具体实施方式
下面结合附图,对本发明实施例提供的无线网络接入***及其安全架构的具体实施方式进行详细地说明。
首先对本发明实施例提供的无线网络接入***即长期演进局域网(LongTerm Evolution Local Area Network,LTE-LAN)的架构进行说明,如图1所示,该LTE-LAN包括至少一个长期演进局域网用户设备(LTE-LAN UE,以下简称UE)、至少一个长期演进局域网接入点(LTE-LAN Access Point,以下简称AP)、长期演进局域网网关(LTE-LAN GateWay,以下简称GW),较佳地,还可以包括操作管理维护(Operation Administration and Maintenance,OAM)实体;其中:
AP,基于LTE空口技术为UE提供长期演进局域网LTE-LAN覆盖,通过网关设备GW连接核心网设备(如图1中所示的核心网设备如验证、授权和帐户服务器(Authentication,Authorization and Accounting Server,AAA server)、归属签约用户服务器(Home Subscriber Server,HSS)和计费服务器等),不同AP之间完成同步后通过网关设备GW接入外部网络。
UE,用于通过与AP、GW之间建立的通道访问外部网络及与LTE-LAN内UE通信;
GW,用于与AP、核心网设备和外部网络交互,完成UE对外部网络的访问及与LTE-LAN内部UE之间的通信,具体包括下述功能:
1、接口管理功能:建立与管理连接所述GW与AP的Iu-r接口;
2、上下文管理功能,用于基于所述Iu-r接口,管理GW与AP之间UE的上下文建立过程、上下文修改过程、上下文释放过程以及QoS的保证;
3、鉴权及认证功能,当AP启动时,进行AP和GW之间双向鉴权认证;
4、同步信息交互功能,基于所述Iu-r接口进行AP间同步参数信息交互,以实现GW相连的AP根据获取的同步参数信息选择同步源;
5、干扰管理功能,基于所述Iu-r接口,将受干扰的源AP发送的干扰指示消息转发给产生干扰的目标AP,以使所述目标LAP根据接收的干扰指示消息进行工作参数调整;
6、辅助计费功能,确定AP与UE成功建立连接后,向核心网设备发送计费开始通知,根据核心网设备返回的计费响应消息,按指示的计费方式进行计费,并将计费信息上报给核心网设备,以使核心网设备完成收费;
7、配置管理模块,配置GW连接的AP的工作参数,限定不同AP的合法使用位置,和/或执行基于管理员需求的用户管理过程。
在图1所示的LAN-LTE的***架构中,UE和AP都装备有USIM集成电路卡USIM Integrated Circuit Card,UICC),GW具备IP协议栈,AP是二层设备,不具备IP协议栈。
本发明实施例提供的这种新的无线网络接入***LTE-LAN,具有采用了扁平化的网络架构。在该架构中,没有核心网设备,由于在现有的LTE安全架构中,安全过程需要核心网设备参与,同时也需要NAS协议来完成安全过程,因此LTE定义的通过NAS协议承载的安全过程不再适用本发明实施例提供的这种新的无线网络接入***。
若LTE-LAN采用Non 3GPP接入的安全架构,使用IKEV2承载EAP认证和密钥协议(Extensible Authentication Protocol-Authentication and KeyAgreement,EAP-AKA)进行安全认证过程,那么就需要LTE-LAN中的AP具有IP协议栈,由于LTE-LAN中的AP是一个二层设备,不具备IP协议栈,因此LTE-LAN也无法使用Non 3GPP接入的安全架构中的IKEV2的方式。
因此,现有LTE安全架构,以及Non 3GPP接入的安全架构,都不再适用于本发明实施例提供的这种新的无线网络接入***。
针对LTE-LAN网络安全的问题,本发明实施例提供了一种适用于LTE-LAN的安全架构。下面对该安全架构进行详细地说明。
如图2所示,该安全架构所涉及的网络实体包括:用户设备UE、接入点AP和网关GW;
其中,用户设备UE按照协议栈划分,包括:媒体接入控制(Media AccessControl,MAC)层、无线链路控制(Radio Link Control,RLC)层、无线资源控制(Radio Resource Control,RRC)层、分组数据集中协议(Packet DataConvergence Protocol,PDCP)层和端口接入实体(BAE)层;其中,RRC层中又包含接入控制(BAC)子层。
AP按照协议栈划分,包括:MAC层、RLC层、RRC层、PDCP层、BAE层,以及逻辑链路控制(Logical Link Control,LLC)层;其中,与UE之间的接口的RRC层又包含BAC子层(为了区分,以下称为第一BAC子层),与GW之间的接口的MAC层中又包含BAC子层(为了区分,以下称为第二BAC子层)。
GW按照协议栈划分,包括:MAC层、LLC层、IP层以及BAE层;其中,MAC层中又包含BAC层。
上述UE、AP和GW中的MAC层是标准以太网MAC层。
上述UE和AP中的RLC层,采用LTE-LAN定义的RLC层,该RLC层主要负责上层数据分组的分段,级联以及自动要求重复(Automatic RepeatreQuest,ARQ)功能,为MAC层提供适合在信道传输的数据块并进行差错重传。
上述UE和AP中的RRC层,采用LTE-LAN定义的RRC层,该RRC层主要负责接入层无线资源的控制和管理,功能包括***广播信息,RRC连接管理,测量配置与上报,无线承载控制等。
上述UE和AP中的PDCP层,采用LTE-LAN定义的PDCP层,该PDCP层主要负责完成UE和AP之间信令和数据的安全。
上述AP和GW中的LLC层,采用标准以太网LLC层。
上述UE、AP和GW中的BAE层,负责执行算法和协议操作,具体来说实现下述功能:
1、使用EAP-AKA实现双向鉴权认证,也即UE和AP之间的双向鉴权认证,以及AP与GW之间的双向鉴权认证。
2、执行密钥协商。
上述UE、AP和GW中的BAC子层,根据BAE的接入控制和授权结果控制接入的行为。
如图2所示,对于UE和AP之间的接口,第一BAC子层位于RRC层,对于AP和GW之间的接口,第二BAC子层位于MAC层。
如果UE和AP之间双向鉴权认证成功,那么UE的BAE层将UE和AP之间双向鉴权认证的结果通知所述UE的第一BAC子层;AP的BAE层将UE和AP之间双向鉴权认证的结果通知AP的第一BAC子层;
UE和AP的的第一BAC子层,根据所述UE和AP的双向认证成功的结果,在UE和AP之间建立RLC连接,使AP和UE之间的用户数据包可以通过;以及根据所述UE和AP的双向认证失败的结果,拒绝在UE和AP之间建立RLC连接。
当AP和GW之间双向鉴权认证成功,则AP的BAE层,将AP和GW之间双向鉴权认证的结果通知AP的第二BAC子层;GW的BAE层将AP和GW之间双向鉴权认证的结果通知GW的第二BAC子层;
AP和GW的第二BAC子层,在AP和GW之间双向鉴权认证成功时,打开AP和GW的受控端口;这样用户的数据包可以从各自的受控端口通过;在AP和GW之间双向鉴权认证失败时,关闭AP和GW的受控端口,这样,用户的数据包无法从各自的受控端口通过。
本发明实施例提供的基于LTE-LAN的安全架构中,对需要对接入(AcessStratum,AS)层(即AP和UE之间)进行加密和完整性保护。因此,如图3所示的密钥架构图,UE和HSS之间共享的密钥包括:根密钥(K)以及会话性密钥/完整性密钥(CK/IK)密钥对;K是保存在AP和UE的UICC卡中的根密钥(永久密钥)。CK/IK是保存在HSS中的永久密钥对。CK/IK可由K推演出来。
UE与GW共享的中间密钥包括:KASME;UE和HSS分别根据CK/IK推演得到中间密钥KASME,该中间密钥用于进一步推演出下一步的密钥。
UE和AP共享的密钥包括:KAP、KUPenc、KRRCenc和KRRCint;其中KAP是UE和AP根据中间密钥KASME推演得到的,KAP的作用是进一步推演AS层(AP和UE之间)的密钥即KUPenc、KRRCenc和KRRCint;
KUPenc为用户面加密密钥,由UE和AP分别根据KAP和用户面加密算法的标识符推演得到,用于保护UE和AP之间的用户层数据的保密性。
KRRCenc为RRC数据面加密密钥,由UE和AP分别根据KAP和RRC数据面加密算法的标识符推演得到,用于保护UE和AP之间的RRC信令数据的保密性。
KRRCint为RRC完整性密钥,由UE和AP分别根据KAP和RRC完整性算法的标识符推演得到,用于UE和AP之间的RRC信令数据的完整性。
如图3所示的各个密钥的推演过程说明如下:
在UE和AP的双向鉴权认证,以及AP和GW的双向鉴权认证过程中,HSS根据AP和UE的根密钥K,推演出CK/IK,并进一步地推演出中间密钥KASME,在这个过程中,HSS将KASME返回给GW。
由于UE和AP自身都保存有根密钥K,在这个过程中,完成由K→CK/IK→KASME的推演过程。
然后UE和AP使用KASME进一步推演出KAP;
KASME保存在UE和GW中,并在下次认证过程中进行更新。
在AP和UE双向鉴权认证成功之后,AP和UE建立安全上下文,在建立安全上下文的过程中,AP和UE继续根据KAP密钥推演出KUPenc、KRRCenc和KRRCint,然后UE和AP保存KUPenc、KRRCenc和KRRCint。
此后,在UE和AP之间,RRC信令数据可使用KRRCenc进行加密或解密,使用KRRCint向RRC信令数据提供完整性保护,在数据链路建立起来之后,用户面的用户数据包可使用KUPenc进行加密或解密,从而实现AP和UE之间的加密保护和完整性的保护。
UE和AP的RRC层的完整性保护由PDCP层使用KRRCint实现,UE和AP的RRC层的加密保护由PDCP层使用KRRCenc实现,UE和AP的PDCP层及以下各层则不再提供完整性保护。
本发明实施例提供的安全架构中,AP和UE之间还可以就RRC层的加密保护和完整性保护的算法以及就用户面数据加密保护的算法进行协商,具体协商的过程如下:
每个AP中保存有预先配置好的LTE-LAN所允许的算法列表,该算法列表包括完整性保护算法列表和加密保护算法列表。其中:
完整性保护算法列表包含了若干RRC信令数据的完整性保护算法,并且,各完整性保护算法按照运营商自定义的优先级排序;加密保护算法列表中分别包含了若干RRC信令数据的加密保护算法,各加密保护算法也同样按照运营商自定义的优先级排序。完整性保护算法列表和加密保护算法列表可以由网络管理员通过OAM实体预先设置。
当AP和UE之间建立安全上下文时,GW会向AP发送UE的安全能力信息,AP根据UE的安全能力信息,从自身保存的预先配置的算法列表中选择能够满足该UE安全能力的且优先级最高的完整性保护算法和加密保护算法,然后将选择的完整性保护算法和加密保护算法告知UE,完成算法协商过程。
本发明实施例提供的无线网络接入***即LTE-LAN***,包括至少一个用户设备UE、至少一个接入点AP和网关GW;其中UE,用于与AP之间进行双向鉴权认证,并在认证成功后,通过AP和GW与外部网络以及该无线网络接入***内部UE进行通信;AP,用于与UE之间以及与GW之间进行双向鉴权认证,并在认证成功后,为UE提供网络覆盖和无线接入服务;GW,用于与AP之间进行双向鉴权认证,并在认证成功后,与AP、核心网设备和外部网络交互,实现UE对外部网络的访问以及该无线网络接入***内部UE之间的通信。该无线网络接入***针对目前室内和热点数据业务特征,采用了扁平化的网络架构,能够简单而低成本地实现UE对该***中其他UE的访问以及对外部网络的访问,同时,本发明实施例提供的无线网络接入***中,AP、UE和GW之间双向鉴权认证,一方面保证了用户数据的完全性,防止用户受到非法攻击,另一方面也保证了网络侧的安全,不让非法用户或者非法AP接入。
进一步地,由于AP和UE在保证网络安全的前提下,不采用IP协议栈,对设备的整体性能要求不高,可以进一步有效地降低建网成本以及用户使用成本,并且在AP、UE和GW之间的双向鉴权认证采用已有的EAP-AKA机制,提供了良好的扩展性和兼容性。并且,在本发明实施例提供的安全架中,BAE层根据AP和GW双向认证结果控制BAC层对受控端口进行开启和关闭,将业务数据传输和认证鉴权过程分离,这样,在鉴权认证通过后,经过受控端口的用户数据可以直接承载在二层报文之上而无需封装,降低了网络传输的复杂度,提高了网络传输的效率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。