技術領域

本發明涉及通信網絡安全，尤其涉及在3GPP網絡與無線局域網互通時提供安全保護的方法和裝置。

背景技術

第三代合作伙伴計劃(3GPP)網絡(例如GSM、GPRS、WCDMA、TD-SCDMA、EPS(Evolved?Packet?System，演進分組系統)等網絡)與無線局域網(WLAN)網絡的互通已經成為當前研究的熱點。伴隨3G業務的發展，向WLAN用戶提供基于3GPP網絡的服務將面臨的一個挑戰是安全。

3GPP標準化組織在3GPP?TS?33.234中就3GPP網絡與WLAN網絡互通的安全提出了一些規范。根據3GPP?TS?33.234規范的安全機制，EAP-AKA(擴展認證協議-認證和密鑰協商)/EAP-SIM(擴展認證協議-用戶識別模塊)被用于在無線局域網終端(WLAN-UE)與3GPP網絡之間的互認證，并且在WLAN-UE與3GPP網絡中的分組數據網關(PDG)之間建立IPSec隧道，以提供數據完整性和機密性保護。

圖1示出了根據現有技術的3GPP網絡與WLAN互通的安全機制。在現有技術中，當WLAN-UE需要基于3GPP網絡的服務時，WLAN-UE110首先與3GPP網絡中的AAA(認證、授權、計費)服務器進行EAP-AKA/EAP-SIM互認證(步驟1.1)。認證成功后，在WLAN-UE與3GPP網絡中的PDG之間建立IPsec隧道(步驟1.2)。于是，在IPSec隧道中傳輸受保護的用戶業務數據(步驟1.3)。在3GPP?TS?33.234規范中提供了對于上述安全機制的更詳細的描述，其通過引用被完全合并到此。此外，在3GPP?TS?23.234規范中描述了3GPP網絡與WLAN互通的網絡構架，其通過引用被完全合并到此。

但是，當前大多數無線局域網終端不支持IPSec。此外，維持IPSec隧道的成本很高。因為一旦建立了IPSec隧道，無線局域網終端就必須一直保持IP連接，即使用戶沒有訪問服務。

因此，需要另外一種在3GPP網絡與無線局域網互通中提供安全保護的方案，以便克服現有技術中的上述局限。

發明內容

為了克服現有技術的上述局限，并解決通過閱讀和理解本說明書將理解的其它問題，本發明提供一種方法和裝置，用于在3GPP網絡與無線局域網互通時提供安全保護。

根據本發明的一個示例性方面，提供一種在3GPP網絡與無線局域網互通時在網絡側實體中提供安全保護的方法，包括：預先獲得在所述實體與所述無線局域網終端之間共享的密鑰；通過在所述網絡側實體與所述無線局域網終端之間的普通分組數據傳輸隧道為所述無線局域網終端傳輸分組數據；以及檢查來自所述無線局域網終端的分組的數據完整性，其中利用分組頭部的“選項”字段來承載完整性檢查的安全參數。

此外，可以周期性地檢查來自所述無線局域網終端的分組的數據完整性或檢查來自所述無線局域網終端的每一分組的數據完整性。

此外，所述密鑰可以根據通過所述無線局域網終端與所述3GPP網絡之間的EAP-AKA/EAP-SIM認證及密鑰協商過程得到的密鑰導出。

完整性檢查可以包括：向所述無線局域網終端發送完整性質詢，其中所述質詢的時間戳或序列號以及隨機數被承載在分組頭部的“選項”字段中；響應于所述質詢，從所述無線局域網終端接收完整性響應，其中所述響應的響應參數被承載在分組頭部的“選項”字段中；以及確定所述響應的響應參數是否正確以檢查分組的數據完整性。

完整性檢查可以進一步包括確定對于承載所述響應的分組是否存在正確的地址映射。

所述實體可以位于以下設備中的至少一個中：無線局域網接入網關(WAG)、分組數據網關(PDG)或3GPP?AAA服務器。

根據本發明的另一示例性方面，提供一種在3GPP網絡與無線局域網互通時在無線局域網終端中提供安全保護的方法，包括：預先獲得在網絡側實體與所述無線局域網終端之間共享的密鑰；通過所述無線局域網終端與所述實體之間的普通分組數據傳輸隧道傳輸分組數據；以及響應來自所述實體的對發自所述無線局域網終端的分組的數據完整性檢查，其中利用分組頭部的“選項”字段來承載完整性檢查的安全參數。