本發(fā)明屬于接入網(wǎng)領(lǐng)域，尤其屬于蜂窩和非蜂窩接入網(wǎng)的服務(wù)級(jí)別集成領(lǐng)域。

背景技術(shù)：

某些現(xiàn)代手持式電子設(shè)備(還被稱為“用戶實(shí)體”或“ue”)包括連接到諸如2g，2.5g，3g，和/或lte網(wǎng)絡(luò)的蜂窩網(wǎng)絡(luò)的必要組件，和連接到諸如無線局域網(wǎng)(例如ieee802.11a/b/g/n)或有線局域網(wǎng)(例如ieee802.3)的非蜂窩ip連接接入網(wǎng)(ipcan，ipconnectivityaccessnetwork)的必要組件。

迄今為止，缺少使運(yùn)營商能夠?yàn)橐苿?dòng)客戶，當(dāng)他們通過非蜂窩網(wǎng)絡(luò)進(jìn)行通信時(shí)，提供寬帶服務(wù)(連接和增值服務(wù))的令人滿意的協(xié)議架構(gòu)。

例如，由第三代合作伙伴項(xiàng)目(3gpp，3^rdgenerationpartnershipproject)規(guī)定的架構(gòu)要求安全連接(“瘦管道”)在ue與演進(jìn)的分組數(shù)據(jù)網(wǎng)關(guān)(epdg，packetdatagateway)或分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(pdngateway，packetdatanetworkgateway)之間被建立，如果從移動(dòng)網(wǎng)絡(luò)運(yùn)營商(mno，mobilenetworkoperator)的角度，ipcan是不可信的。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例的一個(gè)目標(biāo)是克服上述缺點(diǎn)。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種用于通過接入點(diǎn)為多個(gè)用戶實(shí)體提供網(wǎng)絡(luò)接入的方法，所述接入點(diǎn)包括局域網(wǎng)接口和寬帶網(wǎng)絡(luò)接口，在網(wǎng)關(guān)設(shè)備處，該方法包括以下步驟：建立與所述接入點(diǎn)的第二安全通信鏈路；通過所述第二安全通信鏈路，接收來自所述多個(gè)用戶實(shí)體中的一個(gè)用戶實(shí)體的ip地址分配請(qǐng)求；基于和所述多個(gè)用戶實(shí)體中的所述一個(gè)用戶實(shí)體相關(guān)聯(lián)的移動(dòng)用戶相關(guān)的數(shù)據(jù)，接入aaa服務(wù)器來驗(yàn)證所述多個(gè)用戶實(shí)體中的所述一個(gè)用戶實(shí)體的成功的認(rèn)證是否已經(jīng)發(fā)生；和一旦成功驗(yàn)證，完成對(duì)于所述多個(gè)用戶實(shí)體中的所述一個(gè)用戶實(shí)體的ip地址分配方案，及啟用在所述多個(gè)用戶實(shí)體中的所述一個(gè)用戶實(shí)體和pdn之間的數(shù)據(jù)的中繼；其中所述網(wǎng)關(guān)設(shè)備適用于聚合從不同接入點(diǎn)到所述pdn的第二安全通信鏈路的多個(gè)實(shí)例。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種用于通過接入點(diǎn)為多個(gè)用戶實(shí)體提供網(wǎng)絡(luò)接入的方法，所述接入點(diǎn)包括局域網(wǎng)接口和寬帶網(wǎng)絡(luò)接口，在所述接入點(diǎn)處，該方法包括以下步驟：通過所述局域網(wǎng)接口，建立與所述多個(gè)用戶實(shí)體中的每一個(gè)用戶實(shí)體的各自的第一安全通信鏈路；通過所述寬帶網(wǎng)絡(luò)接口，建立與網(wǎng)關(guān)設(shè)備的第二安全通信鏈路；和在各個(gè)第一安全通信鏈路和所述第二安全通信鏈路之間雙向地中繼數(shù)據(jù)；其中所述網(wǎng)關(guān)設(shè)備適用于聚合從不同接入點(diǎn)到pdn網(wǎng)關(guān)的第二安全通信鏈路的多個(gè)實(shí)例。

本發(fā)明提供了一種方式用于從蜂窩無線接入網(wǎng)“卸載(offload)”某些數(shù)據(jù)業(yè)務(wù)到非蜂窩ipcan，其，為了本公開的目的，也會(huì)被一般地稱為“局域網(wǎng)”。這為移動(dòng)網(wǎng)絡(luò)運(yùn)營商和使用能在蜂窩網(wǎng)絡(luò)和諸如wi-fi的非蜂窩ipcan上運(yùn)行的用戶實(shí)體的終端用戶帶來好處。在宏蜂窩基礎(chǔ)設(shè)施中每比特的成本比為被卸載的業(yè)務(wù)的每比特成本顯著地高。不僅基礎(chǔ)設(shè)施投資成本的情況是這樣，運(yùn)營費(fèi)用也是如此，因?yàn)閳?chǎng)所，電力和甚至用于wi-fi的固定回程的，將通常不由mno負(fù)擔(dān)。此外，它允許移動(dòng)運(yùn)營商對(duì)該被卸載的業(yè)務(wù)收費(fèi)，創(chuàng)造新的收入機(jī)會(huì)。

在本發(fā)明的方法的一個(gè)實(shí)施例中，接入點(diǎn)是無線接入點(diǎn)，及局域網(wǎng)接口是無線局域網(wǎng)接口，該無線局域網(wǎng)接口的無線傳輸通過ieee802.11i加密協(xié)議的方式來被保護(hù)。

該實(shí)施例具有在用戶實(shí)體處和在網(wǎng)關(guān)(epdg/pgw)中比已知的端到端的ipsec模型要求更少的通用處理能力的好處。

在本發(fā)明的方法的一個(gè)實(shí)施例中，第二安全通信鏈路通過ipsec傳輸遂道的方式被保護(hù)。

該實(shí)施例具有以合理的成本和復(fù)雜性，在接入點(diǎn)和網(wǎng)關(guān)設(shè)備之間提供好的安全性，從而避免在接入點(diǎn)和運(yùn)營商網(wǎng)絡(luò)(例如在一個(gè)住宅網(wǎng)關(guān))之間的設(shè)備進(jìn)行監(jiān)聽的風(fēng)險(xiǎn)，在用戶實(shí)體處比已知的端到端的ipsec模型要求更少的通用處理能力。

在一個(gè)實(shí)施例中，本發(fā)明的方法還包括在接入點(diǎn)處：通過所述局域網(wǎng)接口接收來自用戶設(shè)備的、對(duì)與連接到所述寬帶網(wǎng)絡(luò)接口的網(wǎng)絡(luò)的通信進(jìn)行授權(quán)的請(qǐng)求；從歸屬位置寄存器獲取與所述用戶設(shè)備相關(guān)聯(lián)的移動(dòng)用戶相關(guān)的數(shù)據(jù)；基于所述移動(dòng)用戶相關(guān)的所述數(shù)據(jù)，認(rèn)證所述用戶設(shè)備；和如果所述認(rèn)證成功，授權(quán)與連接到所述寬帶網(wǎng)絡(luò)接口的所述網(wǎng)絡(luò)的通信。

在一個(gè)特定的實(shí)施例中，用戶設(shè)備的認(rèn)證包括：通過所述局域網(wǎng)接口，發(fā)送至少一個(gè)認(rèn)證質(zhì)詢到所述用戶設(shè)備，和通過所述局域網(wǎng)接口，接收來自所述用戶設(shè)備的對(duì)所述至少一個(gè)認(rèn)證質(zhì)詢的響應(yīng)，所述響應(yīng)通過被安全地存儲(chǔ)在所述用戶設(shè)備處的密鑰，從所述至少一個(gè)認(rèn)證質(zhì)詢被加密地派生。

在更特定的一個(gè)實(shí)施例中，密鑰被存儲(chǔ)在sim卡中。

應(yīng)理解“sim卡”指如在gsm和umts規(guī)范中被標(biāo)準(zhǔn)化的用戶識(shí)別模塊。eap-sim/aka認(rèn)證允許統(tǒng)一的訂購和用戶數(shù)據(jù)庫用于移動(dòng)(3g-lte)接入以及wi-fi卸載。被融合的運(yùn)營商用來識(shí)別和認(rèn)證用戶實(shí)體，通常是“智能手機(jī)”，的eap-sim/aka認(rèn)證的重用允許運(yùn)營商保持wi-fi卸載會(huì)話的所有權(quán)，以使運(yùn)營商和終端用戶的互利。這明顯地對(duì)移動(dòng)運(yùn)營商(mno)具有顯著的好處。它允許mno從它的宏層無線接入網(wǎng)(ran)卸載顯著的業(yè)務(wù)，釋放資源和延遲對(duì)擴(kuò)容所要求的投資，及同時(shí)維持與終端用戶的完整的關(guān)系，提升品牌忠誠度。對(duì)終端用戶來說，主要的好處是到所有由mno支持的網(wǎng)絡(luò)的無縫接入。這將極大地增加終端用戶在那里利用可用的wi-fi資源的地點(diǎn)的數(shù)量。

在一個(gè)特定實(shí)施例中，用戶實(shí)體包括ieee802.1x客戶端(supplicant)，及其中通信的授權(quán)包括將所述無線接入點(diǎn)的端口轉(zhuǎn)換到ieee802.1x授權(quán)狀態(tài)。

在本發(fā)明的方法的一個(gè)實(shí)施例中，網(wǎng)關(guān)設(shè)備包括aaa服務(wù)器，aaa代理和aaa嗅探器中的一個(gè)，來實(shí)例化和移除用戶實(shí)體會(huì)話。

在本發(fā)明的方法的一個(gè)實(shí)施例中，網(wǎng)關(guān)設(shè)備建立到ggsn或pdn網(wǎng)關(guān)的gtp遂道，來向所述用戶實(shí)體提供到移動(dòng)運(yùn)營商ip服務(wù)和/或計(jì)費(fèi)機(jī)制的接入。在該情況下，用戶實(shí)體地址可以由ggsn或pdn網(wǎng)關(guān)授予。

在本發(fā)明的方法的另一個(gè)實(shí)施例中，網(wǎng)關(guān)設(shè)備包括將ue注冊(cè)到家庭代理的移動(dòng)ip(mip，雙棧mipv6)外部代理。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種計(jì)算機(jī)程序，被配置為用于使可編程的機(jī)器來實(shí)現(xiàn)上述在wap/cpe中或在網(wǎng)關(guān)設(shè)備中的方法。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種接入點(diǎn)，用于上述方法中。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種網(wǎng)關(guān)設(shè)備，用于上述方法中。

根據(jù)本發(fā)明的程序，接入點(diǎn)，和網(wǎng)關(guān)設(shè)備的好處加上必要的細(xì)節(jié)調(diào)整對(duì)應(yīng)于根據(jù)本發(fā)明的方法的好處。

附圖說明

根據(jù)本發(fā)明實(shí)施例的裝置和/或方法的一些實(shí)施例現(xiàn)在通過僅為實(shí)例并參考附圖的方式被描述，其中：

圖1示出本發(fā)明的方法的實(shí)施例可以被部署于其中的簡(jiǎn)單的示例性的網(wǎng)絡(luò)拓?fù)洌?/p>

圖2示出本發(fā)明的方法的實(shí)施例的，尤其是步驟在網(wǎng)關(guān)設(shè)備處被執(zhí)行的流程圖；

圖3示出本發(fā)明的方法的實(shí)施例的，尤其是步驟在接入點(diǎn)處被執(zhí)行的流程圖，；

圖4示出本發(fā)明的方法的實(shí)施例中某些步驟的流程圖；

圖5示意性地示出用于本發(fā)明的方法的實(shí)施例中的某些步驟的詳細(xì)的協(xié)議消息交換；以及

圖6示出本發(fā)明的方法的實(shí)施例可以被部署于其中的詳細(xì)的示例性的網(wǎng)絡(luò)拓?fù)洹?/p>

在所有的圖中，相同的參考標(biāo)記被用于標(biāo)出相同的組件。

具體實(shí)施方式

在整個(gè)下面的描述中，以下概括有效。在特定的組件的任何特定數(shù)目的實(shí)例被示出和/或被描述之處，這僅為闡明的目的而作并不失一般性。在方法中的步驟以特定的次序被示出和/或被描述之處，這僅為闡明的目而作并不失一般性；這些步驟的次序可以被改變和/或被并行而不背離本發(fā)明的范圍，除非從說明書中清楚可知為了獲得相關(guān)聯(lián)的技術(shù)結(jié)果，步驟的特定的次序是必須的。在特定的標(biāo)準(zhǔn)被參考之處，應(yīng)理解其他的，功能等同的標(biāo)準(zhǔn)可以代替。與根據(jù)本發(fā)明的方法相關(guān)聯(lián)的特征和益處加以必要的細(xì)節(jié)調(diào)整適用于根據(jù)本發(fā)明的裝置，并且反之亦然。

圖1示出了一個(gè)極其簡(jiǎn)化的示例性網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，本發(fā)明的實(shí)施例可以被部署于其中。本發(fā)明的實(shí)施例的一個(gè)目的是通過接入點(diǎn)110為多個(gè)用戶實(shí)體100a-c提供網(wǎng)絡(luò)接入。用戶實(shí)體100a-c假定是能夠在蜂窩網(wǎng)絡(luò)(例如：2g，2.5g，3g，lte)和諸如無線局域網(wǎng)(例如：ieee802.11a/b/g/n)的局域網(wǎng)上進(jìn)行通信的設(shè)備。

不失一般性，無線局域網(wǎng)在余下的描述中被假定為局域網(wǎng)。本領(lǐng)域技術(shù)人員應(yīng)理解，本發(fā)明以完全類似的方式適用于有線局域網(wǎng)。

當(dāng)用戶實(shí)體100a-c在無線局域網(wǎng)的范圍中時(shí)，例如由無線接入點(diǎn)110服務(wù)的那個(gè)用戶實(shí)體，既從經(jīng)濟(jì)的角度，以及作為傳導(dǎo)包括諸如基于互聯(lián)網(wǎng)的電視和/或視頻呼叫的大容量的數(shù)據(jù)通信的帶寬可用性的問題，通過無線局域網(wǎng)接口比通過蜂窩接口更好。將預(yù)期的通信從蜂窩無線接入網(wǎng)(ran，radioaccessnetwork)移動(dòng)到無線局域網(wǎng)接入網(wǎng)中，為前者提供了一種“卸載”形式，因此，由本發(fā)明的實(shí)施例引入的部署模型將被稱為“wifi卸載”。

為了這個(gè)目的，無線接入點(diǎn)110允許在無線局域網(wǎng)接口上建立第一安全通信鏈路105。這些通信鏈路105是安全的，這是因?yàn)樗鼈兪潜辉诟鱾€(gè)用戶實(shí)體100a-c和該接入點(diǎn)110之間的一種加密的形式，優(yōu)選地如ieee802.11i框架(例如：wpa，wpa2)中被標(biāo)準(zhǔn)化的加密形式所涵蓋的。在有線接入點(diǎn)被使用之處，通過介質(zhì)(例如在雙絞線或點(diǎn)到點(diǎn)光纖上的ieee802.3以太網(wǎng))的物理的點(diǎn)到點(diǎn)性質(zhì)，安全可以被提供。

和現(xiàn)有技術(shù)的架構(gòu)，比如那些在3gpp框架中被提議的相比，根據(jù)本發(fā)明的無線接入點(diǎn)110建立與網(wǎng)關(guān)設(shè)備120的第二安全和/或被封裝通信鏈路115，網(wǎng)關(guān)設(shè)備120在下文中也被稱為演進(jìn)的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(ebng，evolvedbroadbandnetworkgateway)。第二安全通信鏈路115是安全的，這是因?yàn)樗潜患用艿暮?或被封裝的。該鏈路115可以被無線接入點(diǎn)110和ebng120之間的加密形式，優(yōu)選地如在ipsec框架中被標(biāo)準(zhǔn)化的加密形式所涵蓋。該鏈路115可以額外地或作為選擇地被封裝，這是因?yàn)閺臒o線接入點(diǎn)110和ebng120分別將每一條上行鏈路和下行鏈路的ip分組封裝為攜帶gre，l2tp，mpls，vlan標(biāo)簽或其他封裝協(xié)議的新的ip分組。第二通信鏈路115被任何合適的網(wǎng)絡(luò)物理地承載，該合適的網(wǎng)絡(luò)可以由幾個(gè)有線(例如以太網(wǎng)，xdsl，gpon)和/或無線(例如ieee802.16)網(wǎng)絡(luò)分段組成。諸如家庭網(wǎng)關(guān)112的額外的網(wǎng)絡(luò)設(shè)備可以在這部分網(wǎng)絡(luò)中出現(xiàn)。

第二安全通信鏈路115傳送多個(gè)用戶實(shí)體會(huì)話的業(yè)務(wù)，因此能夠被稱為“胖管道”，與僅承載單個(gè)由ue發(fā)起的會(huì)話的所謂“瘦管道”相對(duì)。根據(jù)本發(fā)明的網(wǎng)絡(luò)和協(xié)議架構(gòu)將也可以被稱為“胖管道模型”。

ebng120聚合幾個(gè)上面提及的“胖管道”，其中一些在圖1中被說明為起源于不同的無線接入點(diǎn)實(shí)例(未編號(hào))，并且對(duì)于每一個(gè)ue會(huì)話，可選地建立到pdn網(wǎng)關(guān)130的gtpv2隧道。通過該pdn網(wǎng)關(guān)130，用戶實(shí)體100a-c根據(jù)它們的訂購條款，能夠具有所期望的，被或通過被云140所表示并在圖5中更具體的示出的蜂窩網(wǎng)絡(luò)所提供的，到ip服務(wù)的接入。

在pdn網(wǎng)關(guān)130處，終止一個(gè)來自接入點(diǎn)110的ipsec隧道有幾個(gè)好處。首先，它減去了終止來自用戶實(shí)體100a-c與提供商相關(guān)聯(lián)的ipsec會(huì)話的負(fù)擔(dān)，其能夠相應(yīng)地為其他任務(wù)釋放資源，包括例如運(yùn)行和諸如企業(yè)網(wǎng)絡(luò)網(wǎng)關(guān)的通信方的端到端的ipsec會(huì)話。其次，由于接入點(diǎn)110一般能夠在無線鏈路上提供安全，該設(shè)備110適合于提供背對(duì)背的加密，從而避免用戶實(shí)體100a-c和ebng120之間端到端通信中的任何未加密鏈路的存在。當(dāng)在端點(diǎn)之間存在額外的設(shè)備，例如家庭網(wǎng)關(guān)112，并一般地可被未授權(quán)的人接入時(shí)，這尤其相關(guān)。在那種情況下，接入點(diǎn)110和家庭網(wǎng)關(guān)112之間的分段可能在現(xiàn)有的3gpp架構(gòu)中沒有被保護(hù)，用于卸載到可信的ipcan?？尚诺膇pcan事實(shí)上被定義為rgw112和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng，broadbandnetworkgateway)118之間的分段，位于rgw112和ebng120之間的路徑上。

考慮到根據(jù)本發(fā)明的網(wǎng)絡(luò)和協(xié)議架構(gòu)，這是一個(gè)優(yōu)點(diǎn)，即在網(wǎng)關(guān)設(shè)備120處實(shí)現(xiàn)“合法監(jiān)聽”功能變得容易，因?yàn)樗軌蛑赜盟幸延械墓潭ǖ幕蛞苿?dòng)的“合法監(jiān)聽”基礎(chǔ)設(shè)施(li網(wǎng)關(guān))。同樣地，由于在網(wǎng)關(guān)設(shè)備120處的用戶會(huì)話感知，aaa，在線計(jì)費(fèi)，線下計(jì)費(fèi)，策略控制和實(shí)施功能，網(wǎng)絡(luò)地址轉(zhuǎn)換和其他功能可以在網(wǎng)關(guān)設(shè)備120處被實(shí)現(xiàn)。

圖2示出本發(fā)明的方法的實(shí)施例的流程圖；尤其，它示出圖1架構(gòu)中的網(wǎng)關(guān)設(shè)備120的核心活動(dòng)。在一個(gè)步驟210中，網(wǎng)關(guān)設(shè)備120建立與無線接入點(diǎn)110的安全通信鏈路。以下面將被更具體地描述，但包括基于與該用戶實(shí)體100相關(guān)聯(lián)的移動(dòng)訂購相關(guān)的數(shù)據(jù)的用戶實(shí)體100的認(rèn)證，的方式在用戶實(shí)體100和無線接入點(diǎn)110之間建立層2通信。aaa服務(wù)器150被包括在認(rèn)證過程中。在一個(gè)步驟220中，網(wǎng)關(guān)設(shè)備120接收來自在考慮中的用戶實(shí)體100的ip地址分配請(qǐng)求，典型地是dhcp請(qǐng)求。在一個(gè)步驟230中，網(wǎng)關(guān)設(shè)備120聯(lián)系aaa服務(wù)器150來驗(yàn)證是否前面提及的認(rèn)證已經(jīng)成功地發(fā)生。如果確實(shí)是這樣的，235，網(wǎng)關(guān)設(shè)備120允許ip地址分配進(jìn)行，并在步驟240中，在pdn網(wǎng)關(guān)130中在用戶實(shí)體100和提供商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間建立通信。因此，用戶實(shí)體100僅需要被認(rèn)證一次，雖然層2和層3的連接都是依所述認(rèn)證結(jié)果的情況而定的。認(rèn)證本身是基于由所述用戶實(shí)體100的用戶所持有的訂購。

圖3示出本發(fā)明的方法的實(shí)施例的流程圖；尤其，它示出圖1架構(gòu)中無線接入點(diǎn)110的核心活動(dòng)。在一個(gè)步驟310中，無線接入點(diǎn)110通過無線網(wǎng)絡(luò)接口，建立與用戶實(shí)體100的第一安全通信鏈路105。在一個(gè)步驟320中，無線接入點(diǎn)110建立與網(wǎng)關(guān)設(shè)備120的第二安全和/或被封裝的通信鏈路115。在一個(gè)步驟330中，無線接入點(diǎn)110在第一安全通信鏈路105和第二通信鏈路115之間雙向中繼數(shù)據(jù)，也即，它允許在用戶實(shí)體100和網(wǎng)關(guān)設(shè)備120之間的通信。

根據(jù)本發(fā)明的方法的實(shí)施例中，用戶實(shí)體110和網(wǎng)關(guān)設(shè)備120之間的通信的建立是依用戶實(shí)體110的成功認(rèn)證的情況而定的，并且被用戶實(shí)體110根據(jù)其操作的訂購條款所限制。圖4表示本發(fā)明的方法的實(shí)施例中某些步驟的流程圖。

在一個(gè)步驟410中，無線接入點(diǎn)110接收來自用戶實(shí)體100的請(qǐng)求，來授權(quán)通信。優(yōu)選地，用戶實(shí)體100為該目的實(shí)現(xiàn)ieee802.1x客戶端(supplicant)功能，并且該請(qǐng)求被作為ieee802.1x授權(quán)請(qǐng)求來處理。在圖4的意義上說，用戶實(shí)體的請(qǐng)求不需要由該用戶實(shí)體自己主動(dòng)地發(fā)送：它可以實(shí)際上是對(duì)來自無線接入點(diǎn)110的“eap請(qǐng)求”消息做出響應(yīng)而被發(fā)送的“eap響應(yīng)”消息。

在一個(gè)步驟420中，無線接入點(diǎn)110獲得與用戶實(shí)體100相關(guān)聯(lián)的，來自后者的歸屬位置寄存器(hlr)160的，移動(dòng)訂購數(shù)據(jù)。該信息典型地不是被直接地獲得，而是經(jīng)由認(rèn)證，授權(quán)，和計(jì)費(fèi)(aaa，authentication,authorization,andaccounting)服務(wù)器，通過優(yōu)選地使用radius協(xié)議交換，來被間接地獲得，該aaa服務(wù)器是網(wǎng)關(guān)設(shè)備120可接入的。從而，在步驟430中，基于來自hlr160的用戶信息，在無線接入點(diǎn)110處完成認(rèn)證成為可能。該方法具有在網(wǎng)關(guān)設(shè)備120處創(chuàng)造用戶實(shí)體的用戶細(xì)節(jié)的感知的優(yōu)點(diǎn)，使能夠部署特定于訂購的服務(wù)和/或基于訂購的計(jì)費(fèi)。進(jìn)一步的優(yōu)點(diǎn)是，通過在質(zhì)詢-響應(yīng)認(rèn)證交換中使用用戶實(shí)體的sim卡，認(rèn)證步驟能夠是高度安全的。整個(gè)認(rèn)證序列可以有利地被實(shí)現(xiàn)為eap-sim或eap-aka交換。

一旦層2通信被建立，根據(jù)成功的認(rèn)證435，層3通信必須被建立440-460。在此階段，無線接入點(diǎn)110已經(jīng)被建立來允許在用戶實(shí)體100和網(wǎng)關(guān)設(shè)備120之間的層2通信，從而隨后的協(xié)議交換在這些實(shí)體之間發(fā)生。層3階段由用于ip地址分配的請(qǐng)求開始，該請(qǐng)求在一個(gè)步驟440中由網(wǎng)關(guān)設(shè)備120接收。響應(yīng)于該請(qǐng)求，網(wǎng)關(guān)設(shè)備120在一個(gè)步驟450中，從aaa服務(wù)器150查詢用戶實(shí)體100的認(rèn)證狀態(tài)。如果該狀態(tài)查詢指示認(rèn)證是成功的455，在一個(gè)步驟460中，ip地址分配請(qǐng)求被接受，并且ip地址被分配。ip地址分配交換優(yōu)選地根據(jù)dhcp協(xié)議發(fā)生，由ue發(fā)起。

圖5示意性地示出了根據(jù)本發(fā)明的方法的實(shí)施例的詳細(xì)的協(xié)議消息交換，相應(yīng)于如上文所述的圖4的步驟410-460。

圖6示出本發(fā)明的方法的實(shí)施例可以被部署于其中的詳細(xì)的示例性網(wǎng)絡(luò)拓?fù)洹?/p>

圖6尤其說明了網(wǎng)關(guān)設(shè)備120的接口。除了它的具體功能，作為演進(jìn)的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(ebng，evolvedbroadbandnetworkgateway)跨非蜂窩ipcan實(shí)例化ue會(huì)話之外，網(wǎng)關(guān)設(shè)備120可以完成傳統(tǒng)的寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng實(shí)例化由cpe或rgw發(fā)起的會(huì)話)的功能和/或演進(jìn)的分組數(shù)據(jù)網(wǎng)關(guān)(epdg，evolvedpacketdatagateway,終止ue發(fā)起的ipsecsa)的那些功能，并且它具有為此目的的必要的結(jié)構(gòu)組件。根據(jù)本發(fā)明的網(wǎng)關(guān)設(shè)備120包括典型地通過固定寬帶接入網(wǎng)，使用表示如上文指示的“胖管道”的安全和/或被封裝鏈路，來與無線接入點(diǎn)110交互的接口；可選的、來和pdn網(wǎng)關(guān)，ggsn或ha130交互的接口；以及來和aaa服務(wù)器150交互的接口，它可以從其獲得訂購相關(guān)信息。技術(shù)人員應(yīng)理解，這些接口不必物理地不同，但是必要的硬件和軟件必須存在，來恰當(dāng)?shù)貐^(qū)分在網(wǎng)絡(luò)層及其上面的層處，至或來自各自通信方的通信。

為了進(jìn)一步闡明本發(fā)明和它的優(yōu)點(diǎn)，一種示例性的實(shí)現(xiàn)現(xiàn)在將被更詳細(xì)的描述。技術(shù)人員將理解，單獨(dú)的實(shí)現(xiàn)選項(xiàng)可以從說明書中被采納，并和本發(fā)明的上面提及的一般概念結(jié)合，而不超出當(dāng)前公開的范圍。

當(dāng)智能手機(jī)100進(jìn)入一個(gè)具有封閉式ssid的熱點(diǎn)，它將使用它的sim/usim證書認(rèn)證它自己，避免用戶建立任何專用的wi-fi賬號(hào)的需要。

sim/usim證書通過eap-sim/aka方法被中繼，并根據(jù)在hlr160中的用戶信息來驗(yàn)證。照此，相同的移動(dòng)證書(sim/usim)用于在2g，2.5g，3g或lte網(wǎng)絡(luò)中的認(rèn)證和授權(quán)。

用戶實(shí)體100，無線接入點(diǎn)110，和hlr160由ebng120和aaa服務(wù)器150輔助。

-用戶實(shí)體100：用于wi-fi卸載的所有認(rèn)證機(jī)制當(dāng)前被商業(yè)智能手機(jī)，3g/wi-fi適配器(dongles)和具有3g/wi-fi功能的筆記本電腦所支持。

-無線接入點(diǎn)110：為了接收wi-fiieee802.11n證書，無線接入點(diǎn)需要支持eap-sim和/或eap-aka認(rèn)證。無線接入點(diǎn)還需要支持到ebng120的傳輸隧道，來在其中路由所有被卸載的業(yè)務(wù)。該遂道優(yōu)選地被實(shí)現(xiàn)為ipsec或gre遂道。

-ebng120：ebng需要為無線接入點(diǎn)之后的終端用戶處理dhcp會(huì)話創(chuàng)建。dhcp請(qǐng)求信息能夠利用radius客戶端來被交給aaa服務(wù)器150，該aaa服務(wù)器150將該請(qǐng)求關(guān)聯(lián)到、對(duì)于相同的uemac地址的、以前的eap-sim/aka認(rèn)證。如果ebng120在eap-sim/aka認(rèn)證階段支持radius代理(proxyagent)或嗅探器，ebng120能夠?yàn)槟莻€(gè)uemac查找以前成功的eap-sim/aka認(rèn)證上下文，并基于在認(rèn)證階段被發(fā)現(xiàn)的ue標(biāo)識(shí)符(imsi，misdn，…)建立北向通信(aaa，計(jì)費(fèi)，pcc，li，…)。ebng120能夠代表移動(dòng)網(wǎng)絡(luò)運(yùn)營商實(shí)施線下/在線計(jì)費(fèi)，例如通過出售一天的通行證，其中一部分將被付給移動(dòng)網(wǎng)絡(luò)運(yùn)營商。

-aaa：aaa服務(wù)器150通過它的到hlr160的基于映射的后端接口(gr)，來支持終端eap-sim或eap-aka認(rèn)證和授權(quán)：它執(zhí)行radiuseap-到-映射網(wǎng)關(guān)功能。當(dāng)，為了會(huì)話的建立，第二radius請(qǐng)求從ebngradius客戶端到達(dá)時(shí)，aaa服務(wù)器150將用戶實(shí)體的標(biāo)識(shí)(ue-mac地址)進(jìn)行關(guān)聯(lián)。如果該ue之前被授權(quán)過，網(wǎng)絡(luò)接入將被接受，并且該會(huì)話將被建立。aaa服務(wù)器150能夠返回計(jì)費(fèi)注冊(cè)簡(jiǎn)檔標(biāo)識(shí)(charging-profile-id)和msisdn給ebng20，來允許與計(jì)費(fèi)及其他北向服務(wù)平臺(tái)的便捷集成。

端到端的安全在逐跳的基礎(chǔ)上被實(shí)現(xiàn)。用戶實(shí)體100和無線接入點(diǎn)110之間的空中接口用ieee802.11i來被保護(hù)。ieee802.11i密鑰(優(yōu)選地使用wpa2)能夠從eap-sim/aka加密密鑰派生。

無線接入點(diǎn)110和ebng120之間的接口用ipsec來被保護(hù)。從ebng120開始，存在多個(gè)與被提供服務(wù)的功能有關(guān)的選項(xiàng)。根據(jù)“胖管道”模型，如上文所述的，無線接入點(diǎn)110和ebng120之間的單個(gè)ipsec遂道承載多個(gè)終端用戶的會(huì)話。

胖管道模型為了避免欺騙，要求用戶實(shí)體100支持802.11i或等同的加密。在另一方面，胖管道模型不要求用戶實(shí)體100上的ipsec加密，從而避免在無線lan空中接口上的ipsec開銷，分組碎片和ike?；罘纸M。它也和企業(yè)vpn接入兼容，因?yàn)樗试S端到端加密(可選的“瘦管道模型”會(huì)要求由用戶實(shí)體100進(jìn)行雙重的ipsec加密)。

對(duì)ebng120來說，胖管道模型比瘦管道模型(epdg或pdn網(wǎng)關(guān))提供更好的可擴(kuò)展性，因?yàn)槊恳粋€(gè)遂道在無線接入點(diǎn)100上包含所有ue會(huì)話活動(dòng)。

ebng120能夠額外地傳遞一組與基礎(chǔ)服務(wù)類似的被管服務(wù)提供給移動(dòng)用戶。這通過基于用戶簡(jiǎn)檔(profile)的增強(qiáng)的用戶管理上下文中實(shí)例化會(huì)話來完成。增強(qiáng)的用戶管理(esm，enhancedsubscribermanagement)是一組允許自動(dòng)的用戶開通和按用戶的qos和安全實(shí)施的aaa，安全和qos特征。該esm特征組的關(guān)鍵方面是它提供獨(dú)立于接入類型(ipcan)的用戶感知模型，因此它也能夠被應(yīng)用于wi-fi接入。

業(yè)務(wù)在它被封裝進(jìn)入到無線接入點(diǎn)的ipsecesp遂道中(或進(jìn)入非加密遂道中)之前，由esm引擎處理。該esm引擎在最后的radius接入接受消息中，從aaa服務(wù)器150接收用戶簡(jiǎn)檔。該用戶簡(jiǎn)檔能夠包含分幀ip地址(framedipaddress)，分幀ip池(framedippool)，虛擬專用路由網(wǎng)絡(luò)(vprn，virtualprivateroutingnetwork)標(biāo)識(shí)，qos簡(jiǎn)檔(qosprofile)，計(jì)費(fèi)簡(jiǎn)檔(chargingprofile)，dpi規(guī)則庫，nat和安全簡(jiǎn)檔(securityprofile)。

-qos：用戶上下文允許ebng120來根據(jù)個(gè)性化的qos簡(jiǎn)檔對(duì)所有的用戶業(yè)務(wù)分類。服務(wù)專用硬件隊(duì)列和硬件策略器(hwpolicers)能夠按分類和(分層的)調(diào)度器一起，被分配給每個(gè)被實(shí)例化的用戶。調(diào)度器和專用隊(duì)列允許wifi服務(wù)從盡力而為的演進(jìn)到qos使能的ip服務(wù)，并支持實(shí)時(shí)的語音和視頻應(yīng)用。

-安全：到ebng120的安全接入由ebng120中的一組安全特征補(bǔ)充。其包括基于用戶簡(jiǎn)檔的接入控制列表和反欺騙保護(hù)。反欺騙過濾器被用于防止終端用戶通過欺騙的ip和mac地址，來攻擊其他用戶或嘗試冒充其他用戶。

-vprn：ebng120中的vprn實(shí)例化能夠被用于在批發(fā)的上下文中的服務(wù)虛擬化，或能夠被用于提供安全商業(yè)vpn接入。vprn標(biāo)識(shí)因此將指向零售商vpn或指向商業(yè)客戶vpn。

-nat：為了保留ipv4地址空間，網(wǎng)絡(luò)地址和端口轉(zhuǎn)換(napt，networkaddressandporttranslation)能夠在ebng120上被配置。每一個(gè)新的用戶napt上下文被動(dòng)態(tài)地實(shí)例化。

-本地內(nèi)容插入：當(dāng)ebng120已經(jīng)和固定cdn(contentdistributionnetwork，內(nèi)容分發(fā)網(wǎng)絡(luò))網(wǎng)絡(luò)的本地內(nèi)容插入點(diǎn)集成時(shí)，wi-fi卸載業(yè)務(wù)也能夠利用該緩存的內(nèi)容。這將減少業(yè)務(wù)穿越的跳數(shù)和它產(chǎn)生的開銷，并增加對(duì)終端用戶的內(nèi)容可用性和響應(yīng)性。

計(jì)費(fèi)集成能夠通過從ebng120到移動(dòng)計(jì)費(fèi)支持系統(tǒng)(bss，billingsupportsystem)提供wi-fi卸載計(jì)費(fèi)記錄來實(shí)現(xiàn)。特別是當(dāng)ebng120是由移動(dòng)運(yùn)營商擁有時(shí)，對(duì)于線下以及在線計(jì)費(fèi)，該計(jì)費(fèi)集成都能夠允許wi-fi卸載服務(wù)引入的最早的介入。它將兩個(gè)網(wǎng)絡(luò)的集成減少至僅aaa和計(jì)費(fèi)接口的集成。wi-fi被卸載的業(yè)務(wù)的數(shù)據(jù)平面不需要通過移動(dòng)網(wǎng)絡(luò)，并能夠被直接卸載到互聯(lián)網(wǎng)。

相同的基礎(chǔ)設(shè)施也能夠被開放來支持開放的接入(沒有ieee802.1x)和門戶認(rèn)證。在那種場(chǎng)景中，ebng120允許未認(rèn)證的設(shè)備開始dhcp會(huì)話，但將重定向任何http業(yè)務(wù)到登陸頁面。任何非http業(yè)務(wù)被丟棄。這是通過ebng120從aaa服務(wù)器150獲得的重定向策略來實(shí)現(xiàn)的。

當(dāng)用戶已經(jīng)完成門戶注冊(cè)并已被認(rèn)證，該用戶簡(jiǎn)檔在ebng120中被更新來給予該用戶完全的數(shù)據(jù)接入。這是通過來自aaa服務(wù)器150的radiuscoa更新完成的。

ebng120到移動(dòng)分組核心網(wǎng)的進(jìn)一步的集成是通過被卸載的業(yè)務(wù)的gtp封裝來實(shí)現(xiàn)的，因?yàn)樗诨趃tp的，類似s2b的接口上被交付給pgw或ggsn。ebng120中的gtp封裝允許運(yùn)營商對(duì)3g-lte和wi-fi被卸載的業(yè)務(wù)都具有相同的錨點(diǎn)。它允許終端用戶在蜂窩和非蜂窩ipcan之間漫游同時(shí)保持它的ip地址，并且它允許到移動(dòng)數(shù)據(jù)服務(wù)基礎(chǔ)設(shè)施的本地接入。它允許移動(dòng)運(yùn)營商在pgw-ggsn上重用它的整個(gè)服務(wù)基礎(chǔ)設(shè)施，不僅在計(jì)費(fèi)方面，而且用于移動(dòng)內(nèi)容，互聯(lián)網(wǎng)接入，深度分組檢測(cè)，視頻優(yōu)化，頭增強(qiáng)等。

認(rèn)證和授權(quán)與獨(dú)立的、具有上述可選的嵌入式radius代理的ebng120完全一致。然而，ebng120現(xiàn)在通過創(chuàng)建到pgw-ggsn的eps會(huì)話或pdp上下文來對(duì)dhcp發(fā)現(xiàn)消息進(jìn)行響應(yīng)。然后ueip地址被pgw從它的本地池或預(yù)先存在的eps會(huì)話或pdp上下文來選擇。

在數(shù)據(jù)平臺(tái)中，ebng120可選地完成如lac的功能：在上行流中，它gtp封裝所有來自ipsec胖管道中的會(huì)話的業(yè)務(wù)，并轉(zhuǎn)發(fā)該業(yè)務(wù)到pgw-ggsn；在下行流中，它終止從pgw-ggsn接收的gtp封裝的業(yè)務(wù)，并轉(zhuǎn)發(fā)該業(yè)務(wù)到通到正確的無線接入點(diǎn)的正確的ipsec遂道。

為了在蜂窩ipcan會(huì)話和非蜂窩ipcan會(huì)話之間維持該ue的ip地址，ebng120在pgw-ggsn處，創(chuàng)建帶有切換指示的eps會(huì)話。該切換指示將迫使pgw-ggsn去驗(yàn)證對(duì)該用戶實(shí)體是否現(xiàn)有的eps會(huì)話或pdp上下文正在進(jìn)行，及查詢?cè)摃?huì)話的上下文。結(jié)果是，pgw-ggsn會(huì)分配現(xiàn)有的ip地址給非蜂窩會(huì)話，及會(huì)發(fā)送會(huì)話斷開給sgw/mme或gn/gpsgsn。

需要在接入點(diǎn)110的主要的私有使用和供公共使用的可用的額外的帶寬的使用之間進(jìn)行區(qū)分。

這可以通過在接入點(diǎn)上提供兩個(gè)ssid來實(shí)現(xiàn)。在私有ssid上的業(yè)務(wù)如固定接入一樣來被聚集并被照此計(jì)費(fèi)。對(duì)于在公有ssid上的業(yè)務(wù)，專用的連接需要被建立(可能基于專用的vlan或遂道)，從而該業(yè)務(wù)能夠被獨(dú)立地對(duì)待及獨(dú)立地計(jì)費(fèi)。

在圖中顯示的各種元素的功能，包括被標(biāo)記為“處理器”的任何功能模塊，可以通過專用硬件的使用，及能夠執(zhí)行軟件的硬件聯(lián)合適當(dāng)?shù)能浖氖褂脕肀惶峁?。?dāng)由處理器提供時(shí)，功能可以由單個(gè)的專用處理器，由單個(gè)的共享處理器，或由其中的一些可以被共享的多個(gè)單獨(dú)的處理器來提供。此外，術(shù)語“處理器”或“控制器”的明確的使用不應(yīng)該被解釋為排他地指能夠執(zhí)行軟件的硬件，并可以隱含地包括，不限于，數(shù)字信號(hào)處理器(dsp)硬件，網(wǎng)絡(luò)處理器，專用集成電路(asic)，現(xiàn)場(chǎng)可編程門陣列(fpga)，用于存儲(chǔ)軟件的只讀存儲(chǔ)器(rom)，隨機(jī)訪問存儲(chǔ)器(ram)，和非易失性存儲(chǔ)器。其他常規(guī)的和/或定制的硬件也可以被包括進(jìn)來。類似地，在圖中示出的任何開關(guān)僅僅是概念性的。它們的功能可以通過程序邏輯的運(yùn)行，通過專用邏輯，通過程序控制和專用邏輯的交互，或甚至手動(dòng)地來完成，從上下文可更明確地被理解能被實(shí)現(xiàn)者選擇的特定技術(shù)。