IPSec隧道的建立方法及装置、终端和网络侧设备与流程
本发明涉及通信领域,具体而言,涉及一种ipsec隧道的建立方法及装置、终端和网络侧设备。
背景技术:
3gppr13提出了一种wlan与lte互通的紧耦合方案,在这种互通方案中,不需要对无线局域网接入点(wirelesslocalareanetwork,简称为wlan)(accesspoint,简称为ap)做任何修改,即可使用现有的wlanap组网,将wlan作为长期演进(longtimeevolution,简称为lte)的补充接入使用。这种方案被称为长期演进与无线局域网的集成(ltewlanaggregation,简称为lwa)forlegacyap。
图1是相关技术中lwa的示意图,如图1所示,enb(102)通过ip与wlan(104)相连。ue(105)通过wlan(104)接入时,为了支持wlan分流,ue(105)与enb(102)间建立ipsec隧道(101),enb(102)将从s1-u接口收到的ip数据包在ipsec隧道(101)和lte空口承载(103)间进行分发。通过ipsec隧道(101)发送的数据将经过wlan(104)发送到ue(105)的wlan介质访问控制(mediaaccesscontrol,简称为mac)层,并最终在ipsec隧道解码后将净荷数据发送给ue(105)的ip协议栈。通过lte空口承载(103)发送的数据将被打上分组数据汇聚协议(packetdateconvergenceprotocol,简称为pdcp)头,并通过空口的rlc、mac、物理层,最终发送到ue(105)的lte接收器,并经过ue(105)的lte协议栈解码后发送给ue(105)的ip协议栈。
可见,在相关技术中只描述了需要在enb(102)和ue(104)间建立ipsec隧道(101),但未具体说明如何建立ipsec隧道。相关技术中,一般采用的方式是,ipsec协议栈使用ikev2协议(rfc7427)进行互相认证、生成会话密钥,并协商建立childsa(securityassociation)。其中,互认证使用的方法包括:共享密钥、证书(如x.509证书签名等)、或eap。
在3gpp中,s2b接口间的ipsec隧道采用了eap方式在ue和epdg间进行认证。为了对用户进行认证,epdg通过一个接口与3gpp验证授权记账(authentication、authorization、accounting,简称为aaa)服务器接口。eap协议在ue和3gppaaa服务器之间,实际认证是在3gppaaa服务器和ue间进行认证的。
为了在图1的enb(102)和ue(105)间建立ipsec隧道,也可以采用类似epdg的方式,但是该方式需要增加enb(105)到3gppaaa服务器的接口,增加了系统的复杂性。针对相关技术中的上述问题,目前尚未存在有效的解决方案。
技术实现要素:
本发明提供了一种ipsec隧道的建立方法及装置、终端和网络侧设备,以至少解决相关技术中在建立ipsec隧道时,需要增加enb到3gppaaa服务器的接口进而增加了系统的复杂性的问题。
根据本发明的一个方面,提供了一种ipsec隧道的建立方法,包括:在终端通过第二通道接入第一网络时,所述终端接收所述第一网络通过安全通道发送的所述终端经第二通道接入所述第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,所述安全通道为所述第一网络与所述终端通过第一通道预先建立的;所述终端依据所述ipsec隧道端点的地址信息、和/或ipsec子会话信息与所述第一网络建立所述ipsec隧道。
进一步地,所述ipsec隧道端点的地址信息为所述第一网络中ipsec服务器的ip地址或完全合格域名fqdn。
进一步地,所述ipsec子会话信息包括:ipsec子会话的安全参数索引spi、和/或ipsec子会话的链路选择器trafficselector、和/或ipsec子会话的传输模式、和/或ipsec子会话的安全协议、和/或ipsec子会话的加密算法、和/或ipsec子会话的加密会话密钥、和/或ipsec子会话的完整性保护算法、和/或ipsec子会话的完整性保护密钥、和/或所述第一网络产生的随机数或计数器。
进一步地,所述终端与所述第一网络建立所述ipsec隧道包括:所述终端为所述ipsec子会话分配所述终端的spi;所述终端与第二网络关联,并获取所述第二网络分配给所述终端的本地ip地址;所述终端通过所述安全通道将所述终端的本地ip地址和所述ipsec子会话的spi、和/或所述终端产生的随机数或计数器发送到所述第一网络以建立所述ipsec隧道。
进一步地,所述各个ipsec子会话的会话密钥由所述第一网络通过所述安全通道向所述终端发送,其中,所述会话密钥携带在所述ipsec子会话信息中;或,所述各个ipsec子会话的会话密钥由所述终端和所述第一网络根据共享密钥计算得到,其中,所述共享密钥是kenb。
进一步地,在所述终端的本地ip地址改变时,所述终端通过所述安全通道将所述终端改变后的本地ip地址发送到所述第一网络。
进一步地,在所述第一网络更新会话密钥时,所述终端通过所述安全通道接收所述第一网络发送的指示信息,其中,所述指示信息用于指示更新后的会话密钥,或指示所述终端重新计算会话密钥、和/或所述第一网络产生的新的随机数或计数器。
进一步地,所述终端在收到所述第一网络发送的指示信息后,还包括:所述终端通过所述安全通道向所述第一网络发送所述终端产生的随机数或计数器;所述终端和所述第一网络重新计算会话密钥。
进一步地,所述ipsec子会话信息是在进行ikev2认证时所述终端所使用的ikev2共享密钥、和/或所述第一网络产生的随机数或计数器。
进一步地,所述ikev2共享密钥由所述第一网络通过所述安全通道向所述终端发送;或,所述ikev2共享密钥由所述终端和所述第一网络根据共享密钥、和/或所述第一网络产生的随机数或计数器计算得到,其中,所述共享密钥是kenb。
进一步地,所述终端与所述第一网络建立所述ipsec隧道包括:所述终端与第二网络关联,并获取所述第二网络分配给所述终端的本地ip地址;所述终端进行ikev2协商,使用所述ikev2共享密钥进行互相认证,并通过ikev2协议创建ipsec隧道。
进一步地,在所述终端的本地ip地址改变时,所述终端通过mobike协议将所述终端改变后的本地ip地址发送到所述第一网络。
进一步地,所述第一通道为lte空口、所述第二通道为wlan空口,所述第一网络为3gpp网络,所述第二网络为无线局域网wlan网络。
根据本发明的另一个方面提供了一种ipsec隧道的建立方法,包括:在终端通过第二通道接入第一网络时,所述第一网络通过安全通道向所述终端发送所述终端接入所述第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,所述安全通道为所述第一网络与所述终端通过第一通道预先建立的。
根据本发明的再一个方面,提供了一种ipsec隧道的建立装置,应用于终端侧,包括:第一接收模块,用于在终端通过第二通道接入第一网络时,接收所述第一网络通过安全通道发送的所述终端经第二通道接入所述第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,所述安全通道为所述第一网络与所述终端通过第一通道预先建立的;建立模块,用于依据所述ipsec隧道端点的地址信息、和/或ipsec子会话信息与所述第一网络建立所述ipsec隧道。
进一步地,所述ipsec隧道端点的地址信息为所述第一网络中ipsec服务器的ip地址或完全合格域名fqdn。
进一步地,所述ipsec子会话信息包括:ipsec子会话的安全参数索引spi(securityparametersindex)、和/或ipsec子会话的链路选择器trafficselector、和/或ipsec子会话的传输模式、和/或ipsec子会话的安全协议、和/或ipsec子会话的加密算法、和/或ipsec子会话的加密会话密钥、和/或ipsec子会话的完整性保护算法、和/或ipsec子会话的完整性保护密钥、和/或所述第一网络产生的随机数或计数器。
进一步地,所述建立模块包括:分配单元,用于为所述ipsec子会话分配所述终端的spi;第一处理单元,用于与第二网络关联,并获取所述第二网络分配给所述终端的本地ip地址;第二建立单元,用于通过所述安全通道将所述终端的本地ip地址和所述ipsec子会话的spi、和/或所述终端产生的随机数或计数器发送到所述第一网络以建立所述ipsec隧道。
进一步地,所述各个ipsec子会话的会话密钥由所述第一网络通过所述安全通道向所述终端发送,其中,所述会话密钥携带在所述ipsec子会话信息中;或,所述各个ipsec子会话的会话密钥由所述终端和所述第一网络根据共享密钥计算得到,其中,所述共享密钥是kenb。
进一步地,所述装置还包括:第一发送模块,用于在所述终端的本地ip地址改变时,通过所述安全通道将所述终端改变后的本地ip地址发送到所述第一网络。
进一步地,所述装置还包括:第二接收模块,用于在所述第一网络更新会话密钥时,通过所述安全通道接收所述第一网络发送的指示信息,其中,所述指示信息用于指示更新后的会话密钥,或指示所述终端重新计算会话密钥、和/或所述第一网络产生的新的随机数或计数器。
进一步地,还包括:第二发送模块,用于在收到所述第一网络发送的指示信息后,所述终端通过所述安全通道向所述第一网络发送所述终端产生的随机数或计数器;以及,计算模块,用于和所述第一网络重新计算会话密钥。
进一步地,所述ipsec子会话信息是在进行ikev2认证时所述终端所使用的ikev2共享密钥、和/或所述第一网络产生的随机数或计数器。
进一步地,所述ikev2共享密钥由所述第一网络通过所述安全通道向所述终端发送;或,所述ikev2共享密钥由所述终端和所述第一网络根据共享密钥、和/或所述第一网络产生的随机数或计数器计算得到,其中,所述共享密钥是kenb。
进一步地,所述建立模块包括:第二处理单元,用于与第二网络关联,并获取所述第二网络分配给所述终端的本地ip地址;第二建立单元,用于通过所述ikev2共享密钥进行ikev2协商,并通过ikev2协议创建ipsec隧道。
进一步地,所述装置还包括:第三发送模块,用于在所述终端的本地ip地址改变时,端通过mobike协议将所述终端改变后的本地ip地址发送到所述第一网络。
进一步地,所述第一通道为lte空口、所述第二通道为wlan空口,所述第一网络为3gpp网络,所述第二网络为无线局域网wlan网络。
根据本发明的再一个方面,提供了一种ipsec隧道的建立装置,应用于第一网络侧,包括:第四发送模块,用于在终端通过第二通道接入第一网络时,通过安全通道向所述终端发送所述终端接入所述第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,所述安全通道为所述第一网络与所述终端通过第一通道预先建立的。
根据本发明的又一个方面,提供了一种终端,包括上述任一项应用于终端侧所述的装置。
根据本发明的又一个方面,提供了一种网络侧设备,包括上述任一项应用于网络侧所述的装置。
在本发明中,在终端通过第二通道接入第一网络时,终端接收第一网络通过安全通道发送的终端经第二通道接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的;终端依据ipsec隧道端点的地址信息、和/或ipsec子会话信息与第一网络建立ipsec隧道。通过本发明,解决了相关技术中在建立ipsec隧道时,需要增加enb到3gppaaa服务器的接口进而增加了系 统的复杂性的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中lwa的示意图;
图2是根据本发明实施例的ipsec隧道的建立方法的流程图一;
图3是根据本发明实施例的ipsec隧道的建立方法的流程图二;
图4是根据本发明实施例的ipsec隧道的建立装置的结构框图一;
图5是根据本发明实施例的ipsec隧道的建立装置的结构框图二;
图6是相关技术中4g系统的架构图;
图7是相关技术中ue与网络通信的各密钥间的关系示意图;
图8是本发明可选实施例的ue与enb间使用方法a建立ipsec隧道的方法流程图;
图9是本发明可选实施例的ue跨ap移动后本地ip地址发生改变时的方法流程图;
图10是本发明可选实施例的ue与enb间使用方法b建立ipsec隧道的方法流程图;
图11是本发明可选实施例的当ue跨ap移动后,ip地址发生改变的方法流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在本实施例中提供了一种ipsec隧道的建立方法,图2是根据本发明实施例的ipsec隧道的建立方法的流程图一,如图2所示,该流程包括如下步骤:
步骤s202:在终端通过第二通道接入第一网络时,终端接收第一网络通过安全通道发送的终端经第二通道接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的;
需要说明的是,第一通道为lte空口、第二通道为wlan空口,第一网络为3gpp网络,第二网络为无线局域网wlan网络,以及本实施例中涉及到的ipsec隧道端点的地址信息为第一系统中ipsec服务器的ip地址或完全合格域名fqdn,而对于本实施例中ipsec子会话 信息有两种情况:
情况1:该iipsec子会话信息包括:ipsec子会话的安全参数索引spi(securityparametersindex)、和/或ipsec子会话的链路选择器trafficselector、和/或ipsec子会话的传输模式、和/或ipsec子会话的安全协议、和/或ipsec子会话的加密算法、和/或ipsec子会话的加密会话密钥、和/或ipsec子会话的完整性保护算法、和/或ipsec子会话的完整性保护密钥、和/或第一网络产生的随机数或计数器。
情况2:该ipsec子会话信息是在进行ikev2认证时终端所使用的ikev2共享密钥、和/或第一网络产生的随机数或计数器。其中,ikev2共享密钥由第一网络通过安全通道向终端发送;或,ikev2共享密钥由终端和第一网络根据共享密钥、和/或第一网络产生的随机数或计数器计算得到,其中,共享密钥是kenb。
步骤s204:终端依据ipsec隧道端点的地址信息、和/或ipsec子会话信息与第一网络建立ipsec隧道。
在该ipsec子会话信息为情况1时,该步骤可以由以下步骤实现:
步骤s204-1:终端为ipsec子会话分配终端的spi;
步骤s204-2:终端与第二网络关联,并获取第二网络分配给终端的本地ip地址;
步骤s204-3:终端通过安全通道将终端的本地ip地址和ipsec子会话的spi、和/或终端产生的随机数或计数器发送到第一网络以建立ipsec隧道。
需要说明的是,本实施例中涉及到的各个ipsec子会话的会话密钥由第一网络通过安全通道向终端发送,其中,会话密钥携带在ipsec子会话信息中;或,各个ipsec子会话的会话密钥由终端和第一网络根据共享密钥计算得到,其中,共享密钥是kenb。
此外,在本实施例的可选实施方式中,在终端的本地ip地址改变时,终端通过安全通道将终端改变后的本地ip地址发送到第一网络。以及在第一网络更新会话密钥时,终端通过安全通道接收第一网络发送的指示信息,其中,指示信息用于指示更新后的会话密钥,或指示终端重新计算会话密钥、和/或第一网络产生的新的随机数或计数器。
基于此,终端在收到第一网络发送的指示信息后,本实施例的方法还可以包括:终端通过安全通道向第一网络发送终端产生的随机数或计数器;终端和第一网络重新计算会话密钥。
而在ipsec子会话信息为情况2时,本实施例中步骤s204中涉及到的终端依据ipsec隧道端点的地址信息和ipsec子会话信息与第一系统建立ipsec隧道的方式,在本实施例的可选实施方式中可以由以下方式实现:
步骤s204-4:终端与第二网络关联,并获取第二网络分配给终端的本地ip地址;
步骤s204-5:终端通过ikev2共享密钥进行ikev2协商,并通过ikev2协议创建ipsec隧道。
而在本实施例的另一个可选实施方式中,在终端的本地ip地址改变时,终端通过mobike协议将终端改变后的本地ip地址发送到第一网络。
图3是根据本发明实施例的ipsec隧道的建立方法的流程图二,如图3所示,该方法的步骤包括:
步骤s302:在终端通过第二通道接入第一网络时,第一网络通过安全通道向终端发送终端接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
在本实施例中还提供了一种ipsec隧道的建立装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的ipsec隧道的建立装置的结构框图一,该装置应用于终端侧,如图4所示,该装置包括:第一接收模块42,用于在终端通过第二通道接入第一网络时,接收第一网络通过安全通道发送的终端经第二通道接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的;建立模块44,与第一接收模块42耦合连接,用于依据ipsec隧道端点的地址信息、和/或ipsec子会话信息与第一网络建立ipsec隧道。
可选地,本实施例中涉及到的ipsec隧道端点的地址信息为第一网络中ipsec服务器的ip地址或完全合格域名fqdn。
此外,本实施例中的ipsec子会话信息包括:ipsec子会话的安全参数索引spi(securityparametersindex)、和/或ipsec子会话的链路选择器trafficselector、和/或ipsec子会话的传输模式、和/或ipsec子会话的安全协议、和/或ipsec子会话的加密算法、和/或ipsec子会话的加密会话密钥、和/或ipsec子会话的完整性保护算法、和/或ipsec子会话的完整性保护密钥、和/或第一网络产生的随机数或计数器。
需要说明的是,各个ipsec子会话的会话密钥由第一网络通过安全通道向终端发送,其中,会话密钥携带在ipsec子会话信息中;或,各个ipsec子会话的会话密钥由终端和第一网络根据共享密钥计算得到,其中,共享密钥是kenb。
基于上述ipsec子会话信息,本实施例建立模块44包括:分配单元,用于为ipsec子会 话分配终端的spi;第一处理单元,用于与第二网络关联,并获取第二网络分配给终端的本地ip地址;第二建立单元,用于通过安全通道将终端的本地ip地址和ipsec子会话的spi、和/或终端产生的随机数或计数器发送到第一网络以建立ipsec隧道。
在本实施例的另一个可选实施方式中,本实施例的装置还可以包括:第一发送模块,用于在终端的本地ip地址改变时,通过安全通道将终端改变后的本地ip地址发送到第一网络。以及第二接收模块,用于在第一网络更新会话密钥时,通过安全通道接收第一网络发送的指示信息,其中,指示信息用于指示更新后的会话密钥,或指示终端重新计算会话密钥、和/或第一网络产生的新的随机数或计数器;第二发送模块,用于在收到第一网络发送的指示信息后,终端通过安全通道向第一网络发送终端产生的随机数或计数器;以及,计算模块,用于和第一网络重新计算会话密钥。
可选地,ipsec子会话信息是在进行ikev2认证时终端所使用的ikev2共享密钥、和/或第一网络产生的随机数或计数器。以及,ikev2共享密钥由第一网络通过安全通道向终端发送;或,ikev2共享密钥由终端和第一网络根据共享密钥、和/或第一网络产生的随机数或计数器计算得到,其中,共享密钥是kenb。
在本实施例的另一个可选实施方式中,该建立模块44还可以包括:第二处理单元,用于与第二网络关联,并获取第二网络分配给终端的本地ip地址;第二建立单元,用于通过ikev2共享密钥进行ikev2协商,并通过ikev2协议创建ipsec隧道。
可选地,本实施例的装置还可以包括:第三发送模块,用于在终端的本地ip地址改变时,通过mobike协议将终端改变后的本地ip地址发送到第一网络。
需要说明的是,第一通道为lte空口、第二通道为wlan空口,第一网络为3gpp网络,第二网络为无线局域网wlan网络。
图5是根据本发明实施例的ipsec隧道的建立装置的结构框图二,该装置应用于第一网络侧,如图5所示,该装置包括:第四发送模块52,用于在终端通过第二通道接入第一网络时,通过安全通道向终端发送终端接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的。
此外,在本实施例中还提供了一种终端,包括上述图4中的ipsec隧道的建立装置。以及还提供了一种网络侧设备,该网络侧设备包括上述图5中的ipsec隧道的建立装置。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述模块分别位于多个处理器中。
下面结合本发明的可选实施例对本发明进行举例说明;
在相关技术的4g系统中,在ue通过lte接入时,ue与mme之间会进行相互认证。图6是相关技术中4g系统的架构图,如图6所示,根据ts33.401,在ue与mme认证后, ue和mme中会保存相同的kasme。ue与网络间通信的加密及完整性保护的密钥都是根据kasme生成的。
图7是相关技术中ue与网络通信的各密钥间的关系示意图,如图7所示,ue与enb间的通信密钥,如rrc的加密和完整性保护密钥(krrcenc、krrcint)、用户面的加密和完整性保护密钥(kupenc、kupint),都是根据ue和enb间共享的密钥kenb生成的,而kenb是根据kasme生成的。其中ue的初始kenb是ue计算的,而enb上的初始kenb是mme发送计算好并发送给enb的。后续ue和enb可根据初始kenb计算后续的kenb(切换时)。
从上面的分析可以看出,ue和enb间的rrc连接建立后,ue和enb间已经存在了共享密钥kenb。由于图1所示的wlan与enb的聚合方案中,ue已经与enb间建立了rrc连接,因此,此时ue与enb间存在有效的共享密钥kenb。因此,在ue和enb间建立ipsec隧道时所需的密钥可通过该kenb生成,而毋须再在ue和enb间运行一套认证流程以产生ipsec隧道所需的密钥。
根据协议rfc7296,ipsec隧道建立分成两步:1.运行ikev2协议,在ipsec对端间建立安全通道,并在对端间进行相互认证;2.根据初始密钥生成会话密钥,并利用ikev2协议建立ipsec的child安全会话(securityassociation,简称为sa)。
在本发明中,利用kenb为ipsec隧道提供密钥的方法包括如下两种可能:
方法a:enb与ue间在进行ikev2协商时,enb与ue间的共享密钥可以由enb在加密的rrc信令中发送给ue,或者,由enb和ue分别利用kenb生成,ue和enb可分别根据kenb生成上述ikev2认证所需的共享密钥。ikev2认证方式可采用共享密钥方式进行认证。ue发起到enb间的ikev2建立流程,并在互认证阶段使用上述密钥在ue和enb间进行认证。ue和enb间利用ikev2协议建立后续childsa,childsa的会话密钥和加密算法等则利用rfc7296的ikev2协议协商和生成。
方法a中,从kenb生成ue与enb间的ikev2认证共享密钥的方法如下:
enb通过rrc信令给ue发送一个nounce或者counter
enb和ue分别根据nounce/counter和kenb计算共享密钥。enb和ue计算共享密钥的方法可参考ts33.401中定义的方法,即,将kenb和nounce/counter作为kdf(keyderivationfunction,密钥生成功能)的输入,kdf的输出作为共享密钥。ts33.220中有kdf的示例,实现时可参考。
方法b:enb与ue利用rrc信令建立ipsec隧道,enb将各childsa的信息,如,childsa的spi、隧道模式(tunnel或transparent)、传输模式(esp或ah)、加密和/或完整性算法,通过rrc信令发送给ue。各childsa的会话密钥可由enb通过加密的rrc信令发送给ue,也可由enb和ue分别利用kenb计算。ue和enb间毋须运行ikev2协议。同时,ue也将本端的childsa的spi和本地ip地址发送给enb,从而完成ipsec隧道的建立。
方法b中,从kenb生成ue与enb间各childsa的会话密钥的方法如下:
enb通过rrc信令与ue间交换一对随机数ni(ue的随机数)和nr(enb的随机数)。ni和nr也可以是两个计数器counter,counter从0开始,每计算一次新密钥counter加1。
enb和ue分别根据kenb和ni/nr计算子会话的密钥。enb和ue分别按如下公式进行计算:
keymat=prf+(kenb,ni|nr),其中prf+的定义参见rfc7296的第2.13节,prf可选择rfc7296中定义的prf。
各子会话分为ue到enb方向(上行)和enb到ue方向(下行),上下行子会话的会话密钥不同,分别是上行会话密钥和下行会话密钥。参考rfc7296第2.17节的方法为各子会话计算子会话密钥。
下面结合附图对将方法a应用到ue与enb间建立ipsec的实施例进行详细说明。
图8是本发明可选实施例的ue与enb间使用方法a建立ipsec隧道的方法流程图,如图8所示,该方法的步骤包括:
步骤s802:ue已经通过lte接入到3gpp移动网络。
其中,在enb和ue中已经保存并正在使用相同的kenb;这个接入过程可能是附着或者切换或者是跟踪区更新流程,不同的接入流程enb通过不同方式获得kenb。
步骤s804:enb决定让ue检测wlan信号情况;
其中,该wlan信号情况可以是wlan信号强度等;需要说明的是该步骤s804可以在步骤s802中稍带完成,也可以由单独的rrc重配置过程完成。
步骤s806:ue将检测到的wlan信号情况上报给enb;
步骤s808:若enb决定让ue从wlan接入,enb生成ikev2所需的密钥。
其中,enb根据kenb计算ikev2认证时所需的共享密钥,从kenb计算ikev2认证共享密钥有很多种方法,例如将ikev2认证共享密钥设置为kenb。或者,enb通过其他方法生成ikev2认证的所需共享密钥,如生成一个随机数。
步骤s810:enb并将enb的地址(如ip地址或fqdn)和允许接入的wlan移动集(mobilityset)等信息通过rrc信令发送给ue;
其中,若ue不能计算ikev2认证所需的密钥,例如该密钥是enb随机产生的,则enb需将该ikev2认证密钥也在该步骤中发送给ue,并且,ikev2认证密钥在rrc信令中应进行加密处理。
步骤s812:ue根据依据enb发送的信息与选中的wlanap关联;
其中,wlan系统给ue分配本地ip地址;需要说明的是,该s612中wlan系统可以对ue进行认证,也可以不认证。
步骤s814:ue发起到enb的ipsec隧道建立过程。
其中,若ue需要计算ikev2认证密钥,ue从本地保存的kenb计算ikev2认证共享密钥。ue使用ikev2信令建立ipsec隧道,在ikev2建立过程中,ue选择使用共享密钥方式进行认证,其共享密钥是在步骤s810中收到的ikev2共享密钥,或是在本步骤根据kenb计算的ikev2共享密钥。ue与enb协商建立子会话(childsa)用于传输数据,子会话的会话密钥按ikev2协议规定的方法生成。
通过上述步骤s802至步骤s814,ue与enb间的ipsec隧道建立完成,enb可将从s1接口收到的下行数据在lte链路和该ipsec隧道间分发。同时,ue的上行数据可通过lte链路或该ipsec隧道发送。
图9是本发明可选实施例的ue跨ap移动后本地ip地址发生改变时的方法流程图,需要说明的是,在该方法流程执行前,ue已经通过一个wlan链路与enb间建立了ipsec隧道流程,该流程假设ue未移动出enb的覆盖范围,新的wlanap仍然在之前收到的wlan移动集内,如图9所示,该方法的步骤包括:
步骤s902:在ue从一个wlanap移动了另外一个wlanap,并与新的wlanap产生关联时,wlan接入系统为ue重新分配了新的本地ip地址。
步骤s904:ue使用mobike协议将新的本地ip地址通知给enb。
下面结合附图对将方法b应用到ue与enb间建立ipsec的流程中的实施例进行详细说明。
图10是本发明可选实施例的ue与enb间使用方法b建立ipsec隧道的方法流程图,如图10所示,该方法的步骤包括:
步骤s1002:ue已经通过lte接入到3gpp移动网络;
其中,在enb和ue中已经保存并正在使用相同的kenb;需要说明的是,这个接入过程可能是附着或者切换或者是跟踪区更新流程,不同的接入流程enb通过不同方式获得kenb。
步骤s1004:enb决定让ue检测wlan信号情况;
其中,该wlan信号情况可以是wlan信号强度或其他;需要说明的是,该过程可以在步骤s1002流程中稍带完成,也可以由单独的rrc重配置过程完成。
步骤s1006:ue将检测到的wlan信号情况上报给enb;
步骤s1008:若enb决定让ue从wlan接入,enb确定所需的ipsec子会话数目,并分配ipsec子会话的本地spi值。
其中,enb根据ue的能力确定各子会话所使用的加密和完整性保护算法,并为各子会话分配所需的会话密钥;enb根据kenb计算ipsec各子会话所需的会话密钥,或者,enb采用其他方式分配会话密钥,如enb为每个子会话分配随机的会话密钥。根据kenb计算会话密钥的算法有很多,具体可参考ts33.401中的密钥生成算法,或者参考rfc7427中的密钥生成算法。
步骤s1010:enb并将enb的ip地址、子会话信息(包括子会话的enb端spi、子会话的trafficselector等信息),以及允许接入的wlan移动集(mobilityset)等信息通过加密的rrc信令发送给ue。
其中,若ue不能本地计算子会话的会话密钥(比如在步骤s808中enb为每个子会话分配随机的会话密钥),则enb应将各子会话的会话密钥包含在子会话信息中,并且,该消息中的子会话密钥应加密。
步骤s1012:ue响应enb发送的配置信息;
其中,ue为从enb收到的每个ipsec子会话分配本端spi,并且,若ue需本地计算子会话的会话密钥,则ue从本地保存的kenb,使用与enb相同的算法,计算各子会话的所需的会话密钥。ue将ipsec子会话配置信息(如子会话的本端spi)发送给enb。
步骤s1014:ue根据收到的信息与选中的wlanap关联;
其中,wlan系统给ue分配本地ip地址;该步骤中wlan系统可能对ue进行认证,也可能不认证。
步骤s1016:ue将从wlan获取的本地ip地址通过rrc信令发送给enb。
通过上述步骤s1002至步骤s1016,ue与enb间的ipsec隧道建立完成,进而enb可将从s1接口收到的下行数据在lte链路和该ipsec隧道间分发;同时,ue的上行数据可通过lte链路或该ipsec隧道发送。
图11是本发明可选实施例的当ue跨ap移动后,ip地址发生改变的方法流程图,需要说明的是,在该流程执行前,ue已经通过一个wlan链路与enb间建立了ipsec隧道,该流程假设ue未移动出enb的覆盖范围,新的wlanap仍然在之前收到的wlan移动集内;如图11所示,该方法的步骤包括:
步骤s1102:在ue从一个wlanap移动了另外一个wlanap,并与新的wlanap产生关联时,wlan接入系统为ue重新分配了新的本地ip地址;
步骤s1104:ue通过rrc消息给enb发送新的本地ip地址;
步骤s1106:enb决定是否要更新ipsec会话密钥,若要更新ipsec会话密钥,enb计算新的ipsec会话密钥。
步骤s1108:enb给ue发送响应消息。
其中,若步骤s1106中enb决定要更新会话密钥,enb在该步通知ue计算新的会话密钥指示,ue根据更新会话密钥指示决定是否重新计算ipsec会话密钥。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
s1:在终端通过第二通道接入第一网络时,终端接收第一网络通过安全通道发送的终端经第二通道接入第一网络所需的互联网安全协议ipsec隧道端点的地址信息、和/或ipsec子会话信息,其中,安全通道为第一网络与终端通过第一通道预先建立的;
s2:终端依据ipsec隧道端点的地址信息、和/或ipsec子会话信息与第一网络建立ipsec隧道。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!