间没有显式信令来通过s2a接口建立pdn连接。通过twag静态或动态地设立twag和pgw之间的s2a隧道，而无需来自ue的任何显式pdn连接信令。ue-twagp2pl2链路和s2a隧道之间的twan中的关联基于uemac地址。但是，在mcm中，利用ue和twag之间的专用信令协议（称为无线局部控制协议wlcp）来设立到epc网络的一个或多个pdn连接。为了支持通过通过twan中的p2pl2链路和s2a接口建立的pdn连接来接入epc资源和服务，在3gppts23.402中规定的ue和twan必须支持ieee802.1x认证。但是，广泛部署的许多公共wlan接入网络并不遵守3gppts23.402要求，并且并不利用ieee802.1x认证。实际上，在大多数公共wlan接入中，一旦ue尝试接入互联网，就执行接入认证。取代允许用户业务进入到互联网，而是将它重新引导到门户网站，门户网站经由用户/密码登录机制来认证用户。利用标准安全超文本传输协议https连接来执行向门户网站认证，https连接是在互联网工程任务组ietf请求评议rfc5246中规定的传输层安全性tls上的http协议。tls协议使得装置/ue能够基于服务器证书认证tls服务器（在门户网站中）并交换密码参数，密码参数将使得能够对与门户网站交换的http有效负载进行加密。利用https连接，通过tls协议在tcp/ip层对由用户通过p2p链路发送的登录数据（用户名和密码）进行加密，并且因此保护登录数据免于被窃取。一旦登录过程已经完成，通过p2pl2链路将ip业务从ue携带到互联网的所有以太网帧便将暴露于安全攻击，因为在公共wlan中不存在链路层加密，并且可通过应用来提供任何加密（例如，如果ue通过公共wlan经由https接入安全网站的话）。因此，许多用户在无心地接入不安全的网站时冒着它们的个人信息或数字身份的安全性的风险，因为用户的wifi连接可能会被恶意用户抢夺。twan上的所有ue业务的这种缺乏地毯式保护可导致实质性的金钱损失或身份盗用。另外，尽管ieee802.1x规定了在无线链路上保护通信安全的机制，但是它在公共wlan中并未广泛使用。技术实现要素：本发明的目的是消除或缓解现有技术的至少一个缺点，并在用户开始向/从互联网或向/从运营商的分组核心网络发送和接收任何有效负载之前通过公共无线局域网wlan提供安全点到点p2pl2链路。通过传输层安全性tls提供安全p2pl2连接性，tls在以太网上本地运行，并且其中在提出的tls型以太网帧中加密和传输与信令和数据有关的有效负载。在tls型以太网帧中加密的数据可以是本地ip有效负载或其它不同的以太网帧。通过tls型以太网加密的信令包括tls握手完成、警告、心跳，并且可包括在tls协议的tls握手阶段期间协商的隧穿认证协议以及用于建立和释放到运营商的分组核心网络的分组数据连接pdn的无线局部控制协议wlcp。公开描述了与通过p2pl2链路建立和管理tls隧道以便在公共wlan上提供加密的链路层有关的用户设备ue、设备和在ue处执行的方法的实施例。本文中将p2pl2链路上的tls隧道称为安全etls或etls。在一个实施例中，公开一种用于在wlan上建立安全链路的方法，其中在用户设备ue处执行该方法，该方法包括以下步骤：通过链路层连接发送携带tls客户端呼叫消息的tls型以太网帧以便在ue和tls型以太网帧的接收器之间建立安全以太网上tls隧道（etls），其中接收器优选是无线接入网关。可通过从接收器接收到携带服务器呼叫请求消息的tls型以太网帧或从ue的较上协议层接收到即将通过p2pl2链路发送的数据（诸如dhcp协议消息）来触发客户端呼叫消息。在ue从接收器获得封装在tls型以太网帧中的tls服务器呼叫消息之后，ue根据封装在tls型以太网帧中的tls握手消息在ue和接收器之间建立安全etls，并且其中tls握手消息基于规定的tls协议。一旦建立了安全etls（在本说明书中简称为etls），ue便执行在安全etls上遂穿选择的数据业务和信令的步骤，其中在数据tls型以太网帧中加密和封装选择的数据业务。数据tls型以太网帧是携带加密的有效负载的tls型以太网帧。由于只存在在etls建立的初始交换中使用的未加密的几个tls握手消息并且在tls型以太网帧中加密发送剩余业务数据/信令，所以本说明书又将把数据tls型以太网帧称为携带加密的有效负载的tls型以太网帧。选择的数据业务和信令可以是在tls型以太网帧中本地并加密传输的所有ip业务。备选地，在tls型以太网帧内加密的选择的数据业务和信令可对应于与tls型以太网帧不同的其它以太网帧。在一个实施例中，该方法还包括ue和接收器协商etls能力扩展，并且其中etls能力扩展指示封装在tls型以太网帧内的一种或多种类型的选择的数据业务。在一个实施例中，etls能力扩展指示在tls型以太网帧内封装不同类型的一个或多个以太网帧。在另一个实施例中，etls能力扩展还指示支持隧穿认证协议以便认证ue在建立的安全etls上接入分组核心网络。在一个实施例中，在etls上隧穿的认证协议对应于扩展型认证协议eap。在另一个实施例中，etls能力扩展还指示支持在建立的安全etls上隧穿wlan接入控制协议wlcp，并且其中利用wlcp来管理通过ue在建立的安全etls上建立和释放到分组核心网络的分组数据连接。在一个实施例中，wlcp的启动以根据认证协议认证ue接入分组核心网络的成功结果为条件。在一个实施例中，该方法还包括ue发送tls警告消息以便指示通过ue释放安全etls。在另一个实施例中，该方法还包括通过ue从接收器（wag）接收tls警告消息以便指示ue的接入认证失败，并且在一个实施例中，在ue中的方法还包括通过ue发送tls警告消息以便指示ue从分组核心网络分离。tls警告消息可包括合适的原因值。一些实施例描述一种装置（即，ue），其中该装置包括处理器和存储器，其中存储器包含可由处理器执行的指令，由此装置可进行操作以便通过链路层连接发送携带tls客户端呼叫消息的tls型以太网帧，从而在装置和tls型以太网帧的接收器（例如，wag）之间建立安全etls。当装置从接收器接收到封装在tls型以太网帧中的tls服务器呼叫消息时，装置根据封装在tls型以太网帧中的tls握手消息在装置和接收器之间建立安全etls。一旦建立安全etls，装置便在安全etls上隧穿选择的数据业务，其中在tls型以太网帧中加密和封装选择的数据业务。附图说明现在将参考附图仅仅作为举例来描述本发明的实施例，其中：图1示出根据实施例在以太网上在作为启动在以太网上建立tls隧道的发送器的ue100和作为接收器的wag102之间设立tls隧道的高级序列图。图2示出根据实施例在ap上在作为发送器和接收器的ue和wag处的协议堆栈体系结构。图3示出根据实施例的tls协议扩展。图4a和4b示出根据两个实施例的两种tls型以太网帧格式。图5示出根据实施例利用etls将业务本地卸载到互联网。图6示出根据实施例利用etls的业务的演进型分组核心epc路由。图7示出根据实施例利用tls型以太网帧来建立etls的方法。图8示出根据实施例的诸如ue的装置的示意性图示。图9示出根据另一个实施例的诸如ue的装置的示意性图示。具体实施方式首字母缩略词和定义：本公开通篇中使用以下首字母缩略词和定义。wifil2链路：ue和ap之间的链路，并且对应于ieee802.11数据链路层。以太网链路：ap和wag之间的链路，并且对应于ieee802.3数据链路层。p2pl2链路：wifil2链路和以太网链路在ap处的连结，它将ue连接到wag，其中ap在ieee802.3以太网帧和ieee802.11帧之间提供映射。p2pl2链路传输通过wifil2链路由mac层封装并且在通过以太网链路传送时由vlan或gre帧封装的tls型以太网帧。etls：以太网上的tls隧道或连接，并且对应于通过p2pl2链路在ue和wag之间建立的tls隧道。当在ue和wag之间传送时，通过与链路层相关联的tls记录子层对数据加密，并将数据封装在tls型以太网帧中，从而在公共wlan上对数据提供层2加密。在本说明书中，可互换地利用etls、etls连接、etls隧道来表示同一事物。etls会话：维持与etls相关联的会话参数的持续时间，其中会话参数包括etls的会话id以及用于在etls上对数据进行加密的密码信息。即使释放etls，仍可维持etls会话。可利用存储在etls会话中的密码信息来快速地重新建立etls。现在将参考附图描述本发明的各种特征。下文结合示例性实施例和示例来更详细地描述这些各种方面以便于理解本发明，但是不应将它们理解为局限于这些实施例。而是，提供这些实施例是为了使得本公开将充分且完整，并将向本领域技术人员全面传达本发明的范围。依据即将通过能够执行程序化指令的计算机系统或其它硬件的元件来执行的动作或功能的序列来描述本发明的许多方面。将意识到，可通过专门化电路、通过由一个或多个处理器执行的程序指令、或通过两者的组合来执行各种动作。此外，可另外考虑在包含将使得处理器进行本文中描述的技术的计算机指令的合适集合的任何形式的计算机可读载体或载波内完全实施本发明。图1示出根据实施例用于通过p2pl2链路在作为启动etls的建立的发送器的ue100和作为etls的接收器端点的wag102之间设立tls隧道（在本文中称为以太网上tls，即etls）的高级序列图。还将描述其中wag102是启动与ue100建立etls的发送器的其它实施例。在图1中示出的实施例中所使用的隧穿协议基于在互联网工程任务组ietf请求评议rfc5246中规定的传输层安全性tls。tls是在互联网中广泛用于在两个通信计算机应用之间提供隐私和数据完整性的客户端-服务器协议。它在诸如web浏览、电子邮件等的应用中广泛使用。对应于tls上的http的https广泛用于在公共wlan上提供安全登录机制（例如，在机场、咖啡厅、酒店等中的wlan登录）。但是，一旦登录过程完成，便不再利用用于登录的https会话来对在公共wlan上传送的互联网业务进行加密。如果用户尝试通过公共wlan来接入互联网中的安全网站，那么将建立该应用的另一个tls会话和连接以便保护对应的应用业务。这与在图1的实施例中建立的tls连接/隧道不同，在图1的实施例中，在链路层（即，以太网）上建立tls隧道/连接以便对ue100和wag102之间的所有业务进行加密，而不管在供ue100使用的应用层中的应用客户端的类型如何。tls协议由两个层组成：tls记录协议和tls握手协议。tls记录协议用于封装各种较高级协议。记录协议取得即将传送的消息，将数据分割成可管理的块，可选地压缩数据，运用消息认证码来认证消息，加密并传送结果。对接收的数据进行解密、验证、解压缩、重新组合，并接着将它接送给更高级客户端。ietfrfc5246中规定了利用记录协议的四个协议：握手协议，警告协议，改变密码规范协议，以及应用数据协议。利用记录协议的额外tls协议是在ietfrfc6520中规定的心跳协议。为了允许扩展tls协议，可通过记录协议来支持额外的记录内容类型。当前，已知有以下记录内容类型：-20change_cipher_spec（改变密码规范）-21alert（警告）-22handshake（握手）-23applicationdata（应用数据）-24heartbeat（心跳）本说明书描述隧穿认证协议和无线局部控制协议wlcp的额外记录内容类型的实施例。在应用协议（例如，http）传送或接收它的第一个数据字节之前，tls服务器和tls客户端利用握手协议来认证彼此并协商加密算法和密码密钥。一旦tls握手完成，便建立tls隧道/连接，并在tls客户端和tls服务器两者中创建和维持由唯一会话标识符标识的对应tls会话。可通过协商的密码密钥来加密传送应用数据。当tls隧道/连接关闭时，可释放或维持tls会话。tls客户端可在tls隧道/连接设立期间重新创建新的tls会话或重新开始现有tls会话。在rfc5246中规定的tls需要可靠的传输通道，通常在每个应用上建立tcp和tls。当应用需要udp作为传输协议时，取代tls，利用在ietfrfc6347中规定的数据报tls（dtls）。图1中的实施例描述了在层2等级建立tls连接/会话/隧道以便在成功完成握手协议之后对ue100和wag102之间的所有业务提供链路层加密。在p2pl2连接上对数据提供的tls加密独立于可供较上层协议（例如，https数据）使用的任何其它tls加密。另外，图1的实施例中的tls协议并不利用tcp或udp作为传输，而是在以太网上本地携带协议。利用包括ue100、ap101和wag102的简化的公共wlan来示出图1中的实施例。ue100可以是智能电话、平板、相机、xbox等，换句话说，它可以是除了诸如lte或5g的可能的其它蜂窝接口之外还支持wifi接口（例如，ieee802.11接口）的任何用户装置或消费型装置。上文提到的任何装置将在本文中称为ue100。ue100在公共wlan上利用wifi接口连接以便接入互联网和/或用户的运营商分组核心网络和服务。在本说明书中描述的实施例中，如果wag102（充当tls服务器）需要tls客户端认证，那么在接入公共wlan之前，ue100可获得证书，或者可为ue100配置证书。证书可以是国际电报联盟itux.509公共密钥证书或由可信实体提供的其它证书。ap101提供wifil2链路和以太网链路的连结以便在ue100和wag102之间形成p2pl2链路。ap101是在wifil2链路的数据链路层上从ue100接收ieee802.11mac帧并在朝向wag102的以太网链路的数据链路层上将它们映射到ieee802.3以太网帧的ap。另外，ap101利用诸如vlan的桥接技术或诸如gre上以太网的隧道技术来封装802.11帧的数据单元或有效负载，然后再在802.3以太网链路上将它们发送给wag102。同样地，检索在vlan或gre等内从wag102接收的数据单元并在802.11帧中将它们发送给ue100。图1的实施例中的ap101从ue100作为802.11mac帧中的数据单元接收tls型以太网帧。802.11mac帧的以太网类型字段可指示存在tls型以太网帧作为数据单元。作为一个实施例，802.11mac帧的以太网类型字段可指示“以太网上tls”或“etls”作为新值。ap101从802.11mac帧检索数据单元（即，tls型以太网帧），并封装在vlan帧或gre帧中，并通过802.3以太网链路将它发送给wag102。当利用vlan作为ap101和wag102之间的桥接技术时，vlan报头将改为指示“etls”以便将有效负载或数据单元的类型标识为是携带tls业务的tls型以太网帧。将tls型以太网帧作为数据单元进行处置，并且它的内容对于ap101透明，除非wag102在功能上与ap101共置，从而终止tls隧道/连接。wag102是wlan接入网关，它可在公共wlan中或在运营商的分组核心（例如，epc）的边缘。wag102通过p2pl2链路从ap101接收用户数据，并且要么将数据直接转发给nswo配置中的互联网，从而绕过任何运营商的分组核心网络资源，要么如果ue100支持并请求分组核心网络路由，那么通过s2a接口朝向运营商的分组核心网络中的网关（例如，pgw）隧穿数据。wag102可以是在3gppts23.402中规定的twag，或者可以是为wlan用户提供对互联网的直接接入或对运营商的分组核心资源和服务的接入的任何接入网关。wag功能性也可分布在云环境中的sdn控制器/交换机之间。在本说明书中，利用wag102来描述本发明的实施例。在图1中描述的实施例中，wag102终止通过p2pl2链路与ue100的tls连接，检索来自ue100的封装/加密的数据或信令以便进行进一步处理，并将封装/加密的数据/信令传送给ue100。另外，在本说明书中，利用epc作为运营商的分组核心来描述实施例。但是，将了解，可利用任何运营商的分组核心网络，包括但不限于5g核心网络、通用分组无线电服务gprs网络、虚拟化分布式分组核心和/或sdn定义的核心网络。在任何环境中，分组核心网络提供支持到wag102的s2a接口（或类似接口）的网关功能（在epc情况下为pgw），以便提供对运营商的资源和服务的接入。那些服务的示例包括但不限于ip地址指派、服务链接、接入pdn、内联网、互联网协议多媒体子系统服务ims等。图1示出如何在通过p2pl2链路传送任何数据或其它信令之前通过ap101直接通过p2pl2链路在ue100和wag102之间设立tls隧道/连接（本文中称为etls）。用于在图1的实施例中设立etls的tls握手协议基于ietfrfc5246的握手消息。在图1的实施例中，通过充当tls客户端的ue100利用与wag102的tls握手交换来启动etls隧道设立。ue100通过在步骤120发送tls客户端呼叫消息（或第一tls呼叫消息）来启动etls设立。tls客户端呼叫消息列出诸如tls版本的密码信息以及按照客户端的偏好顺序的由ue100支持的ciphersuites（密码套件），并且可包括由ue100中的tls客户端支持的数据压缩方法。在以内容类型“握手”标识的tls型以太网帧内并通过wifil2链路未加密地发送tls客户端呼叫消息。可通过在ue100中从较上协议层接收的数据（诸如即将发送给wag102的dhcp消息）来触发tls客户端呼叫。此外，tls客户端呼叫消息可包括可选扩展以使得ue100能够与wag102协商etls能力。etls能力指示用建立的tls加密密钥加密以用于通过etls隧道的传送的业务的类型。协商的etls能力包括：-全以太网保护-tls隧穿认证支持-无线局部控制协议wlcp支持全以太网保护：指示将在rfcietf5246中规定的tlsapplication_data子层中封装ue100和wag102之间的所有有效负载。默认地，tls型以太网帧可取代现有ip型以太网帧，并且ip型以太网帧的较上ip有效负载改为封装在tls中并且包含在tls型以太网帧中，然后通过p2pl2链路传送。另外，全以太网保护可包括将除了ip型以太网帧之外的所有其它以太网帧封装在tls中（因此加密）。通过ue100将对应的以太网类型（2个字节）添加到tls帧中（跟在tls报头之后），以使得wag102可恢复原始以太网帧。图4示出tls型以太网帧的两个实施例。tls遂穿认证：指示利用遂穿认证。当在etls设立期间还没有为客户端（ue）颁发证书并且因此还没有执行客户端证书认证时（在这种情况下，在tls握手期间只已经执行tls客户端对tls服务器的单向认证），可利用该能力。如果协商了遂穿认证以作为etls能力扩展的部分，那么在建立的etls上执行提供ue或相互认证的遂穿认证过程，其中作为tls型以太网帧中的加密有效负载发送遂穿认证消息。定义新的tls内容类型以便标识加密的tls有效负载对应于遂穿认证，从而使得wag102能够快速地标识内容并向aaa服务器103认证ue100，如图6所示。aaa服务器103将把认证和授权的结果提供给wag102，wag102接着将结果传送给ue100。ue100另外接收指示是否允许ue100连接到运营商的epc和/或是否允许ue100如同在3gpp23.402中规定的非无缝wlan卸载nswo连接中一样在本地连接到互联网的授权ip连接性。利用nswo连接性，ue100通过wag102直接连接到互联网，以便绕过epc资源和服务。当ue100在客户端呼叫消息中的etls能力扩展中包括隧穿认证时，扩展还可包括得到ue100支持的优选认证协议和方法的列表。wag102可在包含在服务器呼叫消息中的etls能力扩展中指示选择的隧道认证协议和方法。遂穿认证协议和方法的示例包括但不限于例如遂穿eap-aka’，其中在ietfrfc5448中规定了eap-aka’。备选地，在etls建立之后，可通过利用与在ietfrfc5281中规定的eap遂穿tls中描述的加密属性值对avp类似的avp来在ue100和wag102之间遂穿认证信息。wlcp支持：指示是否应当在建立的etls上执行在3gppts24.244中规定的wlcp过程以便在ue100和epc中的pgw104之间建立和释放一个或多个pdn连接，如图6所示。etls上的wlcp过程是以成功ue认证为条件的，成功ue认证可通过在etls上成功执行在握手协议期间协商的遂穿认证或是否在握手阶段期间成功执行客户端证书认证以及运营商的epc网络是否认为它足够来提供。定义新的tls内容类型以便将wlcp信令标识为是tls型以太网帧中的加密有效负载。tls型以太网帧中的wlcp消息的清晰标识将使得wag102和ue100能够快速地标识wlcp信令，处理信令消息，并对wlcp信令消息作出响应。一旦建立pdn连接，便通过tls记录层对通过pdn连接传输的用户数据进行加密。tls型以太网帧可将通过pdn连接传输的加密有效负载标识为是tls报头中的application_data内容类型。注意，不同于在3gppts24.244中规定的要求udp/ip协议的wlcp，在不要求实例化ip/udp协议的层2tls型以太网帧中本地地传输并加密在etls上支持的wlcp。图1中的ap101通过wifil2链路接收包含tls型以太网帧的802.11mac帧，tls型以太网帧包含tls客户端呼叫消息。ap101将tls型以太网帧重新封装在vlan帧或gre帧中，并在步骤121通过以太网链路将它发送给wag102。如之前所指示，ap101对于tls型以太网帧内容的内容是透明的，并且不对它进行处理。当wag102接收到tls客户端呼叫消息时，wag102充当tls服务器，并在步骤122以tls服务器呼叫消息（又称为接收器tls呼叫消息）对ue100作出响应。tls服务器呼叫消息包括由服务器从由tls客户端在步骤120提供的列表中选择的ciphersuite、会话id。wag102还发送它的数字证书。如果服务器需要数字证书来进行客户端认证，那么服务器发送包括支持的证书的类型和可接受的证书颁发机构（ca）的区别名称的列表的“客户端证书请求”。如果步骤120中的tls客户端呼叫消息包括指示上文描述的一个或多个能力的etls能力，那么wag102将在tls服务器呼叫消息中包括对于etls支持和选择的etls能力。在具有内容类型“握手”的tls型以太网帧中封装但不加密tls服务器呼叫消息，并在p2pl2链路上通过将wag102连接到ap101的以太网链路利用gre或vlan封装等将它传送给ue100。ap101通过以太网链路接收包含tls服务器呼叫消息的tls型以太网帧。ap101将tls型以太网帧重新封装在802.11帧中，并在步骤123通过wifil2链路将它发送给ue100。如图所指示，由wag102发送给ue100的服务器呼叫消息可包括由ue100在客户端呼叫消息中提出的etls能力中指示选择的etls能力的一个或多个etls能力。备选地，wag102可包括可并未由ue100包含在客户端呼叫消息中的一个或多个etls能力。如果wag运营商想要在运行中控制ue连接性并且运营商知道ue能力，那么这可被利用。例如，如果客户端呼叫不包括遂穿认证etls能力，那么wag可在服务器呼叫中包括遂穿认证etls能力以便向ue100指示它应当经由遂穿认证向网络进行认证。etls能力扩展可包括所有支持的隧道认证协议或方法。如果ue100未能通过认证，那么wag可断开etls。备选地，如果ue100没有在客户端呼叫中协商wlcp能力，那么wag102可在服务器呼叫中包括wlcp能力以便请求ue100连接到epc网络并将ue业务推动到epc网络。在图1中交换tls客户端呼叫和服务器呼叫消息之后，ue100验证wag102证书并检查密码参数，并且在步骤124，ue100可发送包含以服务器公共密钥加密的密钥信息的客户端密钥交换消息。如果wag102已经请求了客户端证书，那么客户端发送以tls客户端的私有密钥加密的随机字节串以及tls客户端的数字证书，或者如果没有为ue100配置证书或者ue100无法获得证书，那么客户端发送“无数字证书警告”。还通过p2pl2链路在tls型以太网帧中发送客户端密钥交换消息。ap101执行类似的映射操作，并在步骤125将包含客户端密钥交换消息的tls型以太网帧发送给wag102。在步骤126，wag102验证接收的客户端证书，如果之前在步骤122中请求了的话。如果接收到“无数字证书警告”，那么如果ue100在步骤120中在客户端呼叫消息中的etls能力扩展中指示支持遂穿认证，则wag102可继续建立tls连接。备选地，wag102仍可在没有客户端认证的情况下允许ue100设立tls连接，或者如果wag102配置成中止etls设立过程，那么它可通过p2pl2链路朝向ue100发送封装的tls警告消息以便指示etls设立失败。在步骤127，ue100发送包含用秘密密钥加密的客户端“完成”消息的tls型以太网帧，由此指示握手的客户端部分或ue100完成。在步骤128，ap101提取包含加密的客户端完成消息的tls型以太网帧并通过802.3接口将它转发给wag102。在步骤129，wag102向ue100发送用秘密密钥加密的服务器“完成”消息，由此指示握手的wag102部分完成。将加密的服务器“完成”消息封装在tls型以太网帧中，并通过以太网链路在valn或gre上将它发送给ap101。在步骤131，ap101提取tls型以太网型帧，并通过wifil2链路将它发送给ue100。现在建立了etls。在通过p2pl2链路建立的tls会话的持续时间（即，在etls的持续时间），ue100和wag102可交换在数据tls型以太网帧（即，具有加密的有效负载的tls型以太网帧）中以共享秘密密钥对称加密的消息和数据。除了在etls上加密发送的tls信令（例如，警告、心跳）之外，可通过如上文所解释的etls能力（即，隧道认证和wlcp）来协商在etls上加密的信令和数据的类型。对于etls内的数据封装，通过tls本地加密所有ip业务并将它们作为tls内容进行传输，或者如果协商了全以太网保护，那么它可将不同于tls型帧的其它以太网帧加密为tls帧的内容。在缺少etls能力协商的情况下，默认行为是在etls内封装所有ip有效负载，即，之前在ip型以太网帧中传输的有效负载。在备选实施例中，可通过wag102取代ue100启动etls设立。wag102可通过发送携带tls握手呼叫请求消息的tls型以太网帧来触发etls设立。一旦etls使能的ue100从wag102接收到包含呼叫请求的该tls型以太网帧，它便可通过发送携带tls客户端呼叫消息的tls型以太网帧来立即以wag102启动etls设立，并且图1中描述的所有步骤均适用。备选地，如果wag102不知道新ue100是否已经与ap101相关联，那么wag102可一直等待，直到它对于ue100的新mac地址从ap101接收到普通以太网帧为止，然后它再向ue100发送封装在tls型以太网帧中的呼叫请求消息以便请求建立etls。只有能够对封装在tls型帧中的呼叫请求进行分析和提取的ue才将以tls客户端呼叫作出响应以便建立etls。如果ue100不理解tls型帧并且不能分析该帧以便提取消息，那么将不设立etls。图2示出根据实施例在桥接的ap上的ue100和wag102的协议堆栈体系结构。在ue100和wag102中，tls层对否则在缺少tls层的情况下将如同当前部署中一样通过ip型以太网帧携带的ip有效负载进行加密。备选地，tls层可对携带ip有效负载的ip型以太网帧进行加密。另外，tls层可对既不是tls型以太网帧也不是ip型以太网帧的其它以太网帧进行加密。注意，不对携带握手呼叫消息的tls型以太网帧进行加密。依据ietfrfc5246对其它tls信令消息（例如，完成、警告、心跳）进行加密。另外，如果在握手呼叫交换期间协商了wlcp和隧道认证，那么在tls型以太网帧内加密传输对应消息。图2示出，ue100将tls帧作为由以太网报头封装的数据单元进行处置。以太网报头将数据单元标识为是指示数据单元是在以太网上携带的tls帧的“etls”，因此又称为tls型以太网帧。这有别于需要诸如tcp或udp和ip的传输层协议的当前tls实现。通过wifil2连接将由通过以太网报头封装的tls帧组成的tls型以太网帧作为802.11mac帧发送给ap100。ap100接收802.11mac帧，恢复作为tls型以太网帧的原始以太网帧，并将它重新封装在vlan或gre隧道等内。将了解，ap101可利用不同的已知机制来将tls型以太网帧从wifil2链路桥接或遂穿到以太网链路或反之，只要ap101“在导线上”维持tls帧，即，将它作为以太网帧进行传输，因为它是tls型以太网帧。根据图2的wag102从以太网链路接收tls型以太网帧。由于wag102也是tls服务器，所以它利用tls内容类型来确定tls帧的内容（握手、application_data、遂穿协议、wlcp等），并且基于内容类型，它可根据在etls握手时协商的密码参数来解密内容。一旦解密了内容（客户端呼叫除外），wag102便相应地处理内容。在wag102处进行的tls内容处理的示例包括：1.如果内容是ip业务/分组，那么基于ip分组的ip地址等转发给下一个跳点（注意，如果ue100尝试经由公共wlan接入安全网站，那么ip业务可包括tcp/ip业务上的tls，在这种情况下，根据本说明书的实施例，供ue100使用的公共wlan将利用对所有ue业务进行加密的基于tls的链路层加密来独立地提供额外安全性层）。2.如果内容对应于遂穿认证，那么认证ue100。3.如果内容对应于握手协议，那么建立etls。4.如果内容对于wlcp消息，那么建立pdn连接。5.如果内容对应于tls心跳或tls警告，那么管理etls和etls会话。6.如果内容对应于另一个以太网帧，那么确定下一个转发节点，或者如果wag102是目的地，那么处理该帧。类似地，当wag102需要向ue100发送数据或信令时，wag102创建tls帧，其中对内容（数据或信令）进行加密（服务器-呼叫和呼叫-请求除外）。在tls帧的tls报头中指示内容类型。接着，通过vlan报头或gre报头来封装tls帧，并通过以太网链路将它发送给ap101。ap101从vlan或gre报头等恢复tls型以太网帧，并通过wifil2链路作为802.11mac帧发送给ue100。接收802.11mac帧的ue100确定以太网帧是tls帧，解密加密的tls内容，并对内容进行处理。在ue100处进行的tls内容处理的示例包括：1.如果内容是ip业务/分组，那么将有效负载发送给ue100的较上ip层（注意，如果ue100尝试经由公共wlan接入安全网站，那么ip业务可包括tcp/ip业务上的tls，在这种情况下，根据本说明书的实施例，供ue100使用的公共wlan将利用对所有ue业务进行加密的基于tls的链路层加密来独立地提供额外安全性层）。2.如果内容对应于遂穿认证，那么认证ue100或进行相互认证协议处理。3.如果内容对应于握手协议消息，那么建立etls。4.如果内容对应于wlcp消息，那么建立pdn连接。5.如果内容对应于tls心跳或tls警告，那么管理etls和etls会话。6.如果内容对应于另一个以太网帧，那么确定下一个转发节点，或者如果wag102是目的地，那么处理该帧。图3示出根据实施例的tls协议扩展。如之前所描述，当前存在利用记录协议的五个协议：在ietfrfc5246中规定了握手协议、警告协议、改变密码规范协议和应用数据协议，而在ietfrfc6520中规定了心跳协议。如之前所描述，定义新的记录内容类型以便支持遂穿认证和wlcp。以下是对用于标识由tls型以太网帧封装的内容的类型的记录内容类型的提议更新。但是，将了解，可采用其它值来指示遂穿认证和wlcp：-20change_cipher_spec（改变密码规范）-21alert（警告）-22handshake（握手）-23application_data（应用数据）-24heartbeat（心跳）-25tunneledauthentication（隧穿认证）-26wlcp对握手协议进行更新以便在客户端呼叫和服务器呼叫消息的握手期间支持etls能力协商，其中利用etls能力来协商由etls加密的业务的类型。如果在握手协议中省略了etls能力扩展，那么后备将是在ue100和wag102之间建立etls隧道，其中wag102为ue100提供对互联网的直接接入，并且在etls上在tls型以太网帧内加密传送ip有效负载。当协商了etls能力扩展并且协商了全以太网保护时，tls型以太网帧可加密如下内容：1.只有ip有效负载，即，之前由ip型以太网帧携带的ip有效负载或备选地携带ip有效负载的全ip以太网帧。2.其它类型的以太网有效负载。当协商了etls能力扩展并且协商了隧道认证时，ue还可包括在扩展内使用的优选认证协议和方法的列表。当wag发送服务器呼叫时，它指示用于在etls上随后认证的选择的隧道认证协议和方法。当ue与wag协商wlcp作为etls能力时，ue应当协商在tls握手期间执行隧道认证或客户端认证并且被运营商的网络认为足够以便允许ue接入epc资源。对警告协议进行更新以便管理etls连接和会话参数。当遂穿认证在wag102处失败时，wag利用错误警告消息来通知ue100认证失败。如果失败是由于由ue100提出的错误凭证引起的，那么wag102可命令ue100关闭etls。但是，如果失败是由于wag102不能联系到aaa服务器103进行认证，那么wag102可限制ue100只接入互联网（即，没有epc路由），直到它恢复与aaa服务器103的通信为止，此时它经由警告消息或请求ue100向wag102重新认证的另一个消息来告知ue100尝试认证。另外，ue100和wag102可利用关闭警告消息或致命警告消息来指示etls连接的关闭或断开连接，而不一定要删除对应的etls会话参数。可通过tls层本身来触发etls的断开连接。例如，利用心跳协议来检测etls路径的生活性，并在检测到任一个etls端点（即，ue100和wag102）不可达时假设etls断开连接。可通过与tls层无关的其它事件（诸如ue100与ap101解除关联）来触发etls的断开连接。尽管etls关闭，但是不会因此删除etls会话。当状况允许ue100利用相同会话id重新启动etls的设立时，etls会话可重新开始。当重新开始etls会话时，ue100不利用全部握手和证书认证过程。而是，ue100和wag102交换changecipherspec消息，并且直接继续进行至完成消息以便建立etls。无需重新协商之前协商过的任何etls能力，因为这些etls能力作为会话参数的部分加以保存。此外，当ue经由wlcp过程连接到epc并且在稍后分离ue100时，可利用警告消息来通知wag102ue100从epc分离。注意，利用wlcp来通知pdn断开连接。但是，pdn断开连接不一定等效于ue100的epc分离。图4a和4b示出tls型以太网帧的两个实施例。图4a示出封装本地ip有效负载（即，没有封装在公知的ip型以太网帧中）的简单tls型帧。可利用该帧作为默认帧或作为在没有协商etls能力时使用的帧。将取代遗留ip型以太网型帧而利用在图4a中表示的tls型以太网帧来传输ip有效负载。tls帧的tls报头中的内容类型再利用application_data值来指示ip有效负载。但是，如果协商了etls能力并且协商了全以太网保护能力，那么可改为利用在图4b中示出的tls型以太网帧。图4b的tls型以太网帧包括紧跟在tls报头之后的以太网类型字段，它用于标识经加密的以太网帧的类型以利于提取和分析该帧以便通过wag102进行进一步处理。以太网类型可以是除了tls型以太网类型之外的任何以太网类型（以太网类型=!etls）。可设置tls内容类型，以便指示利用作为附在tls报头之后的额外以太网类型字段的application_data来进一步指示帧的类型。在图4b的备选实施例中，取代利用“applicationdata”，可利用在tls报头中携带的内容类型的新值来指示作为有效负载封装的“以太网帧”。在这种情况下，紧跟在tls报头之后的额外以太网类型字段（2个字节）可能不是必需的，因为wag102将能够分析该帧，并且一经解密便能够确定封装的以太网帧的类型。将了解，作为示例提供图4a和图4b，但是可利用不同格式的tls型以太网帧来标识有效负载的类型以便允许确定所需的处理。图5和图6示出根据实施例的nswo和根据另一个实施例的epc路由。如上文所解释，如果在建立etls之后ue还没有协商wlcp，那么为ue100提供对互联网106的nswo接入，即，从wag102本地卸载到互联网，以便绕过epc资源。在该配置中，在etls上加密所有ip有效负载，并通过p2pl2链路在tls型以太网帧中在ue100和wag102之间传送所有ip有效负载。此外，在建立的etls上传输用于etls管理的tls信令。如果在tls握手时ue100成功协商了wlcp能力，那么它还应当已经协商过遂穿认证能力。如果在握手时还没有执行客户端证书认证，或者如果运营商的网络需要更强的认证，那么可能需要遂穿认证。一旦利用在图1中示出的实施例在ue100和wag102之间建立etls，并且协商了遂穿认证和wlcp两者，那么ue100启动在etls上向wag102和aaa服务器103的认证。可利用在etls上遂穿的eap-aka’交换或根据eap-ttls的隧道avp认证来认证ue100以及可选的wag102（如果选择相互认证方案的话）。在tls型以太网帧中本地发送和加密所有认证消息，而无需ue100建立ip层。利用指示遂穿认证的新的tls内容类型或记录内容类型来指示加密的tls有效负载对应于隧穿认证消息。一旦通过aaa服务器103成功完成认证，wag102便根据使用的认证协议通知ue100。随后，如图6所示，ue100启动wlcp以便与epc中的pgw104建立pdn连接。在etls上在tls型以太网帧中加密发送wlcp消息。定义新的tls内容类型以便标识加密的有效负载对应于wlcp消息。一旦利用在3gppts24.244中规定的wlcp协议建立pdn连接，便通过tls记录层来对通过pdn连接传输的用户数据进行加密，并通过tls报头中的内容类型字段将它们标识为application_data。注意，不同于在3gppts24.244中规定的要求udp/ip协议的wlcp协议，在etls上支持的wlcp本地运行并在层2tls型以太网帧中进行加密。如果图6中的ue100希望建立多个pdn连接，那么通过ue100利用wlcp建立的所有pdn连接共享相同的uemac地址，但是在tls型以太网帧中利用不同的wag虚拟mac地址。即，尽管来自每个pdn连接的加密用户业务共享相同etls，但是来自不同pdn连接的业务可具有不同的tls型以太网帧封装。这将允许ue100和wag102区分来自共享etls的不同pdn连接的业务。图7示出根据一个实施例在ue处执行以便通过p2pl2链路与wag建立etls的方法70。支持etls的ue具有与ue的层2协议相关联的tls客户端，以使得ue能够建立tls隧道以便在公共wlan上进行链路层加密。在步骤71，ue通过启动tls握手协议并在tls型以太网帧中发送未加密的客户端呼叫消息来开始与wag通信，接着在通过ap通过将ue连接到wag的p2pl2链路传送tls型以太网帧。如果满足以下条件，则ue可触发客户端呼叫：1.它在tls型以太网帧中接收到请求建立etls的服务器呼叫请求，或者2.ue从它的较上层协议接收到要发送给wag的数据，诸如即将通过ue发送以便从wlan获取ip地址的dhcp消息。另外，如果通过ue的运营商获得或配置客户端证书，那么ue可在客户端呼叫消息中包括客户端证书。客户端证书可以是itux.509公共密钥证书或由可信机构颁发的其它类型的证书。如之前所描述，ue还可在客户端呼叫消息中包括etls能力扩展以便协商遂穿认证、wlcp和/或全以太网保护。在步骤72，当ue从wag获得封装在tls型以太网帧中的未加密的tls服务器呼叫消息时，如果在步骤71中没有在客户端呼叫消息中包括客户端证书，那么它可包括对客户端证书的请求。ue继续进行握手协议以便与wag建立安全etls。剩余的握手过程根据在ietfrfc5246中描述的tls握手消息，并且包括：ue启动可包括客户端证书的客户端密钥交换；ue启动由生成的共享秘密加密的客户端完成；以及接收通过由服务器生成的共享密钥加密的服务器完成消息，即，wag标记握手的终点并建立etls（又称为安全etls）。在步骤73，ue开始在安全etls上遂穿选择的数据业务，其中选择的数据业务根据etls能力中的全以太网加密的协商。如果协商了全以太网加密，那么除了本地ip有效负载之外，ue还可加密并非是ip型和tls型以太网帧的其它以太网帧。备选地，ue可发送包括ip型以太网帧的所有以太网帧以作为在tls型以太网帧内加密的封装帧。在缺少全以太网加密协商的情况下，ue在tls型以太网帧中加密本地ip有效负载以便在etls上传送，并通过tls型以太网帧来取代ip型以太网帧。在本说明书中，有时利用数据tls型以太网帧来指携带加密的有效负载的tls型以太网帧。tls型以太网帧和数据型以太网帧的格式相同。差别是，这些帧携带的是加密有效负载还是未加密有效负载，诸如客户端呼叫、服务器呼叫和呼叫请求。通过内容类型来标识有效负载的类型。为简单起见，通过利用术语tls型以太网帧来指所有tls型帧来描述大多数实施例，因为对大多数tls业务进行加密，除了在上文提到的etls的初始建立中所使用的三个tls消息例外。下表标识tls帧的内容类型以及它是否加密：数据/信令内容描述内容类型加密客户端/服务器呼叫和呼叫请求握手否（没有加密的tls型以太网）完成握手是（tls型以太网是数据tls型以太网帧）change_cipherspec改变密码规范是（tls型以太网帧是数据tls型以太网帧）tls警告警告是（tls型以太网是数据tls型以太网）tls心跳心跳是（tls型以太网是数据tls型以太网）wlcpwlcp是（tls型以太网是数据tls型以太网）遂穿认证遂穿认证是（tls型以太网是数据tls型以太网）ip分组application_data是（tls型以太网是数据tls型以太网）以太网帧application_data（或以太网数据）是（tls型以太网是数据tls型以太网）如果ue成功协商遂穿认证和wlcp能力扩展以便接入epc资源和服务，那么通过ue在etls上发送封装在tls型以太网帧中的对应信令。如果没有为ue配置客户端证书，或者ue配置成执行不同于客户端证书认证的不同认证，那么ue可协商遂穿认证以便接入epc资源和服务。如果ue在客户端呼叫消息中协商了遂穿认证能力扩展，那么扩展还指示用于通过wag认证ue以及可选地通过ue认证wag的认证协议和方法的偏好顺序。当ue从wag接收服务器呼叫消息时，它在遂穿认证能力扩展中包括选择的认证协议和方法。一旦握手完成并建立etls，ue便根据协商的能力启动认证协议。在tls型以太网帧中加密发送所有认证消息，其中内容类型指示遂穿认证。在一个实施例中，ue在etls能力扩展中协商利用wlcp来管理在建立的etls上到epc资源和服务的pdn连接。如果经由遂穿认证能力扩展协商了客户端认证或在握手期间执行了客户端证书认证并且被运营商的epc认为足够，那么成功协商了wlcp的使用。一旦建立etls，ue便启动wlcp过程以便建立一个或多个pdn连接。ue在以太网上作为tls有效负载本地地发送和接收加密的wlcp消息。对tls记录内容类型进行更新以便指示wlcp业务为有效负载。为了管理etls连接/遂道和会话，ue发送警告消息以便指示通过ue释放etls，或者它从wag接收警告消息以便指示由于诸如认证失败的原因而释放etls。另外，如果ue分离，那么ue可发送警告消息以便指示ue分离。当ue释放etls连接时，它可在确定的时间量维持etls会话参数，在此期间它可利用相同的会话参数来重新建立etls连接/隧道。当ue重新利用存储的会话参数来重新建立etls连接时，ue无需发送客户端呼叫或重新协商任何etls能力扩展。而是，ue通过交换在ietfrfc5246的tls握手协议中规定的tlschangecipherspec消息而继续，并且直接继续进行至发送完成消息，在此之后重新建立etls。在tls型以太网帧内利用存储在会话参数中的密码参数加密发送changecipherspec和完成消息。在图8中示出的一个实施例中，ue100包括电路80，电路80执行根据图7中描述的实施例的方法步骤以及除了本文中描述的其它实施例之外的图1的步骤120、123、124、127、130和131。在一个实施例中，电路80可包括处理器81和包含指令的存储设备82（又称为存储器），指令在执行时使得处理器80执行根据本文中描述的实施例的方法中的步骤。电路80还可包括通过ap通过p2pl2链路利用etls与wag102通信的通信接口83。图9示出包括处理模块91的ue100的实施例，处理模块91配置成通过通信模块93通过p2pl2链路发送携带tls客户端呼叫消息的tls型以太网帧，以便在ue和充当tls型以太网帧的接收器的网络中的wag之间建立etls。一旦在通信模块93上从接收器接收到tls服务器呼叫消息，并且其中tls服务器呼叫封装在tls型以太网帧中，处理模块91便通过通信模块93根据在ietfrfc5246中规定的tls握手消息在ue和接收器之间建立安全etls。通过处理模块91将握手消息封装在tls型以太网帧中。处理模块91通过通信模块93在安全etls上遂穿选择的数据业务，其中在tls型以太网帧中加密和封装选择的数据业务。另外，通信模块93配置成发送和装在tls型以太网帧中的tls消息，并发送和接收封装在tls型以太网帧中的选择的数据业务。处理模块91还配置成将与安全etls的建立相关联的会话参数存储在存储器模块92中。存储器模块（92）保存会话参数，直到释放etls会话为止，在此情况下，处理器模块（91）请求从存储器模块（92）删除会话参数。本领域技术人员将了解，ue100中的模块可作为在处理器上运行的计算机程序实现，并且这些模块可进行操作以便执行之前描述的实施例的步骤。本领域技术人员将意识到对本公开的实施例的改进和修改。所有此类改进和修改视为在本文中公开的概念和随附权利要求的范围内。当前第1页12