专利名称:一种无线网络接入系统的制作方法
技术领域:
本发明涉及网络通信领域,尤其涉及一种无线网络接入系统。
背景技术:
近年来,为了满足用户不断上升的数据业务需求,3GPP组织在GPRS系统的基础上提出EPS系统演进方案为用户提供无处不在的数据通信服务。然而,对于室内 和热点地区处于低移动或游牧移动状态的宽带数据通信应用场景,用户设备(UE)的任何通信过程都需要3GPP核心网参与其控制和管理并由核心网完成数据分组的路由和转发,这极大的增加了 3GPP网络的业务负荷,降低了系统的工作效率。通过组建无线局域网络,WLAN通信技术能够有效解决室内及热点地区的覆盖及数据传输问题。然而,受其无线接入技术的制约,它不能像LTE接入技术那样为UE提供具有QoS保障的数据传输服务。
发明内容
本发明实施例针对目前室内和热点数据业务特征,提供了与之相适应的新的无线网络接入系统及基于该新的无线网络接入系统的安全架构。本发明实施例提供的无线网络接入系统,包括至少一个用户设备UE、至少一个接入点AP和网关GW;所述UE,用于与所述AP之间进行双向鉴权认证,并在认证成功后,通过所述AP和所述GW与外部网络以及该无线网络接入系统内部UE进行通信;所述AP,用于与所述UE之间以及与所述GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务;所述GW,用于与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及该无线网络接入系统内部UE之间的通信。本发明实施例的有益效果包括本发明实施例提供的无线网络接入系统即LTE-LAN系统,包括至少一个用户设备UE、至少一个接入点AP和网关GW ;其中UE,用于与AP之间进行双向鉴权认证,并在认证成功后,通过AP和GW与外部网络以及该无线网络接入系统内部UE进行通信;AP,用于与UE之间以及与GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务;GW,用于与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及该无线网络接入系统内部UE之间的通信。该无线网络接入系统针对目前室内和热点数据业务特征,采用了扁平化的网络架构,能够简单而低成本地实现UE对该系统中其他UE的访问以及对外部网络的访问,同时,本发明实施例提供的无线网络接入系统中,AP、UE和GW之间双向鉴权认证,一方面保证了用户数据的完全性,防止用户受到非法攻击,另一方面也保证了网络侧的安全,不让非法用户或者非法AP接入。
图I为本发明实施例提供的LTE-LAN的架构示意图;图2为本发明实施例提供的LTE-LAN的安全架构的示意图;图3为本发明实施例提供的LTE-LAN的密钥架构图。
具体实施方式
下面结合附图,对本发明实施例提供的无线网络接入系统及其安全架构的具体实施方式
进行详细地说明。首先对本发明实施例提供的无线网络接入系统即长期演进局域网(Long TermEvolution Local Area Network,LTE-LAN)的架构进行说明,如图 I 所不,该 LTE-LAN 包括至少一个长期演进局域网用户设备(LTE-LAN UE,以下简称UE)、至少一个长期演进局域网接入点(LTE-LAN Access Point,以下简称AP)、长期演进局域网网关(LTE-LAN Gateffay,以下简称GW),较佳地,还可以包括操作管理维护(Operation Administration andMaintenance, 0AM)实体;其中AP,基于LTE空口技术为UE提供长期演进局域网LTE-LAN覆盖,通过网关设备GW连接核心网设备(如图I中所示的核心网设备如验证、授权和帐户服务器(Authentication,Authorization and Accounting Server,MA server)、归属签约用户月艮务器(Home Subscriber Server, HSS)和计费服务器等),不同AP之间完成同步后通过网关设备GW接入外部网络。UE,用于通过与AP、GW之间建立的通道访问外部网络及与LTE-LAN内UE通信;GW,用于与AP、核心网设备和外部网络交互,完成UE对外部网络的访问及与LTE-LAN内部UE之间的通信,具体包括下述功能I、接口管理功能建立与管理连接所述GW与AP的Iu-r接口 ;2、上下文管理功能,用于基于所述Iu-r接口,管理GW与AP之间UE的上下文建立过程、上下文修改过程、上下文释放过程以及QoS的保证; 3、鉴权及认证功能,当AP启动时,进行AP和GW之间双向鉴权认证;4、同步信息交互功能,基于所述Iu-r接口进行AP间同步参数信息交互,以实现GW相连的AP根据获取的同步参数信息选择同步源;5、干扰管理功能,基于所述Iu-r接口,将受干扰的源AP发送的干扰指示消息转发给产生干扰的目标AP,以使所述目标LAP根据接收的干扰指示消息进行工作参数调整;6、辅助计费功能,确定AP与UE成功建立连接后,向核心网设备发送计费开始通知,根据核心网设备返回的计费响应消息,按指示的计费方式进行计费,并将计费信息上报给核心网设备,以使核心网设备完成收费;7、配置管理模块,配置GW连接的AP的工作参数,限定不同AP的合法使用位置,和/或执行基于管理员需求的用户管理过程。在图I所示的LAN-LTE的系统架构中,UE和AP都装备有USM集成电路卡USMIntegrated Circuit Card, UICC), Gff具备IP协议栈,AP是二层设备,不具备IP协议栈。本发明实施例提供的这种新的无线网络接入系统LTE-LAN,具有采用了扁平化的网络架构。在该架构中,没有核心网设备,由于在现有的LTE安全架构中,安全过程需要核心网设备参与,同时也需要NAS协议来完成安全过程,因此LTE定义的通过NAS协议承载的安全过程不再适用本发明实施例提供的这种新的无线网络接入系统。若LTE-LAN采用Non 3GPP接入的安全架构,使用IKEV2承载EAP认证和密钥协议(Extensible Authentication Protocol-Authentication and Key Agreement, EAP-AKA)进行安全认证过程,那么就需要LTE-LAN中的AP具有IP协议栈,由于LTE-LAN中的AP是一个二层设备,不具备IP协议栈,因此LTE-LAN也无法使用Non 3GPP接入的安全架构中的IKEV2的方式。因此,现有LTE安全架构,以及Non 3GPP接入的安全架构,都不再适用于本发明实施例提供的这种新的无线网络接入系统。针对LTE-LAN网络安全的问题,本发明实施例提供了一种适用于LTE-LAN的安全架构。下面对该安全架构进行详细地说明。如图2所示,该安全架构所涉及的网络实体包括用户设备UE、接入点AP和网关Gff ;其中,用户设备UE按照协议栈划分,包括媒体接入控制(Media AccessControl, MAC)层、无线链路控制(Radio Link Control, RLC)层、无线资源控制(RadioResource Control, RRC)层、分组数据集中协议(Packet Data Convergence Protocol,PDCP)层和端口接入实体(BAE)层;其中,RRC层中又包含接入控制(BAC)子层。AP按照协议栈划分,包括MAC层、RLC层、RRC层、PDCP层、BAE层,以及逻辑链路控制(Logical Link Control, LLC)层;其中,与UE之间的接口的RRC层又包含BAC子层(为了区分,以下称为第一 BAC子层),与GW之间的接口的MAC层中又包含BAC子层(为了区分,以下称为第二 BAC子层)。Gff按照协议栈划分,包括MAC层、LLC层、IP层以及BAE层;其中,MAC层中又包含BAC层。上述UE、AP和GW中的MAC层是标准以太网MAC层。上述UE和AP中的RLC层,采用LTE-LAN定义的RLC层,该RLC层主要负责上层数据分组的分段,级联以及自动要求重复(Automatic Repeat reQuest, ARQ)功能,为MAC层提供适合在信道传输的数据块并进行差错重传。上述UE和AP中的RRC层,采用LTE-LAN定义的RRC层,该RRC层主要负责接入层无线资源的控制和管理,功能包括系统广播信息,RRC连接管理,测量配置与上报,无线承载控制等。上述UE和AP中的I3DCP层,采用LTE-LAN定义的TOCP层,该TOCP层主要负责完成UE和AP之间信令和数据的安全。上述AP和GW中的LLC层,采用标准以太网LLC层。上述UE、AP和GW中的BAE层,负责执行算法和协议操作,具体来说实现下述功能
1、使用EAP-AKA实现双向鉴权认证,也即UE和AP之间的双向鉴权认证,以及AP与GW之间的双向鉴权认证。2、执行密钥协商。上述UE、AP和GW中的BAC子层,根据BAE的接入控制和授权结果控制接入的行为。
如图2所示,对于UE和AP之间的接口,第一 BAC子层位于RRC层,对于AP和GW之间的接口,第二 BAC子层位于MAC层。如果UE和AP之间双向鉴权认证成功,那么UE的BAE层将UE和AP之间双向鉴权认证的结果通知所述UE的第一 BAC子层;AP的BAE层将UE和AP之间双向鉴权认证的结果通知AP的第一 BAC子层;UE和AP的的第一 BAC子层,根据所述UE和AP的双向认证成功的结果,在UE和AP之间建立RLC连接,使AP和UE之间的用户数据包可以通过;以及根据所述UE和AP的双向认证失败的结果,拒绝在UE和AP之间建立RLC连接。当AP和GW之间双向鉴权认证成功,则AP的BAE层,将AP和GW之间双向鉴权认证的结果通知AP的第二 BAC子层;GW的BAE层将AP和GW之间双向鉴权认证的结果通知Gff的第二 BAC子层;AP和GW的第二 BAC子层,在AP和GW之间双向鉴权认证成功时,打开AP和GW的受控端口 ;这样用户的数据包可以从各自的受控端口通过;在AP和GW之间双向鉴权认证失败时,关闭AP和GW的受控端口,这样,用户的数据包无法从各自的受控端口通过。本发明实施例提供的基于LTE-LAN的安全架构中,对需要对接入(AcessStratum, AS)层(即AP和UE之间)进行加密和完整性保护。因此,如图3所示的密钥架构图,UE和HSS之间共享的密钥包括根密钥(K)以及会话性密钥/完整性密钥(CK/IK)密钥对;K是保存在AP和UE的nCC卡中的根密钥(永久密钥)。CK/IK是保存在HSS中的永久密钥对。CK/IK可由K推演出来。UE与GW共享的中间密钥包括KASME ;UE和HSS分别根据CK/IK推演得到中间密钥KasmE,该中间密钥用于进一步推演出下一步的密钥。UE和AP共享的密钥包括KAP、KUPen。、Kraicene和KKKint ;其中Kap是UE和AP根据中间密钥Kasme推演得到的,Kap的作用是进一步推演AS层(AP和UE之间)的密钥即ΚυΡεΜ、Κ·εη。
和 Krrc int ;Kupenc为用户面加密密钥,由UE和AP分别根据Kap和用户面加密算法的标识符推演得到,用于保护UE和AP之间的用户层数据的保密性。KEECenc为RRC数据面加密密钥,由UE和AP分别根据Kap和RRC数据面加密算法的标识符推演得到,用于保护UE和AP之间的RRC信令数据的保密性。KEECint为RRC完整性密钥,由UE和AP分别根据Kap和RRC完整性算法的标识符推演得到,用于UE和AP之间的RRC信令数据的完整性。如图3所示的各个密钥的推演过程说明如下在UE和AP的双向鉴权认证,以及AP和GW的双向鉴权认证过程中,HSS根据AP和UE的根密钥K,推演出CK/IK,并进一步地推演出中间密钥Kasme,在这个过程中,HSS将Kasme返回给GW。由于UE和AP自身都保存有根密钥K,在这个过程中,完成由K — CK/IK — Kasme的推演过程。然后UE和AP使用K臟进一步推演出Kap ;
Kasme保存在UE和GW中,并在下次认证过程中进行更新。在AP和UE双向鉴权认证成功之后,AP和UE建立安全上下文,在建立安全上下文的过程中,AP和UE继续根据Kap密钥推演出KUPene、KRKen。和Kmiant,然后UE和AP保存KUPenc、
KRRCenc 和 K· int °
此后,在UE和AP之间,RRC信令数据可使用K··进行加密或解密,使用KKKint向RRC信令数据提供完整性保护,在数据链路建立起来之后,用户面的用户数据包可使用ΚυΡ·进行加密或解密,从而实现AP和UE之间的加密保护和完整性的保护。UE和AP的RRC层的完整性保护由I3DCP层使用Kra0nt实现,UE和AP的RRC层的加密保护由rocp层使用KKKCen。实现,UE和AP的rocp层及以下各层则不再提供完整性保护。本发明实施例提供的安全架构中,AP和UE之间还可以就RRC层的加密保护和完整性保护的算法以及就用户面数据加密保护的算法进行协商,具体协商的过程如下每个AP中保存有预先配置好的LTE-LAN所允许的算法列表,该算法列表包括完整性保护算法列表和加密保护算法列表。其中完整性保护算法列表包含了若干RRC信令数据的完整性保护算法,并且,各完整性保护算法按照运营商自定义的优先级排序;加密保护算法列表中分别包含了若干RRC信令数据的加密保护算法,各加密保护算法也同样按照运营商自定义的优先级排序。完整性保护算法列表和加密保护算法列表可以由网络管理员通过OAM实体预先设置。当AP和UE之间建立安全上下文时,GW会向AP发送UE的安全能力信息,AP根据UE的安全能力信息,从自身保存的预先配置的算法列表中选择能够满足该UE安全能力的且优先级最高的完整性保护算法和加密保护算法,然后将选择的完整性保护算法和加密保护算法告知UE,完成算法协商过程。本发明实施例提供的无线网络接入系统即LTE-LAN系统,包括至少一个用户设备UE、至少一个接入点AP和网关GW ;其中UE,用于与AP之间进行双向鉴权认证,并在认证成功后,通过AP和GW与外部网络以及该无线网络接入系统内部UE进行通信;AP,用于与UE之间以及与GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务;GW,用于与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及该无线网络接入系统内部UE之间的通信。该无线网络接入系统针对目前室内和热点数据业务特征,采用了扁平化的网络架构,能够简单而低成本地实现UE对该系统中其他UE的访问以及对外部网络的访问,同时,本发明实施例提供的无线网络接入系统中,AP、UE和GW之间双向鉴权认证,一方面保证了用户数据的完全性,防止用户受到非法攻击,另一方面也保证了网络侧的安全,不让非法用户或者非法AP接入。进一步地,由于AP和UE在保证网络安全的前提下,不采用IP协议栈,对设备的整体性能要求不高,可以进一步有效地降低建网成本以及用户使用成本,并且在AP、UE和GW之间的双向鉴权认证采用已有的EAP-AKA机制,提供了良好的扩展性和兼容性。并且,在本发明实施例提供的安全架中,BAE层根据AP和GW双向认证结果控制BAC层对受控端口进行开启和关闭,将业务数据传输和认证鉴权过程分离,这样,在鉴权认证通过后,经过受控端口的用户数据可以直接承载在二层报文之上而无需封装,降低了网络传输的复杂度,提高了网络传输的效率。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种无线网络接入系统,其特征在于,包括至少ー个用户设备UE、至少ー个接入点AP和网关Gff ; 所述UE,用干与所述AP之间进行双向鉴权认证,并在认证成功后,通过所述AP和所述Gff与外部网络以及该无线网络接入系统内部UE进行通信; 所述AP,用干与所述UE之间以及与所述GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务; 所述GW,用干与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及该无线网络接入系统内部UE之间的通信。
2.如权利要求I所述的无线网络接入系统,其特征在于,所述UE,进ー步包括媒体接入控制MAC层、无线链路控制RLC层、无线资源控制RRC层、分组数据集中协议TOCP层和端ロ接入实体BAE层; 所述AP,进ー步包括MAC层、RLC层、PDCP层、BAE层以及逻辑链路控制LLC层, 所述GW,进ー步包括MAC层、LLC层、IP层和BAE层;其中 所述UE和AP中的HXP层,用于负责UE和AP之间信令和数据的安全; 所述UE、AP和W中的BAE层,用于使用EAP认证和密钥协议EAP-AKA实现UE和AP之间以及AP和GW之间的双向鉴权认证。
3.如权利要求2所述的无线网络接入系统,其特征在于,对于AP和UE之间的接ロ,所述AP和UE中的RRC层还包括第一接入控制BAC子层; 所述UE的BAE层,还用于将UE和AP之间双向鉴权认证的结果通知所述UE的第一 BAC子层;所述AP的BAE层,还用于将UE和AP之间双向鉴权认证的结果通知所述AP的第一BAC子层; 所述UE和AP的第一 BAC子层,用于根据所述UE和AP的双向认证成功的結果,在UE和AP之间建立RLC连接;以及根据所述UE和AP的双向认证失败的结果,拒绝在UE和AP之间建立RLC连接。
4.如权利要求2所述的无线网络接入系统,其特征在于,对于AP和GW之间的接ロ,所述AP和GW中的MAC层还包括第二 BAC子层; 所述AP的BAE层,还用于将AP和GW之间双向鉴权认证的结果通知所述AP的第二 BAC子层;所述GW的BAE层,还用于将AP和GW之间双向鉴权认证的结果通知所述GW的第二BAC子层; 所述AP和GW的第二 BAC子层,用于在AP和GW之间双向鉴权认证成功吋,打开AP和Gff的受控端ロ ;以及在AP和GW之间双向鉴权认证失败时,关闭AP和GW的受控端ロ。
5.如权利要求I所述的无线网络接入系统,其特征在于,所述UE,还用于在所述UE和AP以及AP和GW之间的双向鉴权认证过程中,将自身保存的根密钥K推演出会话性密钥/完整性密钥CK/IK的密钥对;以及根据所述CK/IK,进ー步推演出中间密钥Kasme ;以及根据所述中间密钥推演出Kap密钥,并在与AP之间双向鉴权认证成功后,与AP建立安全上下文的过程中,根据Kap密钥进一歩推演出与AP共享的用户面加密密钥KUPmc;、RRC数据面加密密钥K··和RRC完整性密钥Kraffiint并保存; 所述AP,还用于所述UE和AP以及AP和GW之间的双向鉴权认证过程中,将自身保存的根密钥K推演出所述CK/IK的密钥对;以及根据所述CK/IK的密钥对,进ー步推演出中间密钥Kasme ;根据所述中间密钥推演出Kap密钥,并在与AP之间双向鉴权认证成功后,与UE建立安全上下文的过程中,根据Kap密钥进一步推演出与用户面加密密钥KUPm。、RRC数据面加密密钥KKKm。和RRC完整性密钥Kraffiint并保存; 所述GW,还用于在所述UE和AP以及AP和GW之间的双向鉴权认证过程中,接收所述核心网设备中的归属签约用户服务器HSS发送的根据AP和UE的根密钥推演出的中间密钥Kasme,并根据中间密钥Kasme推演出Kap密钥并保存。
6.如权利要求5所述的无线网络接入系统,其特征在于,所述UE,进一步用于使用所述KEECenc对发送给AP的RRC信令数据进行加密,并使用Kmieint对发送给AP的RRC信令数据提供完整性保护;以及使用所述Kraffiint对所述AP发送的RRC信令数据的完整性进行验证,并使用所述KKKm。对所述AP发送的RRC信令数据进行解密; 所述AP,进一步用于使用所述K—对发送给UE的RRC信令数据进行加密,并使用Kwant对发送给UE的RRC信令数据提供完整性保护;以及使用所述Kmiant对所述UE发送的RRC信令数据的完整性进行验证,并使用所述KKKen。对所述UE发送的RRC信令数据进行解r I I O
7.如权利要求6所述的无线网络接入系统,其特征在于,所述UE,进一步用于在用户数据链路建立后,使用所述Kupene对发送给AP的用户数据进行加密以及对AP发送的用户数据进行解密; 所述AP,进一步用于在用户数据链路建立后,使用所述Kupene对发送给UE的用户数据进行加密以及对UE发送的用户数据进行解密。
8.如权利要求6所述的无线网络接入系统,其特征在于,所述AP,还用于在与所述UE之间建立安全上下文时,接收所述GW发送的UE的安全能力信息,并根据所述UE的安全能力信息,从自身保存的预先配置的算法列表中选择能够满足该UE安全能力的且优先级最高的RRC信令数据的完整性保护算法和加密保护算法,并将选择的完整性保护算法和加密保护算法告知UE ;所述算法列表中包含预先设置的RRC信令数据的完整性保护算法列表以及加密保护算法列表。
9.如权利要求8所述的无线网络接入系统,其特征在于,还包括操作管理维护OAM实体,所述OAM实体与所述GW相连,用于通过所述GW对AP配置RRC信令数据的完整性保护算法列表以及加密保护算法列表。
全文摘要
本发明公开了一种无线网络接入系统,包括至少一个UE、至少一个AP和GW;UE用于与AP之间进行双向鉴权认证,并在认证成功后,通过AP和GW与外部网络以及系统内部UE进行通信;AP用于与UE之间以及与GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务;GW用于与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及系统内部UE之间的通信。本发明针对目前室内和热点数据业务特征,采用了扁平化的网络架构,简单而低成本地实现UE对该系统中其他UE的访问以及对外部网络的访问,同时保障用户和网络的双向通信安全。
文档编号H04W80/00GK102625307SQ20111003429
公开日2012年8月1日 申请日期2011年1月31日 优先权日2011年1月31日
发明者徐晖, 秦飞, 艾明, 赵瑾波 申请人:电信科学技术研究院