本發明實施例公開了一種因特網協議安全性IPsec隧道建立方法，用戶設備及基站。在用戶設備通過無線局域網請求接入核心網時，基站與用戶設備協商抗重放參數及IPsec隧道建立參數，建立IPsec隧道，以及根據隧道建立參數中包括的IPsec隧道傳輸參數在IPsec隧道中傳輸數據，從而實現用戶設備通過無線局域網安全地接入核心網，保證了數據傳輸的安全性。

技術領域

本發明涉及通信技術領域，尤其涉及一種因特網協議安全性(Internet Protocolsecurity，簡稱IPsec)隧道建立方法，用戶設備及基站。

背景技術

長期演進系統-無線局域網絡聚合(Long Term Evolution-Wireless Local AreaNetworks，簡稱LWA)，是長期演進(Long Term Evolution，簡稱LTE)系統利用無線局域網(Wireless Local Area network，簡稱WLAN)的高數據傳輸效率特性進行下行傳輸數據，是數據分流的一種新型技術。其架構定義如圖1所示。移動管理實體(Mobility ManagementEntity，簡稱MME)/服務網關(Serving Gateway，簡稱S-GW)為核心網側節點，在架構中代表核心網側，長期演進系統基站(Evolved Node B，簡稱eNB)與核心網側之間通過S1接口連接，同時eNB與無線局域網絡總站(WLAN Terminal，簡稱WT)通過Xw接口連接。這種架構下，WT和eNB是分開部署的。對于核心網側來說，WT是透明的，不可見的，即核心網側不知道WT的存在。一個WT可以連接多個無線局域網接入節點(Access Point，簡稱AP)，用戶設備(UserEquipment，簡稱UE)通過與AP相連接入網絡。當下行數據到來的時候，eNB通過WT，轉發數據給UE，實現WLAN分流。

圖1所示是在新架構下的LWA技術，要求在新架構下兼容現有WLAN技術。現有WLAN的接入方式是采用圖2的架構，通過S2a和S2b接口的方式接入。

S2a接入方式是UE接入可信的WLAN時所用的接口。可信的WLAN是指WLAN是運營商部署的。在S2a接入方式下，UE接入WLAN完成鑒權后，可以直接連接核心網側的分組數據網關(Packet Data Network-Gateway，簡稱P-GW)，進而實現使用WLAN上網，進行數據分流。

S2b接口是ePDG和P-GW之間的接口。UE在接入非可信的WLAN的情況下使用此接口。非可信的WLAN指不是運營商部署的WLAN節點。當用戶通過這類非可信的WLAN接入的時候，要通過演進的分組數據域網關(Evloved Packet Data Gateway，簡稱ePDG)輔助。ePDG是運營商部署的網元，因此ePDG對于運營商來說是可信的，這樣可以保證非可信的WLAN沒有辦法看到、修改UE和核心網側之間傳輸的用戶數據，進而保證只是利用WLAN傳輸數據，而不用WLAN提供其他服務。

新需求要求兼容現有WLAN，就是指要求兼容S2b接入方式下的非可信的WLAN接入方式。根據圖1的架構，可以看到WT和eNB之間沒有部署ePDG，因此無法保證在非可信WLAN下保護用戶的數據安全。

發明內容

本發明實施例提供了一種IPsec隧道建立方法，用戶設備及基站，以建立用戶設備與基站之間的IPsec隧道，保證用戶設備安全地接入核心網，保證數據傳輸的安全性。

第一方面，提供了一種因特網協議安全性IPsec隧道建立方法，包括：

基站發送第一抗重放參數給用戶設備；

所述基站確定所述用戶設備的第二抗重放參數，所述第一抗重放參數和第二抗重放參數分別用于防止所述基站和所述用戶設備每次生成的密鑰相同；

所述基站根據空口密鑰KeNB和所述第一抗重放參數生成第一預共享密鑰Kipsec，并根據所述第一Kipsec生成第一鑒權信息AUTH；