[发明专利]IPSec隧道的建立方法及装置、终端和网络侧设备

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种IPSec隧道的建立方法及装置、终端和网络侧设备。

背景技术

3GPP R13提出了一种WLAN与LTE互通的紧耦合方案，在这种互通方案中，不需要对无线局域网接入点(Wireless Local Area Network，简称为WLAN)(Access Point，简称为AP)做任何修改，即可使用现有的WLAN AP组网，将WLAN作为长期演进(Long Time Evolution，简称为LTE)的补充接入使用。这种方案被称为长期演进与无线局域网的集成(LTE WLANAggregation，简称为LWA)for Legacy AP。

图1是相关技术中LWA的示意图，如图1所示，eNB(102)通过IP与WLAN(104)相连。UE(105)通过WLAN(104)接入时，为了支持WLAN分流，UE(105)与eNB(102)间建立IPSec隧道(101)，eNB(102)将从S1-U接口收到的IP数据包在IPSec隧道(101)和LTE空口承载(103)间进行分发。通过IPSec隧道(101)发送的数据将经过WLAN(104)发送到UE(105)的WLAN介质访问控制(Media Access Control，简称为MAC)层，并最终在IPSec隧道解码后将净荷数据发送给UE(105)的IP协议栈。通过LTE空口承载(103)发送的数据将被打上分组数据汇聚协议(Packet Date Convergence Protocol，简称为PDCP)头，并通过空口的RLC、MAC、物理层，最终发送到UE(105)的LTE接收器，并经过UE(105)的LTE协议栈解码后发送给UE(105)的IP协议栈。

可见，在相关技术中只描述了需要在eNB(102)和UE(104)间建立IPSec隧道(101)，但未具体说明如何建立IPSec隧道。相关技术中，一般采用的方式是，IPSec协议栈使用IKEv2协议(RFC7427)进行互相认证、生成会话密钥，并协商建立Child SA(Security Association)。其中，互认证使用的方法包括：共享密钥、证书(如X.509证书签名等)、或EAP。

在3GPP中，S2b接口间的IPSec隧道采用了EAP方式在UE和ePDG间进行认证。为了对用户进行认证，ePDG通过一个接口与3GPP验证授权记账(Authentication、Authorization、Accounting，简称为AAA)服务器接口。EAP协议在UE和3GPP AAA服务器之间，实际认证是在3GPP AAA服务器和UE间进行认证的。

为了在图1的eNB(102)和UE(105)间建立IPSec隧道，也可以采用类似ePDG的方式，但是该方式需要增加eNB(105)到3GPP AAA服务器的接口，增加了系统的复杂性。针对相关技术中的上述问题，目前尚未存在有效的解决方案。

发明内容

本发明提供了一种IPSec隧道的建立方法及装置、终端和网络侧设备，以至少解决相关技术中在建立IPSec隧道时，需要增加eNB到3GPP AAA服务器的接口进而增加了系统的复杂性的问题。

根据本发明的一个方面，提供了一种IPSec隧道的建立方法，包括：在终端通过第二通道接入第一网络时，所述终端接收所述第一网络通过安全通道发送的所述终端经第二通道接入所述第一网络所需的互联网安全协议IPSec隧道端点的地址信息、和/或IPSec子会话信息，其中，所述安全通道为所述第一网络与所述终端通过第一通道预先建立的；所述终端依据所述IPSec隧道端点的地址信息、和/或IPSec子会话信息与所述第一网络建立所述IPSec隧道。

进一步地，所述IPSec隧道端点的地址信息为所述第一网络中IPSec服务器的IP地址或完全合格域名FQDN。

进一步地，所述IPSec子会话信息包括：IPSec子会话的安全参数索引SPI、和/或IPSec子会话的链路选择器Traffic Selector、和/或IPSec子会话的传输模式、和/或IPSec子会话的安全协议、和/或IPSec子会话的加密算法、和/或IPSec子会话的加密会话密钥、和/或IPSec子会话的完整性保护算法、和/或IPSec子会话的完整性保护密钥、和/或所述第一网络产生的随机数或计数器。