用于为用户实体提供网络接入的方法及装置制造方法

用于为用户实体提供网络接入的方法及装置制造方法
【专利摘要】一种用于通过接入点为多个用户实体提供网络接入的方法，所述接入点包括局域网接口和宽带网络接口，在网关设备处，该方法包括以下步骤：建立与所述接入点的第二安全通信链路；通过所述第二安全通信链路，接收来自所述多个用户实体中的一个用户实体的IP地址分配请求；基于和所述多个用户实体中的所述一个用户实体相关联的移动用户相关的数据，接入AAA服务器来验证所述多个用户实体中的所述一个用户实体的成功的认证是否已经发生；和一旦成功验证，完成对于所述多个用户实体中的所述一个用户实体的IP地址分配方案，及启用在所述多个用户实体中的所述一个用户实体和PDN之间的数据的中继；其中所述网关设备适用于聚合从不同接入点到所述PDN的第二安全通信链路的多个实例。
【专利说明】用于为用户实体提供网络接入的方法及装置
【技术领域】
[0001]本发明属于接入网领域，尤其属于蜂窝和非蜂窝接入网的服务级别集成领域。
【背景技术】
[0002]某些现代手持式电子设备(还被称为“用户实体”或“UE”)包括连接到诸如2G，2.5G，3G，和/或LTE网络的蜂窝网络的必要组件，和连接到诸如无线局域网(例如IEEE802.lla/b/g/n)或有线局域网(例如IEEE802.3)的非蜂窝IP连接接入网(IP CAN, IPConnectivity Access Network)的必要组件。
[0003]迄今为止，缺少使运营商能够为移动客户，当他们通过非蜂窝网络进行通信时，提供宽带服务(连接和增值服务)的令人满意的协议架构。
[0004]例如，由第三代合作伙伴项目(3GPP,3rd Generation Partnership Project)规定的架构要求安全连接(“瘦管道”)在UE与演进的分组数据网关(eTOG，Packet DataGateway)或分组数据网络网关(PDN Gateway, Packet Data Network Gateway)之间被建立，如果从移动网络运营商(ΜΝ0, Mobile Network Operator)的角度，IP CAN是不可信的。

【发明内容】

[0005]本发明实施例的一个目标是克服上述缺点。
[0006]根据本发明的一个方面，提供了一种用于通过接入点为多个用户实体提供网络接入的方法，所述接入点包括局域网接口和宽带网络接口，在网关设备处，该方法包括以下步骤:建立与所述接入点的第二安全通信链路；通过所述第二安全通信链路，接收来自所述多个用户实体中的一个用户实体的IP地址分配请求；基于和所述多个用户实体中的所述一个用户实体相关联的移动用户相关的数据，接入AAA服务器来验证所述多个用户实体中的所述一个用户实体的成功的认证是否已经发生；和一旦成功验证，完成对于所述多个用户实体中的所述一个用户实体的IP地址分配方案，及启用在所述多个用户实体中的所述一个用户实体和PDN之间的数据的中继；其中所述网关设备适用于聚合从不同接入点到所述I3DN的第二安全通信链路的多个实例。
[0007]根据本发明的一个方面，提供了一种用于通过接入点为多个用户实体提供网络接入的方法，所述接入点包括局域网接口和宽带网络接口，在所述接入点处，该方法包括以下步骤:通过所述局域网接口，建立与所述多个用户实体中的每一个用户实体的各自的第一安全通信链路；通过所述宽带网络接口，建立与网关设备的第二安全通信链路；和在各个第一安全通信链路和所述第二安全通信链路之间双向地中继数据；其中所述网关设备适用于聚合从不同接入点到TON网关的第二安全通信链路的多个实例。
[0008]本发明提供了一种方式用于从蜂窝无线接入网“卸载(offload)”某些数据业务到非蜂窝IP CAN，其，为了本公开的目的，也会被一般地称为“局域网”。这为移动网络运营商和使用能在蜂窝网络和诸如W1-Fi的非蜂窝IP CAN上运行的用户实体的终端用户带来好处。在宏蜂窝基础设施中每比特的成本比为被卸载的业务的每比特成本显著地高。不仅基础设施投资成本的情况是这样，运营费用也是如此，因为场所，电力和甚至用于W1-Fi的固定回程的，将通常不由MNO负担。此外，它允许移动运营商对该被卸载的业务收费，创造新的收入机会。
[0009]在本发明的方法的一个实施例中，接入点是无线接入点，及局域网接口是无线局域网接口，该无线局域网接口的无线传输通过IEEE802.1li加密协议的方式来被保护。
[0010]该实施例具有在用户实体处和在网关(eTOG/PGW)中比已知的端到端的IPSec模型要求更少的通用处理能力的好处。
[0011]在本发明的方法的一个实施例中，第二安全通信链路通过IPSec传输遂道的方式被保护。
[0012]该实施例具有以合理的成本和复杂性，在接入点和网关设备之间提供好的安全性，从而避免在接入点和运营商网络(例如在一个住宅网关)之间的设备进行监听的风险，在用户实体处比已知的端到端的IPSec模型要求更少的通用处理能力。
[0013]在一个实施例中，本发明的方法还包括在接入点处:通过所述局域网接口接收来自用户设备的、对与连接到所述宽带网络接口的网络的通信进行授权的请求；从归属位置寄存器获取与所述用户设备相关联的移动用户相关的数据；基于所述移动用户相关的所述数据，认证所述用户设备；和如果所述认证成功，授权与连接到所述宽带网络接口的所述网络的通信。
[0014]在一个特定的实施例中，用户设备的认证包括:通过所述局域网接口，发送至少一个认证质询到所述用户设备，和通过所述局域网接口，接收来自所述用户设备的对所述至少一个认证质询的响应，所述响应通过被安全地存储在所述用户设备处的密钥，从所述至少一个认证质询被加密地派生。
[0015]在更特定的一个实施例中，密钥被存储在SIM卡中。
[0016]应理解“SM卡”指如在GSM和UMTS规范中被标准化的用户识别模块。EAP-SM/AKA认证允许统一的订购和用户数据库用于移动(3G-LTE)接入以及W1-Fi卸载。被融合的运营商用来识别和认证用户实体，通常是“智能手机”，的EAP-SM/AKA认证的重用允许运营商保持W1-Fi卸载会话的所有权，以使运营商和终端用户的互利。这明显地对移动运营商(MNO)具有显著的好处。它允许MNO从它的宏层无线接入网(RAN)卸载显著的业务，释放资源和延迟对扩容所要求的投资，及同时维持与终端用户的完整的关系，提升品牌忠诚度。对终端用户来说，主要的好处是到所有由MNO支持的网络的无缝接入。这将极大地增加终端用户在那里利用可用的W1-Fi资源的地点的数量。
[0017]在一个特定实施例中，用户实体包括IEEE802.1X客户端(supplicant)，及其中通信的授权包括将所述无线接入点的端口转换到IEEE802.1X授权状态。
[0018]在本发明的方法的一个实施例中，网关设备包括AAA服务器，AAA代理和AAA嗅探器中的一个，来实例化和移除用户实体会话。
[0019]在本发明的方法的一个实施例中，网关设备建立到GGSN或TON网关的GTP遂道，来向所述用户实体提供到移动运营商IP服务和/或计费机制的接入。在该情况下，用户实体地址可以由GGSN或I3DN网关授予。
[0020]在本发明的方法的另一个实施例中，网关设备包括将UE注册到家庭代理的移动IP (MIP，双栈MIP V6)外部代理。[0021]根据本发明的一个方面，提供了一种计算机程序，被配置为用于使可编程的机器来实现上述在WAP/CPE中或在网关设备中的方法。
[0022]根据本发明的一个方面，提供了 一种接入点，用于上述方法中。
[0023]根据本发明的一个方面，提供了 一种网关设备，用于上述方法中。
[0024]根据本发明的程序，接入点，和网关设备的好处加上必要的细节调整对应于根据本发明的方法的好处。
【专利附图】

【附图说明】
[0025]根据本发明实施例的装置和/或方法的一些实施例现在通过仅为实例并参考附图的方式被描述，其中:
[0026]图1示出本发明的方法的实施例可以被部署于其中的简单的示例性的网络拓扑；
[0027]图2示出本发明的方法的实施例的，尤其是步骤在网关设备处被执行的流程图；
[0028]图3示出本发明的方法的实施例的，尤其是步骤在接入点处被执行的流程图，；
[0029]图4示出本发明的方法的实施例中某些步骤的流程图；
[0030]图5示意性地示出用于本发明的方法的实施例中的某些步骤的详细的协议消息交换；以及
[0031]图6示出本发明的方法的实施例可以被部署于其中的详细的示例性的网络拓扑。
[0032]在所有的图中，相同的参考标记被用于标出相同的组件。
【具体实施方式】
[0033]在整个下面的描述中，以下概括有效。在特定的组件的任何特定数目的实例被示出和/或被描述之处，这仅为阐明的目的而作并不失一般性。在方法中的步骤以特定的次序被示出和/或被描述之处，这仅为阐明的目而作并不失一般性；这些步骤的次序可以被改变和/或被并行而不背离本发明的范围，除非从说明书中清楚可知为了获得相关联的技术结果，步骤的特定的次序是必须的。在特定的标准被参考之处，应理解其他的，功能等同的标准可以代替。与根据本发明的方法相关联的特征和益处加以必要的细节调整适用于根据本发明的装置，并且反之亦然。
[0034]图1示出了一个极其简化的示例性网络拓扑结构，本发明的实施例可以被部署于其中。本发明的实施例的一个目的是通过接入点110为多个用户实体IOOa-C提供网络接入。用户实体IOOa-C假定是能够在蜂窝网络(例如:2G，2.5G，3G，LTE)和诸如无线局域网(例如:IEEE802.lla/b/g/n)的局域网上进行通信的设备。
[0035]不失一般性，无线局域网在余下的描述中被假定为局域网。本领域技术人员应理解，本发明以完全类似的方式适用于有线局域网。
[0036]当用户实体IOOa-C在无线局域网的范围中时，例如由无线接入点110服务的那个用户实体，既从经济的角度，以及作为传导包括诸如基于互联网的电视和/或视频呼叫的大容量的数据通信的带宽可用性的问题，通过无线局域网接口比通过蜂窝接口更好。将预期的通信从蜂窝无线接入网(RAN,radio access network)移动到无线局域网接入网中，为前者提供了一种“卸载”形式，因此，由本发明的实施例引入的部署模型将被称为“WiFi卸载”。[0037]为了这个目的，无线接入点110允许在无线局域网接口上建立第一安全通信链路105。这些通信链路105是安全的，这是因为它们是被在各个用户实体IOOa-C和该接入点110之间的一种加密的形式，优选地如IEEE802.1li框架(例如:WPA，WPA2)中被标准化的加密形式所涵盖的。在有线接入点被使用之处，通过介质(例如在双绞线或点到点光纤上的IEEE802.3以太网)的物理的点到点性质，安全可以被提供。
[0038]和现有技术的架构，比如那些在3GPP框架中被提议的相比，根据本发明的无线接入点110建立与网关设备120的第二安全和/或被封装通信链路115，网关设备120在下文中也被称为演进的宽带网络网关(eBNG, evolved Broadband Network Gateway)。第二安全通信链路115是安全的，这是因为它是被加密的和/或被封装的。该链路115可以被无线接入点110和eBNG120之间的加密形式，优选地如在IPSec框架中被标准化的加密形式所涵盖。该链路115可以额外地或作为选择地被封装，这是因为从无线接入点110和eBNG120分别将每一条上行链路和下行链路的IP分组封装为携带GRE，L2TP，MPLS，VLAN标签或其他封装协议的新的IP分组。第二通信链路115被任何合适的网络物理地承载，该合适的网络可以由几个有线(例如以太网，xDSL, GPON)和/或无线(例如IEEE802.16)网络分段组成。诸如家庭网关112的额外的网络设备可以在这部分网络中出现。
[0039]第二安全通信链路115传送多个用户实体会话的业务，因此能够被称为“胖管道”，与仅承载单个由UE发起的会话的所谓“瘦管道”相对。根据本发明的网络和协议架构将也可以被称为“胖管道模型”。
[0040]eBNG120聚合几个上面提及的“胖管道”，其中一些在图1中被说明为起源于不同的无线接入点实例(未编号)，并且对于每一个UE会话，可选地建立到I3DN网关130的GTPv2隧道。通过该TON网关130，用户实体IOOa-C根据它们的订购条款，能够具有所期望的，被或通过被云140所表示并在图5中更具体的示出的蜂窝网络所提供的，到IP服务的接入。
[0041]在I3DN网关130处，终止一个来自接入点110的IPSec隧道有几个好处。首先，它减去了终止来自用户实体IOOa-C与提供商相关联的IPSec会话的负担，其能够相应地为其他任务释放资源，包括例如运行和诸如企业网络网关的通信方的端到端的IPSec会话。其次，由于接入点110 —般能够在无线链路上提供安全，该设备110适合于提供背对背的加密，从而避免用户实体IOOa-C和eBNG120之间端到端通信中的任何未加密链路的存在。当在端点之间存在额外的设备，例如家庭网关112，并一般地可被未授权的人接入时，这尤其相关。在那种情况下，接入点110和家庭网关112之间的分段可能在现有的3GPP架构中没有被保护，用于卸载到可信的IP CAN。可信的IP CAN事实上被定义为RGW112和宽带网络网关(BNG, Broadband Network Gateway) 118 之间的分段，位于 RGW112 和 eBNG120 之间的路径上。
[0042]考虑到根据本发明的网络和协议架构，这是一个优点，即在网关设备120处实现“合法监听”功能变得容易，因为它能够重用所有已有的固定的或移动的“合法监听”基础设施(LI网关)。同样地，由于在网关设备120处的用户会话感知，AAA，在线计费，线下计费，策略控制和实施功能，网络地址转换和其他功能可以在网关设备120处被实现。
[0043]图2示出本发明的方法的实施例的流程图；尤其，它示出图1架构中的网关设备120的核心活动。在一个步骤210中，网关设备120建立与无线接入点110的安全通信链路。以下面将被更具体地描述，但包括基于与该用户实体100相关联的移动订购相关的数据的用户实体100的认证，的方式在用户实体100和无线接入点110之间建立层2通信。AAA服务器150被包括在认证过程中。在一个步骤220中，网关设备120接收来自在考虑中的用户实体100的IP地址分配请求，典型地是DHCP请求。在一个步骤230中，网关设备120联系AAA服务器150来验证是否前面提及的认证已经成功地发生。如果确实是这样的，235，网关设备120允许IP地址分配进行，并在步骤240中，在I3DN网关130中在用户实体100和提供商的网络基础设施之间建立通信。因此，用户实体100仅需要被认证一次，虽然层2和层3的连接都是依所述认证结果的情况而定的。认证本身是基于由所述用户实体100的用户所持有的订购。
[0044]图3示出本发明的方法的实施例的流程图；尤其，它示出图1架构中无线接入点110的核心活动。在一个步骤310中，无线接入点110通过无线网络接口，建立与用户实体100的第一安全通信链路105。在一个步骤320中，无线接入点110建立与网关设备120的第二安全和/或被封装的通信链路115。在一个步骤330中，无线接入点110在第一安全通信链路105和第二通信链路115之间双向中继数据，也即，它允许在用户实体100和网关设备120之间的通信。
[0045]根据本发明的方法的实施例中，用户实体110和网关设备120之间的通信的建立是依用户实体110的成功认证的情况而定的，并且被用户实体110根据其操作的订购条款所限制。图4表示本发明的方法的实施例中某些步骤的流程图。
[0046]在一个步骤410中，无线接入点110接收来自用户实体100的请求，来授权通信。优选地，用户实体100为该目的实现IEEE802.1X客户端(supplicant)功能，并且该请求被作为IEEE802.1X授权请求来处理。在图4的意义上说，用户实体的请求不需要由该用户实体自己主动地发送:它可以实际上是对来自无线接入点110的“ΕΑΡ请求”消息做出响应而被发送的“ΕΑΡ响应”消息。
[0047]在一个步骤420中，无线接入点110获得与用户实体100相关联的，来自后者的归属位置寄存器(HLR) 160的，移动订购数据。该信息典型地不是被直接地获得，而是经由认证，授权，和计费(AAA, authentication, authorization, and accounting)服务器，通过优选地使用RADIUS协议交换，来被间接地获得，该AAA服务器是网关设备120可接入的。从而，在步骤430中，基于来自HLR160的用户信息，在无线接入点110处完成认证成为可能。该方法具有在网关设备120处创造用户实体的用户细节的感知的优点，使能够部署特定于订购的服务和/或基于订购的计费。进一步的优点是，通过在质询-响应认证交换中使用用户实体的SM卡，认证步骤能够是高度安全的。整个认证序列可以有利地被实现为EAP-SM或EAP-AKA交换。
[0048]一旦层2通信被建立，根据成功的认证435，层3通信必须被建立440-460。在此阶段，无线接入点110已经被建立来允许在用户实体100和网关设备120之间的层2通信，从而随后的协议交换在这些实体之间发生。层3阶段由用于IP地址分配的请求开始，该请求在一个步骤440中由网关设备120接收。响应于该请求，网关设备120在一个步骤450中，从AAA服务器150查询用户实体100的认证状态。如果该状态查询指示认证是成功的455，在一个步骤460中，IP地址分配请求被接受，并且IP地址被分配。IP地址分配交换优选地根据DHCP协议发生，由UE发起。
[0049]图5示意性地示出了根据本发明的方法的实施例的详细的协议消息交换，相应于如上文所述的图4的步骤410-460。
[0050]图6示出本发明的方法的实施例可以被部署于其中的详细的示例性网络拓扑。
[0051]图6尤其说明了网关设备120的接口。除了它的具体功能，作为演进的宽带网络网关(eBNG, evolved Broadband Network Gateway)跨非蜂窝 IP CAN 实例化 UE 会话之外，网关设备120可以完成传统的宽带网络网关(BNG实例化由CPE或RGW发起的会话)的功能和/或演进的分组数据网关(eFOG, evolved Packet Data Gateway,终止UE发起的IPSecSA)的那些功能，并且它具有为此目的的必要的结构组件。根据本发明的网关设备120包括典型地通过固定宽带接入网，使用表示如上文指示的“胖管道”的安全和/或被封装链路，来与无线接入点110交互的接口 ；可选的、来和PDN网关，GGSN或HA130交互的接口 ；以及来和AAA服务器150交互的接口，它可以从其获得订购相关信息。技术人员应理解，这些接口不必物理地不同，但是必要的硬件和软件必须存在，来恰当地区分在网络层及其上面的层处，至或来自各自通信方的通信。
[0052]为了进一步阐明本发明和它的优点，一种示例性的实现现在将被更详细的描述。技术人员将理解，单独的实现选项可以从说明书中被采纳，并和本发明的上面提及的一般概念结合，而不超出当前公开的范围。
[0053]当智能手机100进入一个具有封闭式SSID的热点，它将使用它的SM/USM证书认证它自己，避免用户建立任何专用的W1-Fi账号的需要。
[0054]SM/US頂证书通过EAP-SM/AKA方法被中继，并根据在HLR160中的用户信息来验证。照此，相同的移动证书(SM/USM)用于在2G，2.5G，3G或LTE网络中的认证和授权。
[0055]用户实体100，无线接入点110，和HLR160由eBNG120和AAA服务器150辅助。
[0056]-用户实体100:用于W1-Fi卸载的所有认证机制当前被商业智能手机，3G/Wi_Fi适配器(dongles)和具有3G/Wi_Fi功能的笔记本电脑所支持。
`[0057]-无线接入点110:为了接收W1-Fi IEEE802.1ln证书，无线接入点需要支持EAP-S頂和/或EAP-AKA认证。无线接入点还需要支持到eBNG120的传输隧道，来在其中路由所有被卸载的业务。该遂道优选地被实现为IPsec或GRE遂道。
[0058]-eBNG120:eBNG需要为无线接入点之后的终端用户处理DHCP会话创建。DHCP请求信息能够利用RADIUS客户端来被交给AAA服务器150，该AAA服务器150将该请求关联至丨J、对于相同的UE MAC地址的、以前的EAP-SM/AKA认证。如果eBNG120在EAP-SM/AKA认证阶段支持RADIUS代理(proxy agent)或嗅探器，eBNG120能够为那个UE MAC查找以前成功的EAP-SM/AKA认证上下文，并基于在认证阶段被发现的UE标识符(MSI，MISDN，…)建立北向通信(AAA，计费，PCC, LI，…)。eBNG 120能够代表移动网络运营商实施线下/在线计费，例如通过出售一天的通行证，其中一部分将被付给移动网络运营商。
[0059]-AAA =AAA服务器150通过它的到HLR160的基于映射的后端接口(Gr)，来支持终端EAP-SM或EAP-AKA认证和授权:它执行RADIUS EAP-到-映射网关功能。当，为了会话的建立，第二 RADIUS请求从eBNG RADIUS客户端到达时，AAA服务器150将用户实体的标识(UE-MAC地址)进行关联。如果该UE之前被授权过，网络接入将被接受，并且该会话将被建立。AAA服务器150能够返回计费注册简档标识(Charging-Profile-1d)和MSISDN给eBNG20，来允许与计费及其他北向服务平台的便捷集成。
[0060]端到端的安全在逐跳的基础上被实现。用户实体100和无线接入点110之间的空中接口用IEEE802.1li来被保护。IEEE802.1li密钥(优选地使用WPA2)能够从EAP-SM/AKA加密密钥派生。
[0061]无线接入点110和eBNG120之间的接口用IPSec来被保护。从eBNG120开始，存在多个与被提供服务的功能有关的选项。根据“胖管道”模型，如上文所述的，无线接入点110和eBNG120之间的单个IPsec遂道承载多个终端用户的会话。
[0062]胖管道模型为了避免欺骗，要求用户实体100支持802.1li或等同的加密。在另一方面，胖管道模型不要求用户实体100上的IPsec加密，从而避免在无线LAN空中接口上的IPsec开销，分组碎片和IKE保活分组。它也和企业VPN接入兼容，因为它允许端到端加密(可选的“瘦管道模型”会要求由用户实体100进行双重的IPsec加密)。
[0063]对eBNG120来说，胖管道模型比瘦管道模型(ePDG或I3DN网关)提供更好的可扩展性，因为每一个遂道在无线接入点100上包含所有UE会话活动。
[0064]eBNG120能够额外地传递一组与基础服务类似的被管服务提供给移动用户。这通过基于用户简档(profile)的增强的用户管理上下文中实例化会话来完成。增强的用户管理(ESM,Enhanced Subscriber Management)是一组允许自动的用户开通和按用户的QoS和安全实施的AAA，安全和QoS特征。该ESM特征组的关键方面是它提供独立于接入类型(IPCAN)的用户感知模型，因此它也能够被应用于W1-Fi接入。
[0065]业务在它被封装进入到无线接入点的IPsec ESP遂道中(或进入非加密遂道中)之前，由ESM引擎处理。该ESM引擎在最后的RADIUS接入接受消息中，从AAA服务器150接收用户简档。该用户简档能够包含分巾贞IP地址(framed IP address),分巾贞IP池(framedIP pool),虚拟专用路由网络(VPRN, Virtual Private Routing Network)标识，QoS 简档(QoS profile),计费简档(charging profile), DPI 规则库，NAT 和安全简档(securityprofile)。
[0066]-QoS:用户上下文允许eBNG120来根据个性化的QoS简档对所有的用户业务分类。服务专用硬件队列和硬件策略器(HW policers)能够按分类和(分层的)调度器一起，被分配给每个被实例化的用户。调度器和专用队列允许WiFi服务从尽力而为的演进到QoS使能的IP服务，并支持实时的语音和视频应用。
[0067]-安全:到eBNG120的安全接入由eBNG120中的一组安全特征补充。其包括基于用户简档的接入控制列表和反欺骗保护。反欺骗过滤器被用于防止终端用户通过欺骗的IP和MAC地址，来攻击其他用户或尝试冒充其他用户。
[0068]-VPRN:eBNG120中的VPRN实例化能够被用于在批发的上下文中的服务虚拟化，或能够被用于提供安全商业VPN接入。VPRN标识因此将指向零售商VPN或指向商业客户VPN。
[0069]-NAT:为了保留IPv4地址空间，网络地址和端口转换(NAPT，Network Address andPort Translation)能够在eBNG120上被配置。每一个新的用户NAPT上下文被动态地实例化。
[0070]-本地内容插入:当eBNG120 已经和固定 CDN (Content Distribution Network,内容分发网络)网络的本地内容插入点集成时，W1-Fi卸载业务也能够利用该缓存的内容。这将减少业务穿越的跳数和它产生的开销，并增加对终端用户的内容可用性和响应性。
[0071]计费集成能够通过从eBNG120到移动计费支持系统(BSS，billing supportsystem)提供W1-Fi卸载计费记录来实现。特别是当eBNG120是由移动运营商拥有时,对于线下以及在线计费，该计费集成都能够允许W1-Fi卸载服务引入的最早的介入。它将两个网络的集成减少至仅AAA和计费接口的集成。W1-Fi被卸载的业务的数据平面不需要通过移动网络，并能够被直接卸载到互联网。
[0072]相同的基础设施也能够被开放来支持开放的接入(没有IEEE802.1X)和门户认证。在那种场景中，eBNG120允许未认证的设备开始DHCP会话，但将重定向任何http业务到登陆页面。任何非http业务被丢弃。这是通过eBNG120从AAA服务器150获得的重定向策略来实现的。
[0073]当用户已经完成门户注册并已被认证，该用户简档在eBNG120中被更新来给予该用户完全的数据接入。这是通过来自AAA服务器150的RADIUS CoA更新完成的。
[0074]eBNG 120到移动分组核心网的进一步的集成是通过被卸载的业务的GTP封装来实现的，因为它在基于GTP的，类似S2b的接口上被交付给PGW或GGSN。eBNG120中的GTP封装允许运营商对3G-LTE和W1-Fi被卸载的业务都具有相同的锚点。它允许终端用户在蜂窝和非蜂窝IP CAN之间漫游同时保持它的IP地址，并且它允许到移动数据服务基础设施的本地接入。它允许移动运营商在PGW-GGSN上重用它的整个服务基础设施，不仅在计费方面，而且用于移动内容，互联网接入，深度分组检测，视频优化，头增强等。
[0075]认证和授权与独立的、具有上述可选的嵌入式RADIUS代理的eBNG120完全一致。然而，eBNG 120现在通过创建到PGW-GGSN的EPS会话或PDP上下文来对DHCP发现消息进行响应。然后UE IP地址被PGW从它的本地池或预先存在的EPS会话或PDP上下文来选择。
[0076]在数据平台中，eBNG120可选地完成如LAC的功能:在上行流中，它GTP封装所有来自IPsec胖管道中的会话的业务，并转发该业务到PGW-GGSN ;在下行流中，它终止从PGff-GGSN接收的GTP封装的业务，并转发该业务到通到正确的无线接入点的正确的IPsec
、、_/-、V-遂道。
[0077]为了在蜂窝IP CAN会话和非蜂窝IP CAN会话之间维持该UE的IP地址，eBNG 120在PGW-GGSN处，创建带有切换指示的EPS会话。该切换指示将迫使PGW-GGSN去验证对该用户实体是否现有的EPS会话或PDP上下文正在进行，及查询该会话的上下文。结果是，PGff-GGSN会分配现有的IP地址给非蜂窝会话，及会发送会话断开给SGW/MME或Gn/GpSGSN。
[0078]需要在接入点110的主要的私有使用和供公共使用的可用的额外的带宽的使用之间进行区分。
[0079]这可以通过在接入点上提供两个SSID来实现。在私有SSID上的业务如固定接入一样来被聚集并被照此计费。对于在公有SSID上的业务，专用的连接需要被建立(可能基于专用的VLAN或遂道)，从而该业务能够被独立地对待及独立地计费。
[0080]在图中显示的各种元素的功能，包括被标记为“处理器”的任何功能模块，可以通过专用硬件的使用，及能够执行软件的硬件联合适当的软件的使用来被提供。当由处理器提供时，功能可以由单个的专用处理器，由单个的共享处理器，或由其中的一些可以被共享的多个单独的处理器来提供。此外，术语“处理器”或“控制器”的明确的使用不应该被解释为排他地指能够执行软件的硬件，并可以隐含地包括，不限于，数字信号处理器(DSP)硬件，网络处理器，专用集成电路(ASIC)，现场可编程门阵列(FPGA)，用于存储软件的只读存储器(R0M)，随机访问存储器(RAM)，和非易失性存储器。其他常规的和/或定制的硬件也可以被包括进来。类似地，在图中示出的任何开关仅仅是概念性的。它们的功能可以通过程序逻辑的运行，通过专用逻辑，通过程序控制和专用逻辑的交互，或甚至手动地来完成，从上下文可更明确地被理解能被实现者选择的特定技术。
【权利要求】
1.一种用于通过接入点为多个用户实体提供网络接入的方法，所述接入点包括局域网接口和宽带网络接口，在网关设备处，该方法包括以下步骤: -建立与所述接入点的第二安全通信链路； -通过所述第二安全通信链路，接收来自所述多个用户实体中的一个用户实体的IP地址分配请求； -基于和所述多个用户实体中的所述一个用户实体相关联的移动用户相关的数据，接入AAA服务器来验证所述多个用户实体中的所述一个用户实体的成功的认证是否已经发生；和 -一旦成功验证，完成对于所述多个用户实体中的所述一个用户实体的IP地址分配方案，及启用在所述多个用户实体中的所述一个用户实体和roN之间的数据的中继； 其中所述网关设备适用于聚合从不同接入点到所述TON的第二安全通信链路的多个实例。
2.一种用于通过接入点为多个用户实体提供网络接入的方法，所述接入点包括局域网接口和宽带网络接口，在所述接入点处，该方法包括以下步骤: -通过所述局域网接口，建立与所述多个用户实体中的每一个用户实体的各自的第一安全通信链路； -通过所述宽带网络接口，建立与网关设备的第二安全通信链路；和 -在各个第一安全通信链路和所述第二安全通信链路之间双向地中继数据； 其中所述网关设备适用于·聚合从不同接入点到TON网关的第二安全通信链路的多个实例。
3.根据权利要求1所述的方法，其中所述接入点是无线接入点，及其中所述局域网接口是无线局域网接口，该无线局域网接口的无线传输通过IEEE802.1li加密协议的方式被保护。
4.根据前述权利要求中任一项所述的方法，其中所述第二安全通信链路通过IPSec传输遂道的方式被保护。
5.根据前述权利要求中任一项所述的方法，在所述接入点处还包括: -通过所述局域网接口接收来自用户设备的、对与连接到所述宽带网络接口的网络的通信进行授权的请求； -从归属位置寄存器获取与所述用户设备相关联的移动用户相关的数据； -基于所述移动用户相关的所述数据，认证所述用户设备；和 -如果所述认证成功，授权与连接到所述宽带网络接口的所述网络的通信。
6.根据权利要求5所述的方法，其中所述用户设备的所述认证包括: -通过所述局域网接口，发送至少一个认证质询到所述用户设备，和 -通过所述局域网接口，接收来自所述用户设备的对所述至少一个认证质询的响应，所述响应通过被安全地存储在所述用户设备处的密钥，从所述至少一个认证质询被加密地派生。
7.根据权利要求6中所述的方法，其中所述密钥被存储在SIM卡中。
8.根据权利要求5至7中任一项所述的方法，其中所述用户实体包括IEEE802.1X客户端，及其中所述通信的所述授权包括将所述无线接入点的端口转换到IEEE802.1X授权状态。
9.根据前述权利要求中任一项所述的方法，其中所述网关设备包括AAA服务器，AAA代理和AAA嗅探器中的一个，来实例化和移除用户实体会话。
10.根据前述权利要求中任一项所述的方法，其中所述网关设备建立到GGSN或TON网关的GTP遂道，来向所述用户实体提供到移动运营商IP服务和/或计费机制的接入。
11.一种计算机程序，被配置为用于使可编程的机器来实现前述权利要求中任一项所述的方法。
12.一种网关设备，用于在权利要求1至10中任一项所述的方法中使用。
13.一种接入点，用于在权 利要求1至10中任一项所述的方法中使用。
【文档编号】H04L12/28GK103597779SQ201280028330
【公开日】2014年2月19日 申请日期:2012年6月4日 优先权日:2011年6月8日
【发明者】蒂埃里·凡·德·菲尔德, 维姆·亨德里克斯, 特莱马科·梅里亚 申请人:阿尔卡特朗讯