本發(fā)明屬于接入網(wǎng)領(lǐng)域,尤其屬于蜂窩和非蜂窩接入網(wǎng)的服務(wù)級別集成領(lǐng)域。
背景技術(shù):
某些現(xiàn)代手持式電子設(shè)備(還被稱為“用戶實體”或“ue”)包括連接到諸如2g,2.5g,3g,和/或lte網(wǎng)絡(luò)的蜂窩網(wǎng)絡(luò)的必要組件,和連接到諸如無線局域網(wǎng)(例如ieee802.11a/b/g/n)或有線局域網(wǎng)(例如ieee802.3)的非蜂窩ip連接接入網(wǎng)(ipcan,ipconnectivityaccessnetwork)的必要組件。
迄今為止,缺少使運營商能夠為移動客戶,當(dāng)他們通過非蜂窩網(wǎng)絡(luò)進行通信時,提供寬帶服務(wù)(連接和增值服務(wù))的令人滿意的協(xié)議架構(gòu)。
例如,由第三代合作伙伴項目(3gpp,3rdgenerationpartnershipproject)規(guī)定的架構(gòu)要求安全連接(“瘦管道”)在ue與演進的分組數(shù)據(jù)網(wǎng)關(guān)(epdg,packetdatagateway)或分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(pdngateway,packetdatanetworkgateway)之間被建立,如果從移動網(wǎng)絡(luò)運營商(mno,mobilenetworkoperator)的角度,ipcan是不可信的。
技術(shù)實現(xiàn)要素:
本發(fā)明實施例的一個目標(biāo)是克服上述缺點。
根據(jù)本發(fā)明的一個方面,提供了一種用于通過接入點為多個用戶實體提供網(wǎng)絡(luò)接入的方法,所述接入點包括局域網(wǎng)接口和寬帶網(wǎng)絡(luò)接口,在網(wǎng)關(guān)設(shè)備處,該方法包括以下步驟:建立與所述接入點的第二安全通信鏈路;通過所述第二安全通信鏈路,接收來自所述多個用戶實體中的一個用戶實體的ip地址分配請求;基于和所述多個用戶實體中的所述一個用戶實體相關(guān)聯(lián)的移動用戶相關(guān)的數(shù)據(jù),接入aaa服務(wù)器來驗證所述多個用戶實體中的所述一個用戶實體的成功的認證是否已經(jīng)發(fā)生;和一旦成功驗證,完成對于所述多個用戶實體中的所述一個用戶實體的ip地址分配方案,及啟用在所述多個用戶實體中的所述一個用戶實體和pdn之間的數(shù)據(jù)的中繼;其中所述網(wǎng)關(guān)設(shè)備適用于聚合從不同接入點到所述pdn的第二安全通信鏈路的多個實例。
根據(jù)本發(fā)明的一個方面,提供了一種用于通過接入點為多個用戶實體提供網(wǎng)絡(luò)接入的方法,所述接入點包括局域網(wǎng)接口和寬帶網(wǎng)絡(luò)接口,在所述接入點處,該方法包括以下步驟:通過所述局域網(wǎng)接口,建立與所述多個用戶實體中的每一個用戶實體的各自的第一安全通信鏈路;通過所述寬帶網(wǎng)絡(luò)接口,建立與網(wǎng)關(guān)設(shè)備的第二安全通信鏈路;和在各個第一安全通信鏈路和所述第二安全通信鏈路之間雙向地中繼數(shù)據(jù);其中所述網(wǎng)關(guān)設(shè)備適用于聚合從不同接入點到pdn網(wǎng)關(guān)的第二安全通信鏈路的多個實例。
本發(fā)明提供了一種方式用于從蜂窩無線接入網(wǎng)“卸載(offload)”某些數(shù)據(jù)業(yè)務(wù)到非蜂窩ipcan,其,為了本公開的目的,也會被一般地稱為“局域網(wǎng)”。這為移動網(wǎng)絡(luò)運營商和使用能在蜂窩網(wǎng)絡(luò)和諸如wi-fi的非蜂窩ipcan上運行的用戶實體的終端用戶帶來好處。在宏蜂窩基礎(chǔ)設(shè)施中每比特的成本比為被卸載的業(yè)務(wù)的每比特成本顯著地高。不僅基礎(chǔ)設(shè)施投資成本的情況是這樣,運營費用也是如此,因為場所,電力和甚至用于wi-fi的固定回程的,將通常不由mno負擔(dān)。此外,它允許移動運營商對該被卸載的業(yè)務(wù)收費,創(chuàng)造新的收入機會。
在本發(fā)明的方法的一個實施例中,接入點是無線接入點,及局域網(wǎng)接口是無線局域網(wǎng)接口,該無線局域網(wǎng)接口的無線傳輸通過ieee802.11i加密協(xié)議的方式來被保護。
該實施例具有在用戶實體處和在網(wǎng)關(guān)(epdg/pgw)中比已知的端到端的ipsec模型要求更少的通用處理能力的好處。
在本發(fā)明的方法的一個實施例中,第二安全通信鏈路通過ipsec傳輸遂道的方式被保護。
該實施例具有以合理的成本和復(fù)雜性,在接入點和網(wǎng)關(guān)設(shè)備之間提供好的安全性,從而避免在接入點和運營商網(wǎng)絡(luò)(例如在一個住宅網(wǎng)關(guān))之間的設(shè)備進行監(jiān)聽的風(fēng)險,在用戶實體處比已知的端到端的ipsec模型要求更少的通用處理能力。
在一個實施例中,本發(fā)明的方法還包括在接入點處:通過所述局域網(wǎng)接口接收來自用戶設(shè)備的、對與連接到所述寬帶網(wǎng)絡(luò)接口的網(wǎng)絡(luò)的通信進行授權(quán)的請求;從歸屬位置寄存器獲取與所述用戶設(shè)備相關(guān)聯(lián)的移動用戶相關(guān)的數(shù)據(jù);基于所述移動用戶相關(guān)的所述數(shù)據(jù),認證所述用戶設(shè)備;和如果所述認證成功,授權(quán)與連接到所述寬帶網(wǎng)絡(luò)接口的所述網(wǎng)絡(luò)的通信。
在一個特定的實施例中,用戶設(shè)備的認證包括:通過所述局域網(wǎng)接口,發(fā)送至少一個認證質(zhì)詢到所述用戶設(shè)備,和通過所述局域網(wǎng)接口,接收來自所述用戶設(shè)備的對所述至少一個認證質(zhì)詢的響應(yīng),所述響應(yīng)通過被安全地存儲在所述用戶設(shè)備處的密鑰,從所述至少一個認證質(zhì)詢被加密地派生。
在更特定的一個實施例中,密鑰被存儲在sim卡中。
應(yīng)理解“sim卡”指如在gsm和umts規(guī)范中被標(biāo)準(zhǔn)化的用戶識別模塊。eap-sim/aka認證允許統(tǒng)一的訂購和用戶數(shù)據(jù)庫用于移動(3g-lte)接入以及wi-fi卸載。被融合的運營商用來識別和認證用戶實體,通常是“智能手機”,的eap-sim/aka認證的重用允許運營商保持wi-fi卸載會話的所有權(quán),以使運營商和終端用戶的互利。這明顯地對移動運營商(mno)具有顯著的好處。它允許mno從它的宏層無線接入網(wǎng)(ran)卸載顯著的業(yè)務(wù),釋放資源和延遲對擴容所要求的投資,及同時維持與終端用戶的完整的關(guān)系,提升品牌忠誠度。對終端用戶來說,主要的好處是到所有由mno支持的網(wǎng)絡(luò)的無縫接入。這將極大地增加終端用戶在那里利用可用的wi-fi資源的地點的數(shù)量。
在一個特定實施例中,用戶實體包括ieee802.1x客戶端(supplicant),及其中通信的授權(quán)包括將所述無線接入點的端口轉(zhuǎn)換到ieee802.1x授權(quán)狀態(tài)。
在本發(fā)明的方法的一個實施例中,網(wǎng)關(guān)設(shè)備包括aaa服務(wù)器,aaa代理和aaa嗅探器中的一個,來實例化和移除用戶實體會話。
在本發(fā)明的方法的一個實施例中,網(wǎng)關(guān)設(shè)備建立到ggsn或pdn網(wǎng)關(guān)的gtp遂道,來向所述用戶實體提供到移動運營商ip服務(wù)和/或計費機制的接入。在該情況下,用戶實體地址可以由ggsn或pdn網(wǎng)關(guān)授予。
在本發(fā)明的方法的另一個實施例中,網(wǎng)關(guān)設(shè)備包括將ue注冊到家庭代理的移動ip(mip,雙棧mipv6)外部代理。
根據(jù)本發(fā)明的一個方面,提供了一種計算機程序,被配置為用于使可編程的機器來實現(xiàn)上述在wap/cpe中或在網(wǎng)關(guān)設(shè)備中的方法。
根據(jù)本發(fā)明的一個方面,提供了一種接入點,用于上述方法中。
根據(jù)本發(fā)明的一個方面,提供了一種網(wǎng)關(guān)設(shè)備,用于上述方法中。
根據(jù)本發(fā)明的程序,接入點,和網(wǎng)關(guān)設(shè)備的好處加上必要的細節(jié)調(diào)整對應(yīng)于根據(jù)本發(fā)明的方法的好處。
附圖說明
根據(jù)本發(fā)明實施例的裝置和/或方法的一些實施例現(xiàn)在通過僅為實例并參考附圖的方式被描述,其中:
圖1示出本發(fā)明的方法的實施例可以被部署于其中的簡單的示例性的網(wǎng)絡(luò)拓撲;
圖2示出本發(fā)明的方法的實施例的,尤其是步驟在網(wǎng)關(guān)設(shè)備處被執(zhí)行的流程圖;
圖3示出本發(fā)明的方法的實施例的,尤其是步驟在接入點處被執(zhí)行的流程圖,;
圖4示出本發(fā)明的方法的實施例中某些步驟的流程圖;
圖5示意性地示出用于本發(fā)明的方法的實施例中的某些步驟的詳細的協(xié)議消息交換;以及
圖6示出本發(fā)明的方法的實施例可以被部署于其中的詳細的示例性的網(wǎng)絡(luò)拓撲。
在所有的圖中,相同的參考標(biāo)記被用于標(biāo)出相同的組件。
具體實施方式
在整個下面的描述中,以下概括有效。在特定的組件的任何特定數(shù)目的實例被示出和/或被描述之處,這僅為闡明的目的而作并不失一般性。在方法中的步驟以特定的次序被示出和/或被描述之處,這僅為闡明的目而作并不失一般性;這些步驟的次序可以被改變和/或被并行而不背離本發(fā)明的范圍,除非從說明書中清楚可知為了獲得相關(guān)聯(lián)的技術(shù)結(jié)果,步驟的特定的次序是必須的。在特定的標(biāo)準(zhǔn)被參考之處,應(yīng)理解其他的,功能等同的標(biāo)準(zhǔn)可以代替。與根據(jù)本發(fā)明的方法相關(guān)聯(lián)的特征和益處加以必要的細節(jié)調(diào)整適用于根據(jù)本發(fā)明的裝置,并且反之亦然。
圖1示出了一個極其簡化的示例性網(wǎng)絡(luò)拓撲結(jié)構(gòu),本發(fā)明的實施例可以被部署于其中。本發(fā)明的實施例的一個目的是通過接入點110為多個用戶實體100a-c提供網(wǎng)絡(luò)接入。用戶實體100a-c假定是能夠在蜂窩網(wǎng)絡(luò)(例如:2g,2.5g,3g,lte)和諸如無線局域網(wǎng)(例如:ieee802.11a/b/g/n)的局域網(wǎng)上進行通信的設(shè)備。
不失一般性,無線局域網(wǎng)在余下的描述中被假定為局域網(wǎng)。本領(lǐng)域技術(shù)人員應(yīng)理解,本發(fā)明以完全類似的方式適用于有線局域網(wǎng)。
當(dāng)用戶實體100a-c在無線局域網(wǎng)的范圍中時,例如由無線接入點110服務(wù)的那個用戶實體,既從經(jīng)濟的角度,以及作為傳導(dǎo)包括諸如基于互聯(lián)網(wǎng)的電視和/或視頻呼叫的大容量的數(shù)據(jù)通信的帶寬可用性的問題,通過無線局域網(wǎng)接口比通過蜂窩接口更好。將預(yù)期的通信從蜂窩無線接入網(wǎng)(ran,radioaccessnetwork)移動到無線局域網(wǎng)接入網(wǎng)中,為前者提供了一種“卸載”形式,因此,由本發(fā)明的實施例引入的部署模型將被稱為“wifi卸載”。
為了這個目的,無線接入點110允許在無線局域網(wǎng)接口上建立第一安全通信鏈路105。這些通信鏈路105是安全的,這是因為它們是被在各個用戶實體100a-c和該接入點110之間的一種加密的形式,優(yōu)選地如ieee802.11i框架(例如:wpa,wpa2)中被標(biāo)準(zhǔn)化的加密形式所涵蓋的。在有線接入點被使用之處,通過介質(zhì)(例如在雙絞線或點到點光纖上的ieee802.3以太網(wǎng))的物理的點到點性質(zhì),安全可以被提供。
和現(xiàn)有技術(shù)的架構(gòu),比如那些在3gpp框架中被提議的相比,根據(jù)本發(fā)明的無線接入點110建立與網(wǎng)關(guān)設(shè)備120的第二安全和/或被封裝通信鏈路115,網(wǎng)關(guān)設(shè)備120在下文中也被稱為演進的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(ebng,evolvedbroadbandnetworkgateway)。第二安全通信鏈路115是安全的,這是因為它是被加密的和/或被封裝的。該鏈路115可以被無線接入點110和ebng120之間的加密形式,優(yōu)選地如在ipsec框架中被標(biāo)準(zhǔn)化的加密形式所涵蓋。該鏈路115可以額外地或作為選擇地被封裝,這是因為從無線接入點110和ebng120分別將每一條上行鏈路和下行鏈路的ip分組封裝為攜帶gre,l2tp,mpls,vlan標(biāo)簽或其他封裝協(xié)議的新的ip分組。第二通信鏈路115被任何合適的網(wǎng)絡(luò)物理地承載,該合適的網(wǎng)絡(luò)可以由幾個有線(例如以太網(wǎng),xdsl,gpon)和/或無線(例如ieee802.16)網(wǎng)絡(luò)分段組成。諸如家庭網(wǎng)關(guān)112的額外的網(wǎng)絡(luò)設(shè)備可以在這部分網(wǎng)絡(luò)中出現(xiàn)。
第二安全通信鏈路115傳送多個用戶實體會話的業(yè)務(wù),因此能夠被稱為“胖管道”,與僅承載單個由ue發(fā)起的會話的所謂“瘦管道”相對。根據(jù)本發(fā)明的網(wǎng)絡(luò)和協(xié)議架構(gòu)將也可以被稱為“胖管道模型”。
ebng120聚合幾個上面提及的“胖管道”,其中一些在圖1中被說明為起源于不同的無線接入點實例(未編號),并且對于每一個ue會話,可選地建立到pdn網(wǎng)關(guān)130的gtpv2隧道。通過該pdn網(wǎng)關(guān)130,用戶實體100a-c根據(jù)它們的訂購條款,能夠具有所期望的,被或通過被云140所表示并在圖5中更具體的示出的蜂窩網(wǎng)絡(luò)所提供的,到ip服務(wù)的接入。
在pdn網(wǎng)關(guān)130處,終止一個來自接入點110的ipsec隧道有幾個好處。首先,它減去了終止來自用戶實體100a-c與提供商相關(guān)聯(lián)的ipsec會話的負擔(dān),其能夠相應(yīng)地為其他任務(wù)釋放資源,包括例如運行和諸如企業(yè)網(wǎng)絡(luò)網(wǎng)關(guān)的通信方的端到端的ipsec會話。其次,由于接入點110一般能夠在無線鏈路上提供安全,該設(shè)備110適合于提供背對背的加密,從而避免用戶實體100a-c和ebng120之間端到端通信中的任何未加密鏈路的存在。當(dāng)在端點之間存在額外的設(shè)備,例如家庭網(wǎng)關(guān)112,并一般地可被未授權(quán)的人接入時,這尤其相關(guān)。在那種情況下,接入點110和家庭網(wǎng)關(guān)112之間的分段可能在現(xiàn)有的3gpp架構(gòu)中沒有被保護,用于卸載到可信的ipcan??尚诺膇pcan事實上被定義為rgw112和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng,broadbandnetworkgateway)118之間的分段,位于rgw112和ebng120之間的路徑上。
考慮到根據(jù)本發(fā)明的網(wǎng)絡(luò)和協(xié)議架構(gòu),這是一個優(yōu)點,即在網(wǎng)關(guān)設(shè)備120處實現(xiàn)“合法監(jiān)聽”功能變得容易,因為它能夠重用所有已有的固定的或移動的“合法監(jiān)聽”基礎(chǔ)設(shè)施(li網(wǎng)關(guān))。同樣地,由于在網(wǎng)關(guān)設(shè)備120處的用戶會話感知,aaa,在線計費,線下計費,策略控制和實施功能,網(wǎng)絡(luò)地址轉(zhuǎn)換和其他功能可以在網(wǎng)關(guān)設(shè)備120處被實現(xiàn)。
圖2示出本發(fā)明的方法的實施例的流程圖;尤其,它示出圖1架構(gòu)中的網(wǎng)關(guān)設(shè)備120的核心活動。在一個步驟210中,網(wǎng)關(guān)設(shè)備120建立與無線接入點110的安全通信鏈路。以下面將被更具體地描述,但包括基于與該用戶實體100相關(guān)聯(lián)的移動訂購相關(guān)的數(shù)據(jù)的用戶實體100的認證,的方式在用戶實體100和無線接入點110之間建立層2通信。aaa服務(wù)器150被包括在認證過程中。在一個步驟220中,網(wǎng)關(guān)設(shè)備120接收來自在考慮中的用戶實體100的ip地址分配請求,典型地是dhcp請求。在一個步驟230中,網(wǎng)關(guān)設(shè)備120聯(lián)系aaa服務(wù)器150來驗證是否前面提及的認證已經(jīng)成功地發(fā)生。如果確實是這樣的,235,網(wǎng)關(guān)設(shè)備120允許ip地址分配進行,并在步驟240中,在pdn網(wǎng)關(guān)130中在用戶實體100和提供商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間建立通信。因此,用戶實體100僅需要被認證一次,雖然層2和層3的連接都是依所述認證結(jié)果的情況而定的。認證本身是基于由所述用戶實體100的用戶所持有的訂購。
圖3示出本發(fā)明的方法的實施例的流程圖;尤其,它示出圖1架構(gòu)中無線接入點110的核心活動。在一個步驟310中,無線接入點110通過無線網(wǎng)絡(luò)接口,建立與用戶實體100的第一安全通信鏈路105。在一個步驟320中,無線接入點110建立與網(wǎng)關(guān)設(shè)備120的第二安全和/或被封裝的通信鏈路115。在一個步驟330中,無線接入點110在第一安全通信鏈路105和第二通信鏈路115之間雙向中繼數(shù)據(jù),也即,它允許在用戶實體100和網(wǎng)關(guān)設(shè)備120之間的通信。
根據(jù)本發(fā)明的方法的實施例中,用戶實體110和網(wǎng)關(guān)設(shè)備120之間的通信的建立是依用戶實體110的成功認證的情況而定的,并且被用戶實體110根據(jù)其操作的訂購條款所限制。圖4表示本發(fā)明的方法的實施例中某些步驟的流程圖。
在一個步驟410中,無線接入點110接收來自用戶實體100的請求,來授權(quán)通信。優(yōu)選地,用戶實體100為該目的實現(xiàn)ieee802.1x客戶端(supplicant)功能,并且該請求被作為ieee802.1x授權(quán)請求來處理。在圖4的意義上說,用戶實體的請求不需要由該用戶實體自己主動地發(fā)送:它可以實際上是對來自無線接入點110的“eap請求”消息做出響應(yīng)而被發(fā)送的“eap響應(yīng)”消息。
在一個步驟420中,無線接入點110獲得與用戶實體100相關(guān)聯(lián)的,來自后者的歸屬位置寄存器(hlr)160的,移動訂購數(shù)據(jù)。該信息典型地不是被直接地獲得,而是經(jīng)由認證,授權(quán),和計費(aaa,authentication,authorization,andaccounting)服務(wù)器,通過優(yōu)選地使用radius協(xié)議交換,來被間接地獲得,該aaa服務(wù)器是網(wǎng)關(guān)設(shè)備120可接入的。從而,在步驟430中,基于來自hlr160的用戶信息,在無線接入點110處完成認證成為可能。該方法具有在網(wǎng)關(guān)設(shè)備120處創(chuàng)造用戶實體的用戶細節(jié)的感知的優(yōu)點,使能夠部署特定于訂購的服務(wù)和/或基于訂購的計費。進一步的優(yōu)點是,通過在質(zhì)詢-響應(yīng)認證交換中使用用戶實體的sim卡,認證步驟能夠是高度安全的。整個認證序列可以有利地被實現(xiàn)為eap-sim或eap-aka交換。
一旦層2通信被建立,根據(jù)成功的認證435,層3通信必須被建立440-460。在此階段,無線接入點110已經(jīng)被建立來允許在用戶實體100和網(wǎng)關(guān)設(shè)備120之間的層2通信,從而隨后的協(xié)議交換在這些實體之間發(fā)生。層3階段由用于ip地址分配的請求開始,該請求在一個步驟440中由網(wǎng)關(guān)設(shè)備120接收。響應(yīng)于該請求,網(wǎng)關(guān)設(shè)備120在一個步驟450中,從aaa服務(wù)器150查詢用戶實體100的認證狀態(tài)。如果該狀態(tài)查詢指示認證是成功的455,在一個步驟460中,ip地址分配請求被接受,并且ip地址被分配。ip地址分配交換優(yōu)選地根據(jù)dhcp協(xié)議發(fā)生,由ue發(fā)起。
圖5示意性地示出了根據(jù)本發(fā)明的方法的實施例的詳細的協(xié)議消息交換,相應(yīng)于如上文所述的圖4的步驟410-460。
圖6示出本發(fā)明的方法的實施例可以被部署于其中的詳細的示例性網(wǎng)絡(luò)拓撲。
圖6尤其說明了網(wǎng)關(guān)設(shè)備120的接口。除了它的具體功能,作為演進的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(ebng,evolvedbroadbandnetworkgateway)跨非蜂窩ipcan實例化ue會話之外,網(wǎng)關(guān)設(shè)備120可以完成傳統(tǒng)的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng實例化由cpe或rgw發(fā)起的會話)的功能和/或演進的分組數(shù)據(jù)網(wǎng)關(guān)(epdg,evolvedpacketdatagateway,終止ue發(fā)起的ipsecsa)的那些功能,并且它具有為此目的的必要的結(jié)構(gòu)組件。根據(jù)本發(fā)明的網(wǎng)關(guān)設(shè)備120包括典型地通過固定寬帶接入網(wǎng),使用表示如上文指示的“胖管道”的安全和/或被封裝鏈路,來與無線接入點110交互的接口;可選的、來和pdn網(wǎng)關(guān),ggsn或ha130交互的接口;以及來和aaa服務(wù)器150交互的接口,它可以從其獲得訂購相關(guān)信息。技術(shù)人員應(yīng)理解,這些接口不必物理地不同,但是必要的硬件和軟件必須存在,來恰當(dāng)?shù)貐^(qū)分在網(wǎng)絡(luò)層及其上面的層處,至或來自各自通信方的通信。
為了進一步闡明本發(fā)明和它的優(yōu)點,一種示例性的實現(xiàn)現(xiàn)在將被更詳細的描述。技術(shù)人員將理解,單獨的實現(xiàn)選項可以從說明書中被采納,并和本發(fā)明的上面提及的一般概念結(jié)合,而不超出當(dāng)前公開的范圍。
當(dāng)智能手機100進入一個具有封閉式ssid的熱點,它將使用它的sim/usim證書認證它自己,避免用戶建立任何專用的wi-fi賬號的需要。
sim/usim證書通過eap-sim/aka方法被中繼,并根據(jù)在hlr160中的用戶信息來驗證。照此,相同的移動證書(sim/usim)用于在2g,2.5g,3g或lte網(wǎng)絡(luò)中的認證和授權(quán)。
用戶實體100,無線接入點110,和hlr160由ebng120和aaa服務(wù)器150輔助。
-用戶實體100:用于wi-fi卸載的所有認證機制當(dāng)前被商業(yè)智能手機,3g/wi-fi適配器(dongles)和具有3g/wi-fi功能的筆記本電腦所支持。
-無線接入點110:為了接收wi-fiieee802.11n證書,無線接入點需要支持eap-sim和/或eap-aka認證。無線接入點還需要支持到ebng120的傳輸隧道,來在其中路由所有被卸載的業(yè)務(wù)。該遂道優(yōu)選地被實現(xiàn)為ipsec或gre遂道。
-ebng120:ebng需要為無線接入點之后的終端用戶處理dhcp會話創(chuàng)建。dhcp請求信息能夠利用radius客戶端來被交給aaa服務(wù)器150,該aaa服務(wù)器150將該請求關(guān)聯(lián)到、對于相同的uemac地址的、以前的eap-sim/aka認證。如果ebng120在eap-sim/aka認證階段支持radius代理(proxyagent)或嗅探器,ebng120能夠為那個uemac查找以前成功的eap-sim/aka認證上下文,并基于在認證階段被發(fā)現(xiàn)的ue標(biāo)識符(imsi,misdn,…)建立北向通信(aaa,計費,pcc,li,…)。ebng120能夠代表移動網(wǎng)絡(luò)運營商實施線下/在線計費,例如通過出售一天的通行證,其中一部分將被付給移動網(wǎng)絡(luò)運營商。
-aaa:aaa服務(wù)器150通過它的到hlr160的基于映射的后端接口(gr),來支持終端eap-sim或eap-aka認證和授權(quán):它執(zhí)行radiuseap-到-映射網(wǎng)關(guān)功能。當(dāng),為了會話的建立,第二radius請求從ebngradius客戶端到達時,aaa服務(wù)器150將用戶實體的標(biāo)識(ue-mac地址)進行關(guān)聯(lián)。如果該ue之前被授權(quán)過,網(wǎng)絡(luò)接入將被接受,并且該會話將被建立。aaa服務(wù)器150能夠返回計費注冊簡檔標(biāo)識(charging-profile-id)和msisdn給ebng20,來允許與計費及其他北向服務(wù)平臺的便捷集成。
端到端的安全在逐跳的基礎(chǔ)上被實現(xiàn)。用戶實體100和無線接入點110之間的空中接口用ieee802.11i來被保護。ieee802.11i密鑰(優(yōu)選地使用wpa2)能夠從eap-sim/aka加密密鑰派生。
無線接入點110和ebng120之間的接口用ipsec來被保護。從ebng120開始,存在多個與被提供服務(wù)的功能有關(guān)的選項。根據(jù)“胖管道”模型,如上文所述的,無線接入點110和ebng120之間的單個ipsec遂道承載多個終端用戶的會話。
胖管道模型為了避免欺騙,要求用戶實體100支持802.11i或等同的加密。在另一方面,胖管道模型不要求用戶實體100上的ipsec加密,從而避免在無線lan空中接口上的ipsec開銷,分組碎片和ike?;罘纸M。它也和企業(yè)vpn接入兼容,因為它允許端到端加密(可選的“瘦管道模型”會要求由用戶實體100進行雙重的ipsec加密)。
對ebng120來說,胖管道模型比瘦管道模型(epdg或pdn網(wǎng)關(guān))提供更好的可擴展性,因為每一個遂道在無線接入點100上包含所有ue會話活動。
ebng120能夠額外地傳遞一組與基礎(chǔ)服務(wù)類似的被管服務(wù)提供給移動用戶。這通過基于用戶簡檔(profile)的增強的用戶管理上下文中實例化會話來完成。增強的用戶管理(esm,enhancedsubscribermanagement)是一組允許自動的用戶開通和按用戶的qos和安全實施的aaa,安全和qos特征。該esm特征組的關(guān)鍵方面是它提供獨立于接入類型(ipcan)的用戶感知模型,因此它也能夠被應(yīng)用于wi-fi接入。
業(yè)務(wù)在它被封裝進入到無線接入點的ipsecesp遂道中(或進入非加密遂道中)之前,由esm引擎處理。該esm引擎在最后的radius接入接受消息中,從aaa服務(wù)器150接收用戶簡檔。該用戶簡檔能夠包含分幀ip地址(framedipaddress),分幀ip池(framedippool),虛擬專用路由網(wǎng)絡(luò)(vprn,virtualprivateroutingnetwork)標(biāo)識,qos簡檔(qosprofile),計費簡檔(chargingprofile),dpi規(guī)則庫,nat和安全簡檔(securityprofile)。
-qos:用戶上下文允許ebng120來根據(jù)個性化的qos簡檔對所有的用戶業(yè)務(wù)分類。服務(wù)專用硬件隊列和硬件策略器(hwpolicers)能夠按分類和(分層的)調(diào)度器一起,被分配給每個被實例化的用戶。調(diào)度器和專用隊列允許wifi服務(wù)從盡力而為的演進到qos使能的ip服務(wù),并支持實時的語音和視頻應(yīng)用。
-安全:到ebng120的安全接入由ebng120中的一組安全特征補充。其包括基于用戶簡檔的接入控制列表和反欺騙保護。反欺騙過濾器被用于防止終端用戶通過欺騙的ip和mac地址,來攻擊其他用戶或嘗試冒充其他用戶。
-vprn:ebng120中的vprn實例化能夠被用于在批發(fā)的上下文中的服務(wù)虛擬化,或能夠被用于提供安全商業(yè)vpn接入。vprn標(biāo)識因此將指向零售商vpn或指向商業(yè)客戶vpn。
-nat:為了保留ipv4地址空間,網(wǎng)絡(luò)地址和端口轉(zhuǎn)換(napt,networkaddressandporttranslation)能夠在ebng120上被配置。每一個新的用戶napt上下文被動態(tài)地實例化。
-本地內(nèi)容插入:當(dāng)ebng120已經(jīng)和固定cdn(contentdistributionnetwork,內(nèi)容分發(fā)網(wǎng)絡(luò))網(wǎng)絡(luò)的本地內(nèi)容插入點集成時,wi-fi卸載業(yè)務(wù)也能夠利用該緩存的內(nèi)容。這將減少業(yè)務(wù)穿越的跳數(shù)和它產(chǎn)生的開銷,并增加對終端用戶的內(nèi)容可用性和響應(yīng)性。
計費集成能夠通過從ebng120到移動計費支持系統(tǒng)(bss,billingsupportsystem)提供wi-fi卸載計費記錄來實現(xiàn)。特別是當(dāng)ebng120是由移動運營商擁有時,對于線下以及在線計費,該計費集成都能夠允許wi-fi卸載服務(wù)引入的最早的介入。它將兩個網(wǎng)絡(luò)的集成減少至僅aaa和計費接口的集成。wi-fi被卸載的業(yè)務(wù)的數(shù)據(jù)平面不需要通過移動網(wǎng)絡(luò),并能夠被直接卸載到互聯(lián)網(wǎng)。
相同的基礎(chǔ)設(shè)施也能夠被開放來支持開放的接入(沒有ieee802.1x)和門戶認證。在那種場景中,ebng120允許未認證的設(shè)備開始dhcp會話,但將重定向任何http業(yè)務(wù)到登陸頁面。任何非http業(yè)務(wù)被丟棄。這是通過ebng120從aaa服務(wù)器150獲得的重定向策略來實現(xiàn)的。
當(dāng)用戶已經(jīng)完成門戶注冊并已被認證,該用戶簡檔在ebng120中被更新來給予該用戶完全的數(shù)據(jù)接入。這是通過來自aaa服務(wù)器150的radiuscoa更新完成的。
ebng120到移動分組核心網(wǎng)的進一步的集成是通過被卸載的業(yè)務(wù)的gtp封裝來實現(xiàn)的,因為它在基于gtp的,類似s2b的接口上被交付給pgw或ggsn。ebng120中的gtp封裝允許運營商對3g-lte和wi-fi被卸載的業(yè)務(wù)都具有相同的錨點。它允許終端用戶在蜂窩和非蜂窩ipcan之間漫游同時保持它的ip地址,并且它允許到移動數(shù)據(jù)服務(wù)基礎(chǔ)設(shè)施的本地接入。它允許移動運營商在pgw-ggsn上重用它的整個服務(wù)基礎(chǔ)設(shè)施,不僅在計費方面,而且用于移動內(nèi)容,互聯(lián)網(wǎng)接入,深度分組檢測,視頻優(yōu)化,頭增強等。
認證和授權(quán)與獨立的、具有上述可選的嵌入式radius代理的ebng120完全一致。然而,ebng120現(xiàn)在通過創(chuàng)建到pgw-ggsn的eps會話或pdp上下文來對dhcp發(fā)現(xiàn)消息進行響應(yīng)。然后ueip地址被pgw從它的本地池或預(yù)先存在的eps會話或pdp上下文來選擇。
在數(shù)據(jù)平臺中,ebng120可選地完成如lac的功能:在上行流中,它gtp封裝所有來自ipsec胖管道中的會話的業(yè)務(wù),并轉(zhuǎn)發(fā)該業(yè)務(wù)到pgw-ggsn;在下行流中,它終止從pgw-ggsn接收的gtp封裝的業(yè)務(wù),并轉(zhuǎn)發(fā)該業(yè)務(wù)到通到正確的無線接入點的正確的ipsec遂道。
為了在蜂窩ipcan會話和非蜂窩ipcan會話之間維持該ue的ip地址,ebng120在pgw-ggsn處,創(chuàng)建帶有切換指示的eps會話。該切換指示將迫使pgw-ggsn去驗證對該用戶實體是否現(xiàn)有的eps會話或pdp上下文正在進行,及查詢該會話的上下文。結(jié)果是,pgw-ggsn會分配現(xiàn)有的ip地址給非蜂窩會話,及會發(fā)送會話斷開給sgw/mme或gn/gpsgsn。
需要在接入點110的主要的私有使用和供公共使用的可用的額外的帶寬的使用之間進行區(qū)分。
這可以通過在接入點上提供兩個ssid來實現(xiàn)。在私有ssid上的業(yè)務(wù)如固定接入一樣來被聚集并被照此計費。對于在公有ssid上的業(yè)務(wù),專用的連接需要被建立(可能基于專用的vlan或遂道),從而該業(yè)務(wù)能夠被獨立地對待及獨立地計費。
在圖中顯示的各種元素的功能,包括被標(biāo)記為“處理器”的任何功能模塊,可以通過專用硬件的使用,及能夠執(zhí)行軟件的硬件聯(lián)合適當(dāng)?shù)能浖氖褂脕肀惶峁.?dāng)由處理器提供時,功能可以由單個的專用處理器,由單個的共享處理器,或由其中的一些可以被共享的多個單獨的處理器來提供。此外,術(shù)語“處理器”或“控制器”的明確的使用不應(yīng)該被解釋為排他地指能夠執(zhí)行軟件的硬件,并可以隱含地包括,不限于,數(shù)字信號處理器(dsp)硬件,網(wǎng)絡(luò)處理器,專用集成電路(asic),現(xiàn)場可編程門陣列(fpga),用于存儲軟件的只讀存儲器(rom),隨機訪問存儲器(ram),和非易失性存儲器。其他常規(guī)的和/或定制的硬件也可以被包括進來。類似地,在圖中示出的任何開關(guān)僅僅是概念性的。它們的功能可以通過程序邏輯的運行,通過專用邏輯,通過程序控制和專用邏輯的交互,或甚至手動地來完成,從上下文可更明確地被理解能被實現(xiàn)者選擇的特定技術(shù)。