CN104885519A - 分流方法、用户设备、基站和接入点 - Google Patents

分流方法、用户设备、基站和接入点 Download PDF

Info

Publication number
CN104885519A
CN104885519A CN201380003017.6A CN201380003017A CN104885519A CN 104885519 A CN104885519 A CN 104885519A CN 201380003017 A CN201380003017 A CN 201380003017A CN 104885519 A CN104885519 A CN 104885519A
Authority
CN
China
Prior art keywords
access point
user equipment
described access
way
integrity code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380003017.6A
Other languages
English (en)
Other versions
CN104885519B (zh
Inventor
张宏平
曾清海
张健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104885519A publication Critical patent/CN104885519A/zh
Application granted granted Critical
Publication of CN104885519B publication Critical patent/CN104885519B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0077Transmission or use of information for re-establishing the radio link of access information of target access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/22Performing reselection for specific purposes for handling the traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1446Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种分流方法、用户设备、基站和接入点。该方法包括:用户设备接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。本发明实施例的分流方法、用户设备、基站和接入点,能够减少接入时延,提高用户体验。

Description

分流方法、 用户设备、 基站和接入点 技术领域
本发明涉及通信领域, 并且更具体地, 涉及分流方法、 用户设备、 基站 和接入点。 背景技术
随着移动互联网业务的日益丰富, 无线移动通信网络中的数据量激增, 但是电信运营商部署的无线局域网络( Wireless Local Area Networks , WLAN ): 一般指的是无线保真 (Wireless Fidelity, WiFi ), 网络利用率低。 为了緩解 网络的拥塞, 当前业界正在考虑采用数据分流的方式, 将无线移动通信网络 中的部分或全部数据分流到 WLAN网络上。 分流的具体方式为: 用户设备 ( User Equipment, UE ) 的部分业务或全部业务使用 WLAN进行传输。 网络根据负载等因素决定将 UE 分流到 WLAN后, UE 首先需要接入到 WLAN对应的接入点( Access Point, AP )。传统的 WLAN接入方法时延较长, 会造成 UE通信中断。 发明内容
本发明实施例提供了一种分流方法、 用户设备、 基站和接入点, 能够保 证用户设备快速分流到无线局域网络, 减少接入时延。
第一方面, 提供了一种分流方法, 包括:
用户设备接收基站发送的分流指示, 该分流指示用于指示该用户设备接 入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向 认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线蜂窝网络, 该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进 行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局 i或网络分流。
结合第一方面, 在第一种可能的实现方式中, 当该安全参数包括双向临 时密钥时, 根据该基站向该用户设备发送的该安全参数, 该用户设备与该接 入点进行该双向认证, 包括:
该用户设备向该接入点发送由该分流指示中的该双向临时密钥生成的 第一消息完整性码, 用于该接入点根据该第一消息完整性码与第二消息完整 性码确定是否与该用户设备认证成功, 该第二消息完整性码由该接入点根据 由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功时, 该用户设备接收该接入点发 送的第三消息完整性码, 该第三完整性码由该接入点根据由该基站获取的该 双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与 该接入点认证成功, 该第四消息完整性码由该用户设备根据该分流指示中的 该双向临时密钥生成;
当该用户设备确认与该接入点认证成功, 该用户设备完成与该接入点的 该双向认证。
结合第一方面, 在第二种可能的实现方式中, 当该安全参数包括双向主 密钥时, 根据该基站向该用户设备发送的该安全参数, 该用户设备与该接入 点进行该双向认证, 包括:
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥; 该用户设备向该接入点发送由该第一双向临时密钥生成的第一消息完 整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是 否与该用户设备认证成功, 该第二消息完整性码由该接入点根据第二双向临 时密钥生成, 该第二双向临时密钥由该接入点根据由该基站获取的该双向主 密钥生成;
当该接入点确认与该用户设备认证成功, 该用户设备接收该接入点发送 的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥 生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与 该接入点认证成功, 该第四消息完整性码由该用户设备根据该第一双向临时 密钥生成;
当该用户设备确认与该接入点认证成功时, 该用户设备完成与该接入点 的该双向认证。
结合第一方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 还包括:
该用户设备向该接入点发送重关联请求, 用于该接入点根据该重关联请 求和经由该基站获取的该安全参数生成该第二消息完整性码;
该用户设备根据该分流指示中的该安全参数和该重关联请求生成该第 一消息完整性码;
该用户设备接收该接入点发送的重关联响应;
该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第 四消息完整性码。
结合第一方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该方法还包括:
该用户设备向该接入点发送认证请求, 该认证请求包括请求者的随机 数;
该用户设备接收该接入点发送的认证响应, 该认证响应包括认证者的随 机数;
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥, 包括:
该用户设备根据该分流指示中的该双向主密钥, 该认证者的随机数和该 请求者的随机数, 获取该第一双向临时密钥。
结合第一方面或第一方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
第二方面, 提供了一种分流方法, 包括:
基站获取用于用户设备和接入点进行双向认证的安全参数, 该基站属于 无线蜂窝网络, 该接入点属于无线局域网络;
该基站向该接入点发送该安全参数, 该安全参数用于该接入点和该用户 设备进行双向认证;
该基站向该用户设备发送分流指示, 该分流指示用于指示该用户设备接 入该接入点的接入方法, 该分流指示包括该安全参数, 用于该用户设备根据 接收到的该安全参数, 与该接入点进行该双向认证, 以便该用户设备根据该 接入方法接入该接入点并向该无线局域网络分流。
结合第二方面, 在第一种可能的实现方式中, 该安全参数包括双向临时 密钥, 该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第二方面, 在第二种可能的实现方式中, 该安全参数包括双向主密 钥, 该双向主密钥用于该用户设备和该接入点确定双向临时密钥, 该双向临 时密钥用于该用户设备和该接入点进行该双向认证。
结合第二方面或第二方面的第一或二种可能的实现方式,在第三种可能 的实现方式中, 该基站获取用于用户设备和接入点进行双向认证的安全参 数, 包括:
该基站与该接入点协商确定用于该用户设备和该接入点进行该双向认 证的该安全参数; 或
该基站自行确定用于该用户设备和该接入点进行该双向认证的该安全 参数。
第三方面, 提供了一种分流方法, 包括:
接入点接收基站发送的安全参数, 该安全参数用于该接入点和用户设备 进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线局域网络, 该 安全参数进一步携带在由该基站发送至该用户设备的分流指示中, 该分流指 示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数, 该接入点与该用户设备进行 该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域 网络分流。
结合第三方面, 在第一种可能的实现方式中, 当该安全参数包括双向临 时密钥时, 根据该基站向该接入点发送的该安全参数, 该接入点与该用户设 备进行该双向认证, 包括:
该接入点接收该用户设备发送的由该分流指示中的该双向临时密钥生 成的第一消息完整性码;
该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该 用户设备认证成功, 该第二消息完整性码由该接入点根据获取的该双向临时 密钥生成;
当该接入点确认与该用户设备认证成功, 向该用户设备发送由获取的该 双向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三消息完 整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四消息完整 性码由该用户设备根据该分流指示中的该双向临时密钥生成, 当该用户设备 确认与该接入点认证成功时, 该接入点完成与该用户设备的该双向认证。 结合第三方面, 在第二种可能的实现方式中, 当该安全参数包括双向主 密钥时, 根据该基站向该接入点发送的该安全参数, 该接入点与该用户设备 进行该双向认证, 包括:
该接入点接收该用户设备发送的由第一双向临时密钥生成的第一消息 完整性码, 该第一双向临时密钥由该用户设备 ^据该分流指示中的该双向主 密钥生成;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥; 该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该 用户设备认证成功, 该第二消息完整性码由该接入点根据该第二双向临时密 钥生成;
当该接入点确认与该用户设备认证成功, 向该用户设备发送由该第二双 向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三消息完整 性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性 码由该用户设备根据该第一双向临时密钥生成, 当该用户设备确认与该接入 点认证成功时, 该接入点完成与该用户设备的该双向认证。
结合第三方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 还包括:
该接入点接收该用户设备发送的重关联请求,该重关联请求包括该用户 设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整 性码;
该接入点根据该重关联请求和该基站发送的该安全参数生成该第二消 息完整性码;
该接入点向该用户设备发送重关联响应, 该重关联响应包括该接入点根 据获取的该安全参数和该重关联响应生成的该第三消息完整性码, 用于该用 户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完 整性码。
结合第三方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该方法还包括:
该接入点接收该用户设备发送的认证请求, 该认证请求包括请求者的随 机数; 该接入点向该用户设备发送认证响应, 该认证响应包括认证者的随机 数;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥, 包 括:
该接入点根据该基站发送的该双向主密钥, 该认证者的随机数和该请求 者的随机数, 获取该第二双向临时密钥。
结合第三方面或第三方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
第四方面, 提供了一种用户设备, 包括:
接收单元, 用于接收基站发送的分流指示, 该分流指示用于指示用户设 备接入接入点的接入方法, 该分流指示包括用于该用户设备和该接入点进行 双向认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线蜂窝网 络, 该安全参数进一步由该基站发送至该接入点;
接入单元, 用于根据该接收单元接收的该安全参数, 与该接入点进行该 双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网 络分流。
结合第四方面, 在第一种可能的实现方式中, 在该安全参数包括双向临 时密钥的情况下:
该用户设备还包括发送单元, 用于向该接入点发送由该分流指示中的该 双向临时密钥生成的第一消息完整性码, 用于该接入点根据该第一消息完整 性码与第二消息完整性码确定是否与该用户设备认证成功, 该第二消息完整 性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功, 该接收单元还用于接收该接入 点发送的第三消息完整性码, 该第三完整性码由该接入点根据由该基站获取 的该双向临时密钥生成;
该接入单元, 具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码由该分流指示中的该双向临时密钥生成; 当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
结合第四方面, 在第二种可能的实现方式中, 在该安全参数包括双向主 密钥的情况下:
该用户设备还包括发送单元, 用于向该接入点发送由该第一双向临时密 钥生成的第一消息完整性码, 用于该接入点根据该第一消息完整性码与第二 消息完整性码确定是否与该用户设备认证成功, 该第一双向临时密钥根据该 分流指示中的该双向主密钥获取, 该第二消息完整性码由该接入点根据第二 双向临时密钥生成, 该第二双向临时密钥由该接入点根据由该基站获取的该 双向主密钥生成;
当该接入点确认与该用户设备认证成功, 该接收单元还用于接收该接入 点发送的第三消息完整性码, 该第三完整性码由该接入点根据该第二双向临 时密钥生成;
该接入单元, 具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码由该第一双向临时密钥生成;
当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
结合第四方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 该发送单元, 还用于向该接入点发送重关联请求, 用于该接入点根据该 重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码; 该接入单元,还用于根据该分流指示中的该安全参数和该重关联请求生 成该第一消息完整性码;
该接收单元, 还用于接收该接入点发送的重关联响应;
该接入单元,还用于根据该重关联响应和该分流指示中的该安全参数生 成该第四消息完整性码。
结合第四方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该发送单元, 还用于向该接入点发送认证请求, 该认证请求包括请求者的随 机数;
该接收单元, 还用于接收该接入点发送的认证响应, 该认证响应包括认 证者的随机数;
该接入单元, 还用于根据该分流指示中的该双向主密钥, 该认证者的随 机数和该请求者的随机数, 获取该第一双向临时密钥。
结合第四方面或第四方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
第五方面, 提供了一种基站, 包括:
获取单元, 用于获取用于用户设备和接入点进行双向认证的安全参数, 该基站属于无线蜂窝网络, 该接入点属于无线局域网络;
发送单元, 用于向该接入点发送该安全参数, 该安全参数用于该接入点 和该用户设备进行双向认证, 以及向该用户设备发送分流指示, 该分流指示 用于指示该用户设备接入该接入点的接入方法, 该分流指示包括该安全参 数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第五方面, 在第一种可能的实现方式中, 该安全参数包括双向临时 密钥, 该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第五方面, 在第二种可能的实现方式中, 该安全参数包括双向主密 钥, 该双向主密钥用于该用户设备和该接入点确定双向临时密钥, 该双向临 时密钥用于该用户设备和该接入点进行该双向认证。
结合第五方面或第五方面的第一或二种可能的实现方式,在第三种可能 的实现方式中, 该获取单元具体用于:
与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该 安全参数; 或
自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。 第六方面, 提供了一种接入点, 包括:
接收单元, 用于接收基站发送的安全参数, 该安全参数用于该接入点和 用户设备进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线局域 网络, 该安全参数进一步携带在由该基站发送至该用户设备的分流指示中, 该分流指示用于指示该用户设备接入该接入点的接入方法;
接入单元, 用于根据该接收单元接收的该安全参数, 与该用户设备进行 该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域 网络分流。
结合第六方面, 在第一种可能的实现方式中, 在该安全参数包括双向临 时密钥的情况下:
该接收单元,还用于接收该用户设备发送的由该分流指示中的该双向临 时密钥生成的第一消息完整性码; 该接入单元, 具体用于根据该第一消息完整性码与第二消息完整性码确 定是否与该用户设备认证成功, 该第二消息完整性码由该接收单元根据获取 的该双向临时密钥生成;
该接入点还包括发送单元, 用于当该接入单元确认与该用户设备认证成 功, 向该用户设备发送由该接收单元获取的该双向临时密钥生成的第三消息 完整性码, 用于该用户设备根据该第三消息完整性码和第四消息完整性码确 定是否与该接入点认证成功, 该第四消息完整性码由该用户设备根据该分流 指示中的该双向临时密钥生成, 当该用户设备确认与该接入点认证成功时, 完成与该用户设备的该双向认证。
结合第六方面, 在第二种可能的实现方式中, 在该安全参数包括双向主 密钥的情况下:
该接收单元,还用于接收该用户设备发送的由第一双向临时密钥生成的 第一消息完整性码, 该第一双向临时密钥由该用户设备根据该分流指示中的 该双向主密钥生成;
该接入单元, 具体用于:
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码由第二双向临时密钥生成, 该第二双向临时 密钥由该接收单元接收的该双向主密钥生成;
该接入点还包括发送单元, 用于当该接入单元确认与该用户设备认证成 功, 向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码, 用 于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该 接入点认证成功, 该第四消息完整性码由该用户设备根据该第一双向临时密 钥生成, 当该用户设备确认与该接入点认证成功时, 完成与该用户设备的该 双向认证。
结合第六方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 该接收单元, 还用于接收该用户设备发送的重关联请求, 该重关联请求 包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第 一消息完整性码;
该接入单元, 还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完 整性码; 根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整 性码, 该重关联响应由该发送单元向该用户设备发送;
该发送单元, 还用于向该用户设备发送该重关联响应, 该重关联响应包 括该第三消息完整性码, 用于该用户设备根据该重关联响应和该分流指示中 的该安全参数生成该第四消息完整性码。
结合第六方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该接收单元, 还用于接收该用户设备发送的认证请求, 该认证请求包括请求 者的随机数;
该发送单元, 还用于向该用户设备发送认证响应, 该认证响应包括认证 者的随机数;
该接入单元, 还用于根据该接收单元接收的该双向主密钥, 该认证者的 随机数和该请求者的随机数, 获取该第二双向临时密钥。。
结合第六方面或第六方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
第七方面, 提供了一种用户设备, 包括处理器、 存储器和网络接口; 该存储器用于存储程序;
该处理器执行该程序, 用于执行以下操作:
通过该网络接口接收基站发送的分流指示, 该分流指示用于指示该用户 设备接入接入点的接入方法, 该分流指示包括用于该用户设备和该接入点进 行双向认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线蜂窝 网络, 该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数, 与该接入点进行该双向认 证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分 流。
结合第七方面, 在第一种可能的实现方式中, 在该安全参数包括双向临 时密钥的情况下, 该处理器具体用于:
通过该网络接口向该接入点发送由该分流指示中的该双向临时密钥生 成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息 完整性码确定是否与该用户设备认证成功, 该第二消息完整性码由该接入点 根据由该基站获取的该双向临时密钥生成; 通过该网络接口接收该接入点在确认与该用户设备认证成功时发送的 第三消息完整性码, 该第三完整性码由该接入点根据由该基站获取的该双向 临时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码根据该分流指示中的该双向临时密钥生成; 当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
结合第七方面, 在第二种可能的实现方式中, 在该安全参数包括双向主 密钥的情况下, 该处理器具体用于:
通过该网络接口向该接入点发送由第一双向临时密钥生成的第一消息 完整性码, 用于该接入点根据该第一消息完整性码与第二消息完整性码确定 是否与该用户设备认证成功, 该第一双向临时密钥由分流指示中的该双向主 密钥获取, 该第二消息完整性码由该接入点根据第二双向临时密钥生成, 该 第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成; 通过该网络接口接收该接入点在确认与该用户设备认证成功时发送的 第三消息完整性码, 该第三完整性码由该接入点根据该第二双向临时密钥生 成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码根据该第一双向临时密钥生成;
当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
结合第七方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 该处理器还用于:
通过该网络接口向该接入点发送重关联请求,用于该接入点根据该重关 联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整 性码;
通过该网络接口接收该接入点发送的重关联响应;
根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整 性码。
结合第七方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该处理器还用于:
通过该网络接口向该接入点发送认证请求, 该认证请求包括请求者的随 机数;
通过该网络接口接收该接入点发送的认证响应, 该认证响应包括认证者 的随机数;
根据该分流指示中的该双向主密钥, 该认证者的随机数和该请求者的随 机数, 获取该第一双向临时密钥。
结合第七方面或第七方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
第八方面, 提供了一种基站, 包括处理器、 存储器和网络接口; 该存储器用于存储程序;
该处理器执行该程序, 用于执行以下操作:
获取用于用户设备和接入点进行双向认证的安全参数, 该基站属于无线 蜂窝网络, 该接入点属于无线局域网络;
通过该网络接口向该接入点发送该安全参数,该安全参数用于该接入点 和该用户设备进行双向认证, 以及向该用户设备发送分流指示, 该分流指示 用于指示该用户设备接入该接入点的接入方法, 该分流指示包括该安全参 数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第八方面, 在第一种可能的实现方式中, 该安全参数包括双向临时 密钥, 该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第八方面, 在第二种可能的实现方式中, 该安全参数包括双向主密 钥, 该双向主密钥用于该用户设备和该接入点确定双向临时密钥, 该双向临 时密钥用于该用户设备和该接入点进行该双向认证。
结合第八方面或第八方面的第一或二种可能的实现方式,在第三种可能 的实现方式中,该处理器还用于与该接入点协商确定用于该用户设备和该接 入点进行该双向认证的该安全参数, 或者, 自行确定用于该用户设备和该接 入点进行该双向认证的该安全参数。
第九方面, 提供了一种接入点, 包括处理器、 存储器和网络接口; 该存储器用于存储程序;
该处理器执行该程序, 用于执行以下操作:
通过该网络接口接收基站发送的安全参数, 该安全参数用于该接入点和 用户设备进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线局域 网络, 该安全参数进一步携带在由该基站发送至该用户设备的分流指示中, 该分流指示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数, 该接入点与该用户设备进行 该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域 网络分流。
结合第九方面, 在第一种可能的实现方式中, 在该安全参数包括双向临 时密钥的情况下, 该处理器具体用于:
通过该网络接口接收该用户设备发送的由该分流指示中的该双向临时 密钥生成的第一消息完整性码;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码根据获取的该双向临时密钥生成;
当确认与该用户设备认证成功时,通过该网络接口向该用户设备发送由 获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第 三消息完整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四 消息完整性码由该用户设备 居该分流指示中的该双向临时密钥生成, 当该 用户设备确认与该接入点认证成功时, 完成与该用户设备的该双向认证。
结合第九方面, 在第二种可能的实现方式中, 在该安全参数包括双向主 密钥的情况下, 该处理器具体用于:
通过该网络接口接收该用户设备发送的由第一双向临时密钥生成的第 一消息完整性码, 该第一双向临时密钥由该用户设备 ^据该分流指示中的该 双向主密钥生成;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码根据该第二双向临时密钥生成, 该第二双向 临时密钥由该基站发送的该双向主密钥获取;
当确认与该用户设备认证成功时,通过该网络接口向该用户设备发送由 该第二双向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三 消息完整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四消 息完整性码由该用户设备根据该第一双向临时密钥生成, 当该用户设备确认 与该接入点认证成功时, 完成与该用户设备的该双向认证。
结合第九方面的第一或二种可能的实现方式,在第三种可能的实现方式 中, 该处理器还用于:
通过该网络接口接收该用户设备发送的重关联请求,该重关联请求包括 该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消 息完整性码;
根据该重关联请求和该基站发送的该安全参数生成该第二消息完整性 码;
通过该网络接口向该用户设备发送重关联响应, 该重关联响应包括根据 获取的该安全参数和该重关联响应生成的该第三消息完整性码,用于该用户 设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整 性码。
结合第九方面的第二种可能的实现方式, 在第四种可能的实现方式中, 该处理器还用于:
通过该网络接口接收该用户设备发送的认证请求, 该认证请求包括请求 者的随机数;
通过该网络接口向该用户设备发送认证响应,该认证响应包括认证者的 随机数;
根据该基站发送的该双向主密钥, 该认证者的随机数和该请求者的随机 数, 获取该第二双向临时密钥。
结合第九方面或第九方面的第一至四种可能的实现方式中的任一种可 能的实现方式, 在第五种可能的实现方式中, 该安全参数由该基站与该接入 点协商后确定, 或由该基站自行确定。
基于上述技术方案,本发明实施例通过根据基站在分流指示中指示的接 入方法和包括的安全参数接入到 AP , 能够快速分流到 WLAN , 减少接入时 延, 从而能够提高用户体验。 附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对本发明实施例中 所需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅是本 发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的 前提下, 还可以根据这些附图获得其他的附图。
图 1是本发明实施例的一个应用场景图。 图 2是本发明一个实施例的分流方法的示意性流程图。
图 3是本发明实施例的重关联过程的示意性流程图。
图 4是本发明另一实施例的分流方法的示意性流程图。
图 5是本发明又一实施例的分流方法的示意性流程图。
图 6是本发明一个实施例的用户设备的示意性框图。
图 7是本发明一个实施例的基站的示意性框图。
图 8是本发明一个实施例的接入点的示意性框图。
图 9是本发明另一实施例的用户设备的结构示意图。
图 10是本发明另一实施例的基站的结构示意图。
图 11是本发明另一实施例的接入点的结构示意图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、 完整地描述, 显然, 所描述的实施例是本发明的一部分实施例, 而不 是全部实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创 造性劳动的前提下所获得的所有其他实施例, 都应属于本发明保护的范围。
图 1是可应用本发明实施例的一个场景图。 如图 1所示, 基站具备无线 蜂窝网络的接入能力或无线移动通信网络的接入能力,接入点( Access Point, AP )具备 WLAN接入能力。 处于基站连接下的 UE, 若同时在 WLAN的覆 盖下,基于负载、测量等因素,可能需要分流到 WLAN, 以緩解网络的拥塞。
应理解, 上述无线蜂窝网络可以为以下任意一种通信***, 例如: 全球 移动通讯 ( Global System of Mobile communication, GSM ) ***、 码分多址 ( Code Division Multiple Access, CDMA ) ***、 宽带码分多址( Wideband Code Division Multiple Access, WCDMA )***、通用分组无线业务 ( General Packet Radio Service, GPRS )、 长期演进( Long Term Evolution, LTE )***、 LTE频分双工( Frequency Division Duplex, FDD )***、 LTE 时分双工( Time Division Duplex , TDD )、 通用移动通信*** ( Universal Mobile Telecommunication System , UMTS )、 全球互联微波接入 ( Worldwide Interoperability for Microwave Access , WiMAX )通信***等。
还应理解, 在本发明实施例中, UE可称之为终端(Terminal ), 移动台
( Mobile Station, MS )、 移动终端 ( Mobile Terminal )等, 该用户设备可以 经无线接入网( Radio Access Network , RAN )与一个或多个核心网进行通信, 例如, UE可以是移动电话(或称为"蜂窝电话")、具有移动终端的计算机等, 例如, 用户设备还可以是便携式、 袖珍式、 手持式、 计算机内置的或者车载 的移动装置, 它们与无线接入网交换语音和 /或数据。 在本发明实施例中, 基 站可以是 GSM或 CDMA中的基站( Base Transceiver Station, BTS ), 也可 以是 WCDMA 中的基站 (NodeB , NB ), 还可以是 LTE 中的演进型基站 ( Evolutional Node B, ENB或 e-NodeB ), 本发明并不限定。
为描述方便, 下述实施例将以基站和 UE为例进行说明。
为了使得下面对分流方法的描述更加清楚和更容易理解, 首先对该 方法中涉及到的一些概念说明如下:
安全认证: 接入认证是一种 WLAN网络安全性的解决方案。 WLAN为 防止非法用户接入, UE在接入 AP前需要进行安全认证。 安全认证提供了 WLAN的控制接入能力。 如果认证通过, AP会允许 UE连接 WLAN, 否则 不允许 UE连接该 WLAN。
关联: 关联(association )过程紧接在认证过程之后。 关联用于建立 UE 和 AP之间的映射关系。 一个 UE只能与一个 AP关联。 当 UE从一个 AP移 动到另一个 AP时, 需要进行重关联( re-association )。
PMK ( Pairwise Master Key, 双向主密钥): 申请者(Supplicant ) 与认 证者 ( Authenticator )之间进行双向认证的密钥来源。 在本申请中, 申请者 可以理解为 UE, 认证者可以理解为 AP。
密钥结构:
在认证过程中, 密钥结构为三层, 分别是 PMK-RO, PMK-R1 , PTK。
PMK-R0: 为第一层密钥, 由 MSK(master session key, 主会话密钥)推演 出来并由 PMK-R0持有者保存, 该持有者可以为 R0KH和 S0KH。 R0KH和 S0KH下文会详述。
PMK-R1:为第二层密钥,由 S0KH和 R0KH共同推演出来,并由 PMK-R1 持有者保存,该持有者可以为 R1KH和 S1KH。 R1KH和 S1KH下文会详述。
PTK ( Pairwise Transient Key, 双向临时密钥): 为第三层密钥, 由 S1KH 和 R1KH共同推演出来。 换句话说, PTK是经由 PMK生成的密钥, 用于加 密和完整性验证, 在三层密钥结构中, PMK可以为 PMK-R0或 PMK-R1。 本申请中, PTK可以直接用于 UE和 AP间的双向认证。 ROKH和 R1KH是认证者的密钥管理实体。 PMK-R0和 PMK-R1的计算 由 R0KH控制。 PTK的计算由 R1KH控制。 R0KH-ID和 R1KH-ID分别为 R0KH 和 R1KH 的标识符, R0KH-ID 可以为认证者的 NAS ( non-access stratum, 非接入层) ID, R1KH-ID 可以为认证者的 MAC ( media access control, 媒体接入控制)地址。 S0KH和 S1KH是申请者的密钥管理实体, 功能分别与 R0KH、R1KH类似。 S0KH-ID和 S1KH-ID分别为 S0KH和 S1KH 的标识符, 都可以为申请者的 MAC地址。
MIC ( message integrity code, 消息完整性校验码): 针对一组需要保护 的数据计算出的散列值, 用来防止数据遭墓改。
图 2示出了根据本发明实施例的分流方法 200的示意性流程图。该方法
200从 UE的角度进行描述, 包括:
S210, 用户设备接收基站发送的分流指示, 该分流指示用于指示该用户 设备接入接入点的接入方法, 该分流指示包括用于该用户设备和该接入点进 行双向认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线蜂窝 网络, 该安全参数进一步由该基站发送至该接入点。
S220, 根据该基站向该用户设备发送的该安全参数, 该用户设备与该接 入点进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该 无线局域网络分流。
在本发明实施例中, 在 UE需要分流到 WLAN时,基站向 UE发送分流 指示, 指示 UE接入 WLAN的 AP使用的接入方法和安全参数。 此外, 基站 也会向 AP发送上述安全参数。 换句话说, 通过基站分别向 UE和 AP发送 用于 UE接入 AP的安全参数, 避免了 UE和 AP通过 802. lx认证过程和 4 次握手过程协商安全参数所造成的时延, 可以保证 UE快速分流至 AP。 在 现有技术中, 802.1x认证过程和 4次握手过程用于 UE为了接入 AP, 与 AP 交互协商获取用上述安全参数, 上述过程包括 UE经由认证服务器获取中间 参数并将该中间参数发送给 AP, 随后 UE和 AP再各自生成最终的用于 UE 接入的安全参数, 时延较大。
因此, 本发明实施例的分流方法, 根据基站在分流指示中指示的接入方 法和包括的安全参数接入到 AP, 能够快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
可选的, 在本发明的一个实施例中, 基站在分流指示中指示 UE接入到 AP使用的接入方法, 可以通过隐式或显式的方式指示。 当采用隐式方式时, 根据获取的安全参数, UE即能确定根据何种接入方式接入 AP, 并使用该安 全参数完成双向认证。 当采用显式方式时, UE根据指示的接入方式确定通 过何种方式接入 AP, 并使用相应的安全参数完成双向认证。
下面将详细描述 UE根据分流指示分流至无线局域网的不同实现方式。 可选地, 在本发明的一个实施例中, 分流指示采用隐式方式指示分流方 法。 即, 该分流指示包含上述安全参数, 但不包含具体的接入方法, 该安全 参数可用于指示该 UE接入上述 AP的接入方法。 例如, 该 UE可以直接根 据该安全参数, 与 AP进行双向认证并接入到该 AP。 上述隐式的指示方式, 可以节约 UE和基站间的空口开销, 在不增加分流指示中的信元的前提下, UE自行通过安全参数确定用何种方式接入 AP, 筒化了基站的配置。
可选地, 在本发明的另一个实施例中, 该分流指示采用显式方式指示分 流方法。 即, 该分流指示包括接入方法和安全参数, 该接入方法为该 UE接 入到该 AP的接入方法, 该安全参数为该接入方法对应的安全参数, 用于该 UE和该 AP进行双向认证。 在本实施例的一种实现方式中, 在分流指示中 可以采用比特位图( bit map )指示接入方法。 例如, 可以使用一个比特( bit ) 位指示具体的接入方法, 当该比特位的数值为 1时, 指示 UE使用分流指示 中包含的安全参数接入 AP, 在这种情况下基站发送的分流指示中要同时包 含安全参数。 当该比特位的数值为 0时, 指示 UE通过既定的接入方法接入 AP。 例如指示 UE采用并发对等认证 ( Simultaneous authentication of equals, SAE )的接入方法接入 AP, 或采用快速基本服务集( Base Service Set, BSS ) 切换(Fast BSS Transition, FT ) 的接入方法接入 AP。 SAE 的接入方法是 UE接入 AP时, 不需要通过认证服务器的认证方法。 其主要过程概述为: UE和 AP分别向对端提交命令(commit ), 并在接收到对端发送的 commit 后回复确认( confirm )消息来确认对端, UE和 AP分别产生 PMK ,经由 PMK 生成 PTK, 从而实现双向认证。 在采用 SAE的接入方法时, 分流指示中可 以不包含安全参数。 FT的接入方式下文会详细描述, 此处不再赘述。
上述显式的指示方式, UE和基站间可以预先确定代表不同接入方式的 数值或表现形式, 从而可以通知 UE具体是通过哪种接入方式接入 AP, 避 免 UE根据安全参数自行确定具体的接入方式, 筒化了 UE的配置。
在本发明实施例中, 基站发送给 UE的分流指示中包含的安全参数可以 由基站与 AP协商后确定; 也可以由基站自行确定, UE可以直接根据从基 站获取的安全参数接入到 AP, 减少了接入过程中获取安全参数的时间, 从 而能够减少接入时延。 例如, 基于基站和 AP协商确定安全参数, 可以为基 站向 AP发送第一安全参数, 当 AP确定该第一安全参数可行时, AP接收该 安全参数并应用于与 UE的双向认证过程中。 当 AP确定该第一安全参数不 可行时, AP向基站反馈上述情况。 此时, 基站再次向 AP发送更新后的第 二安全参数, 以此类推。 又如, 基于基站自行确定的安全参数, 基站可以直 接分别将该安全参数发送给 UE和 AP以便直接应用于 AP与 UE的双向认证 过程中。
在本发明实施例中, 基站发送给 UE的安全参数可以包括各种不同的参 数, 相应地, 根据该安全参数, 该 UE与该 AP进行该双向认证的具体实现 方式也有所差别, 以下分别进行具体描述。
可选的, 在一种实现方式中, 该安全参数包括 PTK。
在这种情况下,根据该基站向该 UE发送的该安全参数, 该 UE与该 ΑΡ 进行双向认证, 包括:
该用户设备向该接入点发送由该分流指示中的该双向临时密钥生成的 第一消息完整性码( Message Integrity Code, MIC ), 用于该接入点根据该第 一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功, 该第 二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功时, 该用户设备接收该接入点发 送的第三消息完整性码, 该第三完整性码由该接入点根据由该基站获取的该 双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与 该接入点认证成功, 该第四消息完整性码由该用户设备根据该分流指示中的 该双向临时密钥生成;
当该用户设备确认与该接入点认证成功时, 该用户设备完成与该接入点 的该双向认证。
在本实施例中, 基站分别发送 PTK给 UE和 AP。 例如, 基站与 AP协 商确定 PTK后, AP可以获取该 PTK, 且基站在发送给 UE的分流指示中包 含该 PTK。 UE在接收到包含 PTK的分流指示时, 根据基站发送的 PTK直 接与 AP进行双向认证过程以便接入到 AP。 例如, UE和 AP之间通过重关 联(Re-association )过程, 分别发送消息完整性码给对端以进行双向认证。 下面结合图 3所示的例子对重关联过程进行详细说明:
301 , UE发送重关联请求( Re-association Request )给 AP, 该重关联请 求包括根据基站向 UE发送的 PTK和该 Re-association Request生成的 MIC (表示为第一消息完整性码)。
302, AP接收到 Re-association Request后, 使用自身保存的 PTK (该 PTK 由 AP 与基站协商获得或者由基站自行确定并发送给 AP )和收到的 Re-association Request生成 MIC (表示为第二消息完整性码 ),与收到的 MIC 进行比较, 如果相同, 则认为认证成功, 并发送重关联响应 (Re-association Response )给 UE, 该重关联相应包括根据 AP保存的 PTK和 Re-association Response生成的 MIC (表示为第三消息完整性码)。
303 , UE接收到 Re-association Response后, 使用基站向 UE发送的的 PTK和收到的 Re-association Response生成 MIC(表示为第四消息完整性码 ), 与收到的 MIC进行比较, 如果相同, 则双向认证成功, 从而 UE与 AP之间 可以进行正常的数据传输。
可选地, 在另一种实现方式中, 该安全参数包括双向主密钥 (Pairwise Master Key, PMK )。
在这种情况下,根据该基站向该 UE发送的该安全参数, 该 UE与该 AP 进行该双向认证, 包括:
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥; 该用户设备向该接入点发送由该第一双向临时密钥生成的第一消息完 整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是 否与该用户设备认证成功, 该第二消息完整性码由该接入点根据第二双向临 时密钥生成, 该第二双向临时密钥由该接入点根据由该基站获取的该双向主 密钥生成;
当该接入点确认与该用户设备认证成功时, 该用户设备接收该接入点发 送的第三消息完整性码, 该第三完整性码由该接入点根据该第二双向临时密 钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与 该接入点认证成功, 该第四消息完整性码由该用户设备根据该第一双向临时 密钥生成; 当该用户设备确认与该接入点认证成功时, 该用户设备完成与该接入点 的该双向认证。
本实现方式与前一实现方式的区别在于, 基站发送给 UE和 AP 的是 PMK。 由于 UE与 AP进行双向认证最终需要的是 PTK, 因此, UE和 AP 要先根据获取的 PMK分别生成 PTK, 再根据 PTK进行双向认证以接入到 AP。
具体地, UE可以根据 PMK、 认证者的随机数 ( Authenticator nonce, ANonce )和请求者的随机数 ( Supplicant nonce, SNonce )确定 PTK。 ANonce 和 SNonce可以由 UE和 AP通过认证 ( authentication )过程确定, 也可以由 UE通过基站获取。 例如, 基站可以在发送给 UE的安全参数中包含 ANonce 和 SNonce。又如,当基站向 UE发送的安全参数中不包含 ANonce和 SNonce 时 , UE和 AP可以通过 authentication过程确定上述 ANonce和 SNonce。 在 后一种方式中, UE接收到包含 PMK的分流指示后, 先发起 authentication 过程, 在向 AP发送的认证请求( authentication request )中携带 SNonce, AP 在向 UE发送的认证响应 ( authentication response ) 中携带 ANonce。 这样, UE和 AP都能根据 PMK、 ANonce和 SNonce自行确定 PTK。在确定了 ΡΤΚ 后, UE和 ΑΡ再根据 ΡΤΚ进行双向认证过程。 该双向认证过程可以参考上 文描述的重关联过程, 此处不再赘述。
可以理解, 因为基站可以确定 ANonce和 SNonce, 故基站可以直接向 UE或 AP中的一方发送 PTK, 向另一方发送 PMK。 例如, 基站可以向 UE 发送 PMK, 向 AP发送 PTK。 此时, UE可以根据 ΡΜΚ和获取的 ANonce、 SNonce自行确定 PTK。 或者, 基站可以向 UE发送 ΡΤΚ, 向 ΑΡ发送 ΡΜΚ。 此时, ΑΡ同样可以根据 ΡΜΚ和获取的 ANonce、 SNonce 自行确定 PTK, 此处不再赘述。
可选地, 在另一种实现方式中, 该安全参数包括:
MSK、 PMK-R0、 PMK-R1中的至少一个; 和
ROKH-ID, R1KH-ID中的至少一个。
该实现方式为 FT的接入方式, 在这种情况下, 根据该基站向该用户设 备发送的该安全参数, 该用户设备与该接入点进行该双向认证, 包括:
该用户设备根据该基站发送的该 MSK、 PMK-R0、 PMK-R1中的至少一 个, 和, 该 R0KH-ID、 R1KH-ID中的至少一个, 生成双向临时密钥; 才艮据该双向临时密钥, 该用户设备与该接入点进行该双向认证。
可选地, 若 UE接入的 AP对应的 R0KH-ID和 R1KH-ID总是固定的, 例如, UE在每次分流时, 都接入到同一个 AP, 当 UE已经在前次的分流过 程中获取了该 AP的 R0KH-ID和 Rl KH-ID时, 本次分流指示中的安全参数 可以不包含 R0KH-ID和 R1KH-ID。 又如, 当 R0KH-ID和 R1KH-ID的值相 同时, 该安全参数可以择一携带 R0KH-ID或 R1KH-ID。
可选地, 该安全参数可以包括 PTK、 PMK-R1、 PMK-R0中的任意一个。 例如, 用户设备可以根据 MSK结合 R0KH-ID推演得到 PMK-R0, 或根据 PMK-R0结合 R1KH-ID推演得到 PMK-R1 , 或根据 PMK-R1结合 ANonce 和 SNonce推演得到 PTK。
可选地, 该安全参数也可以包括 ANonce和 SNonce, 此时可以不通过 UE与 AP间的 authentication过程直接确定认证所需的 PTK。 当该安全参数 不包括 ANonce或 SNonce时, UE和 AP可以通过认证 ( authentication )过 程确定 ANonce和 SNonce。 上文对如何确定 ANonce和 SNonce已有详述, 在此不再赘述。
在本发明的各个实施例中,该安全参数还可以包括加密算法,也就是说, UE可以从基站获取加密算法, 这样, 在接入 AP的过程中就不需要再确定 加密算法。 该加密算法可用于 UE和 AP通信时交互信息的加解密, 加密算 法的具体构成可参见现有技术, 此次不再限定。
在本发明实施例中, 可选地, 在 UE 自基站接入到上述 AP (此处用第 一 AP表示)后, 若要切换到第二 AP, 则 UE可以根据从基站获得的安全参 数推演得到接入到第二 AP所需的安全参数。 相应地, 第二 AP可以从第一 AP获取 UE接入到第二 AP所需的安全参数, 或, 第一 AP推演得出第二 AP所需的安全参数并发送给第二 AP。 因此, UE和第二 AP可以通过获取 的安全参数快速完成双向认证过程, 以便 UE从第一 AP快速地切换到第二 AP。
本发明实施例的分流方法,根据基站在分流指示中包括的安全参数接入 到 AP, 能够快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
以上从 UE的角度详细描述了本发明实施例的分流方法, 下面从基站的 角度描述本发明实施例的分流方法。
图 4示出了根据本发明另一实施例的分流方法 400的示意性流程图。该 方法 400从基站的角度进行描述, 包括:
S410, 基站获取用于用户设备和接入点进行双向认证的安全参数, 该基 站属于无线蜂窝网络, 该接入点属于无线局域网络。
S420, 该基站向该接入点发送该安全参数, 该安全参数用于该接入点和 该用户设备进行双向认证。
S430, 该基站向该用户设备发送分流指示, 该分流指示用于指示该用户 设备接入该接入点的接入方法, 该分流指示包括该安全参数, 用于该用户设 备根据接收到的该安全参数, 与该接入点进行该双向认证, 以便该用户设备 根据该接入方法接入该接入点并向该无线局域网络分流。
在本发明实施例中, 在需要将 UE分流到 WLAN时,基站向 UE发送分 流指示, 指示 UE接入 WLAN的 AP的接入方法和用于 UE和 AP进行双向 认证的安全参数。 并且, 基站也会向 AP发送上述安全参数。 UE根据基站 指示的接入方法和安全参数接入到 AP。 这样,基站通过分别向 UE和 AP发 送用于 UE接入 AP的安全参数,避免了 UE和 AP通过 802. lx认证过程和 4 次握手过程协商安全参数所造成的时延, 可以保证 UE快速分流至 WLAN, 减少接入时延, 从而能够提高用户体验。
在本发明实施例中, 可选地, 基站获取用于用户设备和接入点进行双向 认证的安全参数, 包括:
该基站与该接入点协商确定用于该用户设备和该接入点进行该双向认 证的该安全参数; 或
该基站自行确定用于该用户设备和该接入点进行该双向认证的该安全 参数。
在本发明实施例中, 基站发送给 UE的分流指示中包含的安全参数可以 由基站与 AP协商后确定。可选地,也可以由基站自行确定并同时发送给 AP。 这样, UE可以直接根据从基站获取的安全参数接入到 AP, 减少了接入过程 中获取安全参数的时间, 从而能够减少接入时延。
可选的, 在本发明实施例中, 基站在分流指示中指示 UE接入到 AP使 用的接入方法, 可以通过隐式或显式的方式指示。 当采用隐式方式时, 根据 获取的安全参数, UE即能确定根据何种接入方式接入 AP, 并使用该安全参 数完成双向认证。 当采用显式方式时, UE根据指示的接入方式确定通过何 种方式接入 AP, 并使用相应的安全参数完成双向认证。 可选地, 在本发明的一个实施例中, 分流指示采用隐式方式指示分流方 法。 即, 该分流指示包含上述安全参数, 但不包含具体的接入方法, 该安全 参数可用于指示该 UE接入上述 AP的接入方法。 例如, 该 UE可以直接根 据该安全参数, 与 AP进行双向认证并接入到该 AP。 上述隐式的指示方式, 可以节约 UE和基站间的空口开销, 在不增加分流指示中的信元的前提下, UE自行通过安全参数确定用何种方式接入 AP, 筒化了基站的配置。
可选地, 在本发明的另一个实施例中, 该分流指示采用显式方式指示分 流方法。 即, 该分流指示包括接入方法和该安全参数, 该接入方法为该 UE 接入到该 AP的接入方法, 该安全参数是该接入方法对应的安全参数, 用于 该 UE和该 AP进行双向认证。 具体的实现方式可以参考 UE为执行主体的 方法实施例的相应描述, 在此不再赘述。
上述显式的指示方式, UE和基站间可以预先确定代表不同接入方式的 数值或表现形式, 从而可以通知 UE具体是通过哪种接入方式接入 AP, 避 免 UE根据安全参数自行确定具体的接入方式, 筒化了 UE的配置。
在本发明实施例中, 可选地, 该安全参数包括 PTK, 该 PTK用于该 UE 和该 AP进行双向认证。
在本实施例中, 基站分别发送 PTK给 UE和 AP。 例如, 基站与 AP协 商确定 PTK后, AP可以获取该 PTK, 且基站在发送给 UE的分流指示中包 含该 PTK。 UE在接收到包含 PTK的分流指示时, 根据基站发送的 PTK接 入到 AP。 由于 UE从基站获取的是 PTK, 因此, UE可以直接与 AP进行双 向认证过程。 具体双向认证过程可参考 UE为执行主体的方法实施例, 在此 不再赘述。
在本发明实施例中, 可选地, 该安全参数包括 PMK, 该 PMK用于该 UE和该 AP确定 PTK, 该 PTK用于该 UE和该 AP进行双向认证。 由于 UE 与 AP进行双向认证最终需要的是 PTK,因此, UE要先根据 PMK生成 PTK。 在本实施例中, UE在接收到包含 ΡΜΚ的分流指示时, 先根据 ΡΜΚ确定 ΡΤΚ, 再根据 ΡΤΚ进行双向认证过程。
在本发明实施例中, 可选地, 该安全参数包括:
MSK、 PMK-R0、 PMK-R1中的至少一个; 和
R0KH-ID、 R1KH-ID中的至少一个。
该安全参数用于该用户设备和该接入点确定双向临时密钥, 该双向临时 密钥用于该用户设备和该接入点进行该双向认证。
在本发明的各个实施例中, 该安全参数还可以包括加密算法。 UE 可以 从基站获取加密算法,这样,在接入 AP的过程中就不需要再确定加密算法。
应理解, 在本发明实施例中, UE侧描述的 UE、 基站和 AP相互之间的 交互及相关特性、 功能等与基站侧的描述相应, 为了筒洁, 在此不再赘述。
本发明实施例的分流方法, 通过向 UE发送包括安全参数的分流指示, 能够使 UE快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
以上分别从 UE和基站的角度描述了本发明实施例的分流方法, 下面从 AP的角度描述本发明实施例的分流方法。
图 5示出了根据本发明又一实施例的分流方法 500的示意性流程图。该 方法 500从 AP的角度进行描述, 包括:
S510, 接入点接收基站发送的安全参数, 该安全参数用于该接入点和用 户设备进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线局域网 络, 该安全参数进一步携带在由该基站发送至该用户设备的分流指示中, 该 分流指示用于指示该用户设备接入该接入点的接入方法。
S520, 根据该基站向该接入点发送的该安全参数, 该接入点与该用户设 备进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无 线局域网络分流。
在本发明实施例中, AP接收基站发送的安全参数。 在 UE从基站分流 到 WLAN时,基站将该安全参数携带在发送给 UE的分流指示中,发给 UE。 这样, AP与 UE可以根据该安全参数进行双向认证, 以使 UE接入 AP从而 实现向 WLAN的分流。这样能够避免了 UE和 AP通过 802.1x认证过程和 4 次握手过程协商安全参数所造成的时延, 可以保证 UE快速分流至 AP。
因此, 本发明实施例的分流方法, 通过根据基站发送的用于 AP和 UE 进行双向认证的安全参数与 UE 进行双向认证, 能够使 UE 快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
在本发明一个实施例中, 可选地, 该安全参数包括 PTK。
在这种情况下, 根据该基站向该接入点发送的该安全参数, 该接入点与 该用户设备进行该双向认证, 包括:
该接入点接收该用户设备发送的由该分流指示中的该双向临时密钥生 成的第一消息完整性码; 该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该 用户设备认证成功, 该第二消息完整性码由该接入点根据获取的该双向临时 密钥生成;
当该接入点确认与该用户设备认证成功时, 向该用户设备发送由获取的 该双向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三消息 完整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四消息完 整性码由该用户设备根据该分流指示中的该双向临时密钥生成, 当该用户设 备确认与该接入点认证成功时, 该接入点完成与该用户设备的该双向认证。
在本发明另一实施例中, 可选地, 该安全参数包括 PMK。
在这种情况下, 根据该基站向该接入点发送的该安全参数, 该接入点与 该用户设备进行该双向认证, 包括:
该接入点接收该用户设备发送的由第一双向临时密钥生成的第一消息 完整性码, 该第一双向临时密钥由该用户设备 ^据该分流指示中的该双向主 密钥生成;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥; 该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该 用户设备认证成功, 该第二消息完整性码由该接入点根据该第二双向临时密 钥生成;
当该接入点确认与该用户设备认证成功时, 向该用户设备发送由该第二 双向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三消息完 整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四消息完整 性码由该用户设备根据该第一双向临时密钥生成, 当该用户设备确认与该接 入点认证成功时, 该接入点完成与该用户设备的该双向认证。
可选地, 在本发明的一个实施例中, 该方法还包括:
该接入点接收该用户设备发送的认证请求, 该认证请求包括请求者的随 机数;
该接入点向该用户设备发送认证响应, 该认证响应包括认证者的随机 数;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥, 包 括:
该接入点根据该基站发送的该双向主密钥, 该认证者的随机数和该请求 者的随机数, 获取该第二双向临时密钥。
在前述实施例中, 双向认证可以通过重关联过程实现, 具体实现方式可 以参考 UE侧的相应描述, 在此不再赘述。
可选地, 在本发明的另一个实施例中, 该安全参数包括:
MSK、 PMK-R0、 PMK-R1中的至少一个; 和
ROKH-ID, R1KH-ID中的至少一个。
在这种情况下, 根据该基站向该接入点发送的该安全参数, 该接入点与 该用户设备进行该双向认证, 包括:
该接入点根据该基站发送的该 MSK、 PMK-R0、 PMK-R1中的至少一个, 和, 该 R0KH-ID、 R1KH-ID中的至少一个, 生成双向临时密钥;
根据该双向临时密钥, 该接入点与该用户设备进行该双向认证。
在本发明的各个实施例中, 该安全参数还可以包括加密算法。 这样, 在 UE接入到 AP的过程中就不需要再确定加密算法。
应理解, 在本发明实施例中, UE侧描述的 UE、 基站和 AP相互之间的 交互及相关特性、 功能等与 AP侧的描述相应, 为了筒洁, 在此不再赘述。
本发明实施例的分流方法, 通过根据基站发送的安全参数与 UE进行双 向认证, 能够使 UE快速分流到 WLAN, 减少接入时延, 从而能够提高用户 体验。
应理解, 在本发明的各种实施例中, 上述各过程的序号的大小并不意味 着执行顺序的先后, 各过程的执行顺序应以其功能和内在逻辑确定, 而不应 对本发明实施例的实施过程构成任何限定。
上文中结合图 1至图 5, 详细描述了根据本发明实施例的分流方法, 下 面将结合图 6至图 11 , 描述根据本发明实施例的用户设备、 基站和接入点。
图 6示出了根据本发明实施例的用户设备 600的示意性框图。如图 6所 示, 该用户设备 600包括:
接收单元 610, 用于接收基站发送的分流指示, 该分流指示用于指示该 用户设备接入接入点的接入方法, 该分流指示包括用于该用户设备和该接入 点进行双向认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线 蜂窝网络, 该安全参数进一步由该基站发送至该接入点;
接入单元 620, 用于根据该接收单元 610接收的该安全参数, 与该接入 点进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无 线局域网络分流。
本发明实施例的用户设备,根据基站在分流指示中指示的接入方法和包 括的安全参数接入到 AP, 能够快速分流到 WLAN, 减少接入时延, 从而能 够提高用户体验。
可选的, 在本发明实施例中, 基站在分流指示中指示 UE接入到 AP使 用的接入方法, 可以通过隐式或显式的方式指示。 当采用隐式方式时, 根据 获取的安全参数, UE即能确定根据何种接入方式接入 AP, 并使用该安全参 数完成双向认证。 当采用显式方式时, UE根据指示的接入方式确定通过何 种方式接入 AP, 并使用相应的安全参数完成双向认证。
可选地, 在本发明的一个实施例中, 分流指示采用隐式方式指示分流方 法。 即, 该分流指示包含上述安全参数, 但不包含具体的接入方法, 该安全 参数可用于指示该 UE接入上述 AP的接入方法。 例如, 该 UE可以直接根 据该安全参数, 与 AP进行双向认证并接入到该 AP。 上述隐式的指示方式, 可以节约 UE和基站间的空口开销, 在不增加分流指示中的信元的前提下, UE自行通过安全参数确定用何种方式接入 AP, 筒化了基站的配置。
可选地, 在本发明的另一个实施例中, 该分流指示采用显式方式指示分 流方法。 即, 该分流指示包括接入方法和安全参数, 该接入方法为该 UE接 入到该 AP的接入方法, 该安全参数为该接入方法对应的安全参数, 用于该 UE和该 AP进行双向认证。 上述显式的指示方式, UE和基站间可以预先确 定代表不同接入方式的数值或表现形式, 从而可以通知 UE具体是通过哪种 接入方式接入 AP, 避免 UE根据安全参数自行确定具体的接入方式, 筒化 了 UE的配置。
在本发明实施例中, 可选地, 该安全参数由该基站与该接入点协商后确 定, 或由该基站自行确定。
可选的, 在一种实现方式中, 该安全参数包括双向临时密钥。
在该安全参数包括双向临时密钥的情况下:
该用户设备 600还包括:
发送单元 630, 用于向该接入点发送由该分流指示中的该双向临时密钥 生成的第一消息完整性码, 用于该接入点根据该第一消息完整性码与第二消 息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入 点根据由该基站获取的该双向临时密钥生成; 当该接入点确认与该用户设备认证成功, 该接收单元 610还用于接收该 接入点发送的第三消息完整性码, 该第三完整性码由该接入点根据由该基站 获取的该双向临时密钥生成;
该接入单元 620具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码由该分流指示中的该双向临时密钥生成, 当确 认与该接入点认证成功时, 完成与该接入点的该双向认证。
可选地, 在这种实现方式中,
该发送单元 630, 还用于向该接入点发送重关联请求, 用于该接入点根 据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码; 该接入单元 620, 还用于根据该分流指示中的该安全参数和该重关联请 求生成该第一消息完整性码;
该接收单元 610, 还用于接收该接入点发送的重关联响应;
该接入单元 620, 还用于根据该重关联响应和该分流指示中的该安全参 数生成该第四消息完整性码。
可选地, 在另一种实现方式中, 该安全参数包括双向主密钥。
在该安全参数包括双向主密钥的情况下:
该用户设备 600还包括:
发送单元 630, 用于向该接入点发送由该第一双向临时密钥生成的第一 消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码 确定是否与该用户设备认证成功, 该第一双向临时密钥根据该分流指示中的 该双向主密钥获取, 该第二消息完整性码由该接入点根据第二双向临时密钥 生成, 该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生 成;
当该接入点确认与该用户设备认证成功, 该接收单元 610还用于接收该 接入点发送的第三消息完整性码, 该第三完整性码由该接入点根据该第二双 向临时密钥生成;
该接入单元 620, 具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码由该第一双向临时密钥生成, 当确认与该接入 点认证成功时, 完成与该接入点的该双向认证。 可选地, 在这种实现方式中,
该发送单元 630, 还用于向该接入点发送重关联请求, 用于该接入点根 据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码; 该接入单元 620, 还用于根据该分流指示中的该安全参数和该重关联请 求生成该第一消息完整性码;
该接收单元 610, 还用于接收该接入点发送的重关联响应;
该接入单元 620, 还用于根据该重关联响应和该分流指示中的该安全参 数生成该第四消息完整性码。
可选地, 在这种实现方式中,
该发送单元 630, 还用于向该接入点发送认证请求, 该认证请求包括请 求者的随机数;
该接收单元 610, 还用于接收该接入点发送的认证响应, 该认证响应包 括认证者的随机数;
该接入单元 620 , 还用于根据该分流指示中的该双向主密钥, 该认证者 的随机数和该请求者的随机数, 获取该第一双向临时密钥。 根据本发明实施 例的用户设备 600可对应于根据本发明实施例的分流方法中的用户设备, 并 且用户设备 600中的各个单元的上述和其它操作和 /或功能分别为了实现图 1 至图 5中的各个方法的相应流程, 为了筒洁, 在此不再赘述。
本发明实施例的用户设备,根据基站在分流指示中包括的安全参数接入 到 AP, 能够快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
图 7示出了根据本发明实施例的基站 700的示意性框图。 如图 7所示, 该基站 700包括:
获取单元 710, 用于获取用于用户设备和接入点进行双向认证的安全参 数, 该基站属于无线蜂窝网络, 该接入点属于无线局域网络;
发送单元 720, 用于向该接入点发送该安全参数, 该安全参数用于该接 入点和该用户设备进行双向认证, 以及向该用户设备发送分流指示, 该分流 指示用于指示该用户设备接入该接入点的接入方法, 该分流指示包括该安全 参数, 用于该用户设备根据接收到的该安全参数, 与该接入点进行该双向认 证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分 流。
本发明实施例的基站, 通过向 UE发送指示 UE接入到 AP使用的接入 方法并包括安全参数的分流指示, 以使 UE根据该安全参数接入到该 AP, 能够使 UE快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
在本发明实施例中, 可选地, 该安全参数包括双向临时密钥, 该双向临 时密钥用于该用户设备和该接入点进行该双向认证。
在本发明实施例中, 可选地, 该安全参数包括双向主密钥, 该双向主密 钥用于该用户设备和该接入点确定双向临时密钥, 该双向临时密钥用于该用 户设备和该接入点进行该双向认证。
在本发明实施例中, 可选地, 该获取单元 710具体用于与该接入点协商 确定用于该用户设备和该接入点进行该双向认证的该安全参数, 或者, 自行 确定用于该用户设备和该接入点进行该双向认证的该安全参数。
根据本发明实施例的基站 700可对应于根据本发明实施例的分流方法中 的基站,并且基站 700中的各个单元的上述和其它操作和 /或功能分别为了实 现图 1至图 5中的各个方法的相应流程, 为了筒洁, 在此不再赘述。
本发明实施例的基站, 通过向 UE发送包括安全参数的分流指示, 能够 使 UE快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
图 8示出了根据本发明实施例的接入点 800的示意性框图。如图 8所示, 该接入点 800包括:
接收单元 810, 用于接收基站发送的安全参数, 该安全参数用于该接入 点和用户设备进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线 局域网络, 该安全参数进一步携带在由该基站发送至该用户设备的分流指示 中, 该分流指示用于指示该用户设备接入该接入点的接入方法;
接入单元 820, 用于根据该接收单元 810接收的该安全参数, 与该用户 设备进行该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该 无线局域网络分流。
本发明实施例的接入点, 通过根据基站发送的用于 AP和 UE进行双向 认证的安全参数与 UE进行双向认证, 能够使 UE快速分流到 WLAN, 减少 接入时延, 从而能够提高用户体验。
在本发明实施例中, 可选地, 该安全参数由该基站与该接入点协商后确 定, 或由该基站自行确定。
可选的, 在一种实现方式中, 该安全参数包括双向临时密钥。
在该安全参数包括双向临时密钥的情况下: 该接收单元 810, 还用于接收该用户设备发送的由该分流指示中的该双 向临时密钥生成的第一消息完整性码;
该接入单元 820, 具体用于根据该第一消息完整性码与第二消息完整性 码确定是否与该用户设备认证成功,该第二消息完整性码由该接收单元获取 的该双向临时密钥生成;
该接入点 800还包括发送单元 830 , 用于当该接入单元 820确认与该用 户设备认证成功, 向该用户设备发送由该接收单元 810获取的该双向临时密 钥生成的第三消息完整性码, 用于该用户设备根据该第三消息完整性码和第 四消息完整性码确定是否与该接入点认证成功, 该第四消息完整性码由该用 户设备根据该分流指示中的该双向临时密钥生成, 当该用户设备确认与该接 入点认证成功时, 完成与该用户设备的该双向认证。
可选地, 在这种实现方式中,
该接收单元 810, 还用于接收该用户设备发送的重关联请求, 该重关联 请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的 该第一消息完整性码;
该接入单元 820, 还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完 整性码;
根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整 性码, 该重关联响应由该发送单元向该用户设备发送;
该发送单元 830, 还用于向该用户设备发送该重关联响应, 该重关联响 应包括该第三消息完整性码, 用于该用户设备根据该重关联响应和该分流指 示中的该安全参数生成该第四消息完整性码。
可选地, 在另一种实现方式中, 该安全参数包括双向主密钥。
在该安全参数包括双向主密钥的情况下:
该接收单元 810, 还用于接收该用户设备发送的由第一双向临时密钥生 成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示 中的该双向主密钥生成;
该接入单元 820, 具体用于:
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码由第二双向临时密钥生成, 该第二双向临时 密钥由该接收单元接收的该双向主密钥生成;
该接入点 800还包括发送单元 830 , 用于当该接入单元 820确认与该用 户设备认证成功, 向该用户设备发送由该第二双向临时密钥生成的第三消息 完整性码, 用于该用户设备根据该第三消息完整性码和第四消息完整性码确 定是否与该接入点认证成功, 该第四消息完整性码由该用户设备根据该第一 双向临时密钥生成, 当该用户设备确认与该接入点认证成功时, 完成与该用 户设备的该双向认证。
可选地, 在这种实现方式中,
该接收单元 810, 还用于接收该用户设备发送的重关联请求, 该重关联 请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的 该第一消息完整性码;
该接入单元 820, 还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完 整性码;
根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整 性码, 该重关联响应由该发送单元向该用户设备发送;
该发送单元 830, 还用于向该用户设备发送该重关联响应, 该重关联响 应包括第三消息完整性码, 用于该用户设备根据该重关联响应和该分流指示 中的该安全参数生成该第四消息完整性码。
可选地, 在这种实现方式中,
该接收单元 810, 还用于接收该用户设备发送的认证请求, 该认证请求 包括请求者的随机数;
该发送单元 830 , 还用于向该用户设备发送认证响应, 该认证响应包括 认证者的随机数;
该接入单元 820, 还用于根据该接收单元接收的该双向主密钥, 该认证 者的随机数和该请求者的随机数, 获取该第二双向临时密钥。
根据本发明实施例的接入点 800可对应于根据本发明实施例的分流方法 中的接入点,并且接入点 800中的各个单元的上述和其它操作和 /或功能分别 为了实现图 1至图 5中的各个方法的相应流程, 为了筒洁, 在此不再赘述。
本发明实施例的 AP, 通过根据基站发送的安全参数与 UE进行双向认 证,能够使 UE快速分流到 WLAN,减少接入时延,从而能够提高用户体验。 图 9示出了本发明的又一实施例提供的用户设备的结构, 包括至少一个 处理器 902 (例如 CPU ), 至少一个网络接口 905或者其他通信接口, 存储 器 906, 和至少一个通信总线 903 , 用于实现这些装置之间的连接通信。 处 器 906可能包含高速随机存取存储器(RAM: Random Access Memory ), 也 可能还包括非不稳定的存储器( non-volatile memory ), 例如至少一个磁盘存 储器。 通过至少一个网络接口 905 (可以是有线或者无线) 实现与至少一个 其他网元之间的通信连接。
在一些实施方式中,存储器 906存储了程序 9061 ,处理器 902执行程序 9061 , 用于执行以下操作:
通过网络接口接收基站发送的分流指示, 该分流指示用于指示该用户设 备接入接入点的接入方法, 该分流指示包括用于该用户设备和该接入点进行 双向认证的安全参数, 该接入点属于无线局域网络, 该基站属于无线蜂窝网 络, 该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数, 与该接入点进行该双向认 证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分 流。
可选地,在该安全参数包括双向临时密钥的情况下,该处理器具体用于: 通过网络接口向该接入点发送由该分流指示中的该双向临时密钥生成 的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完 整性码确定是否与该用户设备认证成功, 该第二消息完整性码由该接入点根 据由该基站获取的该双向临时密钥生成;
通过网络接口接收该接入点在确认与该用户设备认证成功时发送的第 三消息完整性码, 该第三完整性码由该接入点根据由该基站获取的该双向临 时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码根据该分流指示中的该双向临时密钥生成; 当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
可选地, 在该安全参数包括双向主密钥的情况下, 该处理器具体用于: 通过网络接口向该接入点发送由第一双向临时密钥生成的第一消息完 整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是 否与该用户设备认证成功, 该第一双向临时密钥由分流指示中的该双向主密 钥获取, 该第二消息完整性码由该接入点根据第二双向临时密钥生成, 该第 二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
通过网络接口接收该接入点在确认与该用户设备认证成功时发送的第 三消息完整性码, 该第三完整性码由该接入点根据该第二双向临时密钥生 成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认 证成功, 该第四消息完整性码根据该第一双向临时密钥生成;
当确认与该接入点认证成功时, 完成与该接入点的该双向认证。
可选地, 该处理器还用于:
通过网络接口向该接入点发送重关联请求, 用于该接入点根据该重关联 请求和经由该基站获取的该安全参数生成该第二消息完整性码;
根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整 性码;
通过网络接口接收该接入点发送的重关联响应;
根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整 性码。
可选地, 该处理器还用于:
通过网络接口向该接入点发送认证请求, 该认证请求包括请求者的随机 数;
通过网络接口接收该接入点发送的认证响应,该认证响应包括认证者的 随机数;
根据该分流指示中的该双向主密钥, 该认证者的随机数和该请求者的随 机数, 获取该第一双向临时密钥。
可选地, 该安全参数由该基站与该接入点协商后确定, 或由该基站自行 确定。
从本发明实施例提供的以上技术方案可以看出,本发明实施例通过根据 基站在分流指示中指示的接入方法和包括的安全参数接入到 AP, 能够快速 分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
图 10示出了本发明的又一实施例提供的基站的结构, 包括至少一个处 理器 1002 (例如 CPU ), 至少一个网络接口 1005或者其他通信接口, 存储 器 1006, 和至少一个通信总线 1003, 用于实现这些装置之间的连接通信。 处理器 1002用于执行存储器 1006中存储的可执行模块, 例如计算机程序。 存储器 1006可能包含高速随机存取存储器( RAM: Random Access Memory ), 也可能还包括非不稳定的存储器( non- volatile memory ), 例如至少一个磁盘 存储器。 通过至少一个网络接口 1005 (可以是有线或者无线)实现与至少一 个其他网元之间的通信连接。
在一些实施方式中, 存储器 1006存储了程序 10061 , 处理器 1002执行 程序 10061 , 用于执行以下操作:
获取用于用户设备和接入点进行双向认证的安全参数, 该基站属于无线 蜂窝网络, 该接入点属于无线局域网络;
通过网络接口向该接入点发送该安全参数, 该安全参数用于该接入点和 该用户设备进行双向认证, 以及向该用户设备发送分流指示, 该分流指示用 于指示该用户设备接入该接入点的接入方法, 该分流指示包括该安全参数, 用于该用户设备根据接收到的该安全参数, 与该接入点进行该双向认证, 以 便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
可选地, 该安全参数包括双向临时密钥, 该双向临时密钥用于该用户设 备和该接入点进行该双向认证。
可选地, 该安全参数包括双向主密钥, 该双向主密钥用于该用户设备和 该接入点确定双向临时密钥, 该双向临时密钥用于该用户设备和该接入点进 行该双向认证。
可选地, 该处理器还用于与该接入点协商确定用于该用户设备和该接入 点进行该双向认证的该安全参数, 或者, 自行确定用于该用户设备和该接入 点进行该双向认证的该安全参数。
从本发明实施例提供的以上技术方案可以看出, 本发明实施例通过向 UE发送指示 UE接入到 AP的接入方法并包括安全参数的分流指示, 以使 UE根据该安全参数接入到该 AP, 能够使 UE快速分流到 WLAN, 减少接入 时延, 从而能够提高用户体验。
图 11示出了本发明的又一实施例提供的 AP的结构,包括至少一个处理 器 1102 (例如 CPU ), 至少一个网络接口 1105或者其他通信接口, 存储器 1106, 和至少一个通信总线 1103 , 用于实现这些装置之间的连接通信。 处理 器 1102用于执行存储器 1106中存储的可执行模块, 例如计算机程序。 存储 器 1106可能包含高速随机存取存储器(RAM: Random Access Memory ), 也可能还包括非不稳定的存储器( non- volatile memory ), 例如至少一个磁盘 存储器。 通过至少一个网络接口 1105 (可以是有线或者无线)实现与至少一 个其他网元之间的通信连接。
在一些实施方式中, 存储器 1106存储了程序 11061 , 处理器 1102执行 程序 11061 , 用于执行以下操作:
通过网络接口接收基站发送的安全参数, 该安全参数用于该接入点和用 户设备进行双向认证, 该基站属于无线蜂窝网络, 该接入点属于无线局域网 络, 该安全参数进一步携带在由该基站发送至该用户设备的分流指示中, 该 分流指示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数, 该接入点与该用户设备进行 该双向认证, 以便该用户设备根据该接入方法接入该接入点并向该无线局域 网络分流。
可选地,在该安全参数包括双向临时密钥的情况下,该处理器具体用于: 通过网络接口接收该用户设备发送的由该分流指示中的该双向临时密 钥生成的第一消息完整性码;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码根据获取的该双向临时密钥生成;
当确认与该用户设备认证成功时,通过网络接口向该用户设备发送由获 取的该双向临时密钥生成的第三消息完整性码, 用于该用户设备根据该第三 消息完整性码和第四消息完整性码确定是否与该接入点认证成功, 该第四消 息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成, 当该用 户设备确认与该接入点认证成功时, 完成与该用户设备的该双向认证。
可选地, 在该安全参数包括双向主密钥的情况下, 该处理器具体用于: 通过网络接口接收该用户设备发送的由第一双向临时密钥生成的第一 消息完整性码,该第一双向临时密钥由该用户设备 居该分流指示中的该双 向主密钥生成;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备 认证成功, 该第二消息完整性码根据该第二双向临时密钥生成, 该第二双向 临时密钥由该基站发送的该双向主密钥获取;
当确认与该用户设备认证成功时,通过网络接口向该用户设备发送由该 第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消 息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息 完整性码由该用户设备根据该第一双向临时密钥生成, 当该用户设备确认与 该接入点认证成功时, 完成与该用户设备的该双向认证。
可选地, 该处理器还用于:
通过网络接口接收该用户设备发送的重关联请求, 该重关联请求包括该 用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息 完整性码;
根据该重关联请求和该基站发送的该安全参数生成该第二消息完整性 码;
通过网络接口向该用户设备发送重关联响应,该重关联响应包括根据获 取的该安全参数和该重关联响应生成的该第三消息完整性码, 用于该用户设 备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性 码。
可选地, 该处理器还用于:
通过网络接口接收该用户设备发送的认证请求, 该认证请求包括请求者 的随机数;
通过网络接口向该用户设备发送认证响应, 该认证响应包括认证者的随 机数;
根据该基站发送的该双向主密钥, 该认证者的随机数和该请求者的随机 数, 获取该第二双向临时密钥。
可选地, 该安全参数由该基站与该接入点协商后确定, 或由该基站自行 确定。
从本发明实施例提供的以上技术方案可以看出,本发明实施例通过根据 基站发送的用于 AP和 UE进行双向认证的安全参数与 UE进行双向认证, 能够使 UE快速分流到 WLAN, 减少接入时延, 从而能够提高用户体验。
应理解,在本发明实施例中, 术语"和 /或"仅仅是一种描述关联对象的关 联关系,表示可以存在三种关系。 例如, A和 /或 B, 可以表示: 单独存在 A, 同时存在 A和 B, 单独存在 B这三种情况。 另外, 本文中字符" /", 一般表 示前后关联对象是一种"或"的关系。
还应理解, 在本发明实施例中, 术语"第一"、 "第二 "等仅仅是为了区分 不同的内容, 不对本发明实施例做其他限定。
本领域普通技术人员可以意识到, 结合本文中所公开的实施例描述的各 示例的单元及算法步骤, 能够以电子硬件、 计算机软件或者二者的结合来实 现, 为了清楚地说明硬件和软件的可互换性, 在上述说明中已经按照功能一 般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执 行, 取决于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个 特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超 出本发明的范围。
所属领域的技术人员可以清楚地了解到, 为了描述的方便和筒洁, 上述 描述的***、 装置和单元的具体工作过程, 可以参考前述方法实施例中的对 应过程, 在此不再赘述。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的***、 装置和 方法, 可以通过其它的方式实现。 例如, 以上所描述的装置实施例仅仅是示 意性的, 例如, 所述单元的划分, 仅仅为一种逻辑功能划分, 实际实现时可 以有另外的划分方式, 例如多个单元或组件可以结合或者可以集成到另一个 ***, 或一些特征可以忽略, 或不执行。 另外, 所显示或讨论的相互之间的 耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或 通信连接, 也可以是电的, 机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作 为单元显示的部件可以是或者也可以不是物理单元, 即可以位于一个地方, 或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或 者全部单元来实现本发明实施例方案的目的。
另外, 在本发明各个实施例中的各功能单元可以集成在一个处理单元 中, 也可以是各个单元单独物理存在, 也可以是两个或两个以上单元集成在 一个单元中。 上述集成的单元既可以采用硬件的形式实现, 也可以采用软件 功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销 售或使用时, 可以存储在一个计算机可读取存储介质中。 基于这样的理解, 本发明的技术方案本质上或者说对现有技术做出贡献的部分, 或者该技术方 案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在 一个存储介质中, 包括若干指令用以使得一台计算机设备(可以是个人计算 机, 服务器, 或者网络设备等)执行本发明各个实施例所述方法的全部或部 分步骤。 而前述的存储介质包括: U盘、 移动硬盘、 只读存储器(ROM, Read-Only Memory )、 随机存取存储器 ( RAM, Random Access Memory )、 磁碟或者光盘等各种可以存储程序代码的介质。
以上所述, 仅为本发明的具体实施方式, 但本发明的保护范围并不局限 于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内, 可轻易 想到各种等效的修改或替换, 这些修改或替换都应涵盖在本发明的保护范围 之内。 因此, 本发明的保护范围应以权利要求的保护范围为准。

Claims (44)

  1. 权利要求
    1. 一种分流方法, 其特征在于, 包括:
    用户设备接收基站发送的分流指示, 所述分流指示用于指示所述用户设 备接入接入点的接入方法, 所述分流指示包括用于所述用户设备和所述接入 点进行双向认证的安全参数, 所述接入点属于无线局域网络, 所述基站属于 无线蜂窝网络, 所述安全参数进一步由所述基站发送至所述接入点;
    根据所述基站向所述用户设备发送的所述安全参数,所述用户设备与所 述接入点进行所述双向认证, 以便所述用户设备根据所述接入方法接入所述 接入点并向所述无线局域网络分流。
  2. 2. 根据权利要求 1所述的方法, 其特征在于, 当所述安全参数包括双 向临时密钥时, 根据所述基站向所述用户设备发送的所述安全参数, 所述用 户设备与所述接入点进行所述双向认证, 包括:
    所述用户设备向所述接入点发送由所述分流指示中的所述双向临时密 钥生成的第一消息完整性码, 用于所述接入点根据所述第一消息完整性码与 第二消息完整性码确定是否与所述用户设备认证成功, 所述第二消息完整性 码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
    当所述接入点确认与所述用户设备认证成功,所述用户设备接收所述接 入点发送的第三消息完整性码, 所述第三完整性码由所述接入点根据由所述 基站获取的所述双向临时密钥生成;
    所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是 否与所述接入点认证成功, 所述第四消息完整性码由所述用户设备根据所述 分流指示中的所述双向临时密钥生成;
    当所述用户设备确认与所述接入点认证成功时, 所述用户设备完成与所 述接入点的所述双向认证。
  3. 3. 根据权利要求 1所述的方法, 其特征在于, 当所述安全参数包括双 向主密钥时, 根据所述基站向所述用户设备发送的所述安全参数, 所述用户 设备与所述接入点进行所述双向认证, 包括:
    所述用户设备根据所述分流指示中的所述双向主密钥获取第一双向临 时密钥;
    所述用户设备向所述接入点发送由所述第一双向临时密钥生成的第一 消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整 性码确定是否与所述用户设备认证成功, 所述第二消息完整性码由所述接入 点根据第二双向临时密钥生成, 所述第二双向临时密钥由所述接入点根据由 所述基站获取的所述双向主密钥生成;
    当所述接入点确认与所述用户设备认证成功,所述用户设备接收所述接 入点发送的第三消息完整性码, 所述第三完整性码由所述接入点根据所述第 二双向临时密钥生成;
    所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是 否与所述接入点认证成功, 所述第四消息完整性码由所述用户设备根据所述 第一双向临时密钥生成;
    当所述用户设备确认与所述接入点认证成功时, 所述用户设备完成与所 述接入点的所述双向认证。
  4. 4、 根据权利要求 2或 3所述的方法, 其特征在于, 还包括:
    所述用户设备向所述接入点发送重关联请求,用于所述接入点根据所述 重关联请求和经由所述基站获取的所述安全参数生成所述第二消息完整性 码;
    所述用户设备根据所述分流指示中的所述安全参数和所述重关联请求 生成所述第一消息完整性码;
    所述用户设备接收所述接入点发送的重关联响应;
    所述用户设备根据所述重关联响应和所述分流指示中的所述安全参数 生成所述第四消息完整性码。
  5. 5、 根据权利要求 3所述的方法, 其特征在于, 所述方法还包括: 所述用户设备向所述接入点发送认证请求, 所述认证请求包括请求者的 随机数;
    所述用户设备接收所述接入点发送的认证响应, 所述认证响应包括认证 者的随机数;
    所述用户设备根据所述分流指示中的所述双向主密钥获取第一双向临 时密钥, 包括:
    所述用户设备根据所述分流指示中的所述双向主密钥, 所述认证者的随 机数和所述请求者的随机数, 获取所述第一双向临时密钥。
  6. 6. 根据权利要求 1至 5中任一项所述的方法, 其特征在于:
    所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
  7. 7. 一种分流方法, 其特征在于, 包括:
    基站获取用于用户设备和接入点进行双向认证的安全参数, 所述基站属 于无线蜂窝网络, 所述接入点属于无线局域网络;
    所述基站向所述接入点发送所述安全参数, 所述安全参数用于所述接入 点和所述用户设备进行双向认证;
    所述基站向所述用户设备发送分流指示, 所述分流指示用于指示所述用 户设备接入所述接入点的接入方法, 所述分流指示包括所述安全参数, 用于 所述用户设备根据接收到的所述安全参数, 与所述接入点进行所述双向认 证, 以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域 网络分流。
  8. 8. 根据权利要求 7所述的方法, 其特征在于:
    所述安全参数包括双向临时密钥, 所述双向临时密钥用于所述用户设备 和所述接入点进行所述双向认证。
  9. 9. 根据权利要求 7所述的方法, 其特征在于:
    所述安全参数包括双向主密钥,所述双向主密钥用于所述用户设备和所 述接入点确定双向临时密钥, 所述双向临时密钥用于所述用户设备和所述接 入点进行所述双向认证。
  10. 10. 根据权利要求 7至 9中任一项所述的方法, 其特征在于, 所述基站 获取用于用户设备和接入点进行双向认证的安全参数, 包括:
    所述基站与所述接入点协商确定用于所述用户设备和所述接入点进行 所述双向认证的所述安全参数; 或
    所述基站自行确定用于所述用户设备和所述接入点进行所述双向认证 的所述安全参数。
  11. 11. 一种分流方法, 其特征在于, 包括:
    接入点接收基站发送的安全参数, 所述安全参数用于所述接入点和用户 设备进行双向认证, 所述基站属于无线蜂窝网络, 所述接入点属于无线局域 网络, 所述安全参数进一步携带在由所述基站发送至所述用户设备的分流指 示中, 所述分流指示用于指示所述用户设备接入所述接入点的接入方法; 根据所述基站向所述接入点发送的所述安全参数, 所述接入点与所述用 户设备进行所述双向认证, 以便所述用户设备根据所述接入方法接入所述接 入点并向所述无线局域网络分流。
  12. 12. 根据权利要求 11所述的方法, 其特征在于, 当所述安全参数包括 双向临时密钥时, 根据所述基站向所述接入点发送的所述安全参数, 所述接 入点与所述用户设备进行所述双向认证, 包括:
    所述接入点接收所述用户设备发送的由所述分流指示中的所述双向临 时密钥生成的第一消息完整性码;
    所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否 与所述用户设备认证成功, 所述第二消息完整性码由所述接入点根据获取的 所述双向临时密钥生成;
    当所述接入点确认与所述用户设备认证成功, 向所述用户设备发送由获 取的所述双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所 述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功, 所述第四消息完整性码由所述用户设备根据所述分流指示中的所述双向临 时密钥生成, 当所述用户设备确认与所述接入点认证成功时, 所述接入点完 成与所述用户设备的所述双向认证。
  13. 13. 根据权利要求 11所述的方法, 其特征在于, 当所述安全参数包括 双向主密钥时, 根据所述基站向所述接入点发送的所述安全参数, 所述接入 点与所述用户设备进行所述双向认证, 包括:
    所述接入点接收所述用户设备发送的由第一双向临时密钥生成的第一 消息完整性码,所述第一双向临时密钥由所述用户设备根据所述分流指示中 的所述双向主密钥生成;
    所述接入点根据所述基站发送的所述双向主密钥获取第二双向临时密 钥;
    所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否 与所述用户设备认证成功, 所述第二消息完整性码由所述接入点根据所述第 二双向临时密钥生成;
    当所述接入点确认与所述用户设备认证成功, 向所述用户设备发送由所 述第二双向临时密钥生成的第三消息完整性码, 用于所述用户设备根据所述 第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功, 所 述第四消息完整性码由所述用户设备根据所述第一双向临时密钥生成, 当所 述用户设备确认与所述接入点认证成功时, 所述接入点完成与所述用户设备 的所述双向认证。
  14. 14、 根据权利要求 12或 13所述的方法, 其特征在于, 还包括: 所述接入点接收所述用户设备发送的重关联请求, 所述重关联请求包括 所述用户设备由所述分流指示中的所述安全参数和所述重关联请求生成的 所述第一消息完整性码;
    所述接入点根据所述重关联请求和所述基站发送的所述安全参数生成 所述第二消息完整性码;
    所述接入点向所述用户设备发送重关联响应,所述重关联响应包括所述 接入点根据获取的所述安全参数和所述重关联响应生成的所述第三消息完 整性码,用于所述用户设备根据所述重关联响应和所述分流指示中的所述安 全参数生成所述第四消息完整性码。
  15. 15、 根据权利要求 13所述的方法, 其特征在于, 所述方法还包括: 所述接入点接收所述用户设备发送的认证请求, 所述认证请求包括请求 者的随机数;
    所述接入点向所述用户设备发送认证响应, 所述认证响应包括认证者的 随机数;
    所述接入点根据所述基站发送的所述双向主密钥获取第二双向临时密 钥, 包括:
    所述接入点根据所述基站发送的所述双向主密钥, 所述认证者的随机数 和所述请求者的随机数, 获取所述第二双向临时密钥。
  16. 16. 根据权利要求 11至 15中任一项所述的方法, 其特征在于: 所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
  17. 17. 一种用户设备, 其特征在于, 包括:
    接收单元, 用于接收基站发送的分流指示, 所述分流指示用于指示所述 用户设备接入接入点的接入方法, 所述分流指示包括用于所述用户设备和所 述接入点进行双向认证的安全参数, 所述接入点属于无线局域网络, 所述基 站属于无线蜂窝网络, 所述安全参数进一步由所述基站发送至所述接入点; 接入单元, 用于根据所述接收单元接收的所述安全参数, 与所述接入点 进行所述双向认证, 以便所述用户设备根据所述接入方法接入所述接入点并 向所述无线局域网络分流。 18. 根据权利要求 17所述的用户设备, 其特征在于, 在所述安全参数 包括双向临时密钥的情况下:
    所述用户设备还包括发送单元,用于向所述接入点发送由所述分流指示 中的所述双向临时密钥生成的第一消息完整性码,用于所述接入点 ^据所述 第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功, 所述第二消息完整性码由所述接入点根据由所述基站获取的所述双向临时 密钥生成;
    当所述接入点确认与所述用户设备认证成功,所述接收单元还用于接收 所述接入点发送的第三消息完整性码, 所述第三完整性码由所述接入点根据 由所述基站获取的所述双向临时密钥生成;
    所述接入单元, 具体用于:
    根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入 点认证成功, 所述第四消息完整性码由所述分流指示中的所述双向临时密钥 生成;
    当确认与所述接入点认证成功时, 完成与所述接入点的所述双向认证。
  18. 19. 根据权利要求 17所述的用户设备, 其特征在于, 在所述安全参数 包括双向主密钥的情况下:
    所述用户设备还包括发送单元,用于向所述接入点发送由第一双向临时 密钥生成的第一消息完整性码, 用于所述接入点根据所述第一消息完整性码 与第二消息完整性码确定是否与所述用户设备认证成功, 所述第一双向临时 密钥根据所述分流指示中的所述双向主密钥获取,所述第二消息完整性码由 所述接入点根据第二双向临时密钥生成, 所述第二双向临时密钥由所述接入 点根据由所述基站获取的所述双向主密钥生成;
    当所述接入点确认与所述用户设备认证成功,所述接收单元还用于接收 所述接入点发送的第三消息完整性码, 所述第三完整性码由所述接入点根据 所述第二双向临时密钥生成;
    所述接入单元, 具体用于:
    根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入 点认证成功, 所述第四消息完整性码由所述第一双向临时密钥生成;
    当确认与所述接入点认证成功时, 完成与所述接入点的所述双向认证。
  19. 20. 根据权利要求 18或 19所述的用户设备, 其特征在于: 所述发送单元, 还用于向所述接入点发送重关联请求, 用于所述接入点 根据所述重关联请求和经由所述基站获取的所述安全参数生成所述第二消 息完整性码;
    所述接入单元,还用于根据所述分流指示中的所述安全参数和所述重关 联请求生成所述第一消息完整性码;
    所述接收单元, 还用于接收所述接入点发送的重关联响应;
    所述接入单元,还用于根据所述重关联响应和所述分流指示中的所述安 全参数生成所述第四消息完整性码。
  20. 21. 根据权利要求 19所述的用户设备, 其特征在于:
    所述发送单元, 还用于向所述接入点发送认证请求, 所述认证请求包括 请求者的随机数;
    所述接收单元, 还用于接收所述接入点发送的认证响应, 所述认证响应 包括认证者的随机数;
    所述接入单元, 还用于根据所述分流指示中的所述双向主密钥, 所述认 证者的随机数和所述请求者的随机数, 获取所述第一双向临时密钥。
  21. 22. 根据权利要求 17至 21中任一项所述的用户设备, 其特征在于: 所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
  22. 23. 一种基站, 其特征在于, 包括:
    获取单元, 用于获取用于用户设备和接入点进行双向认证的安全参数, 所述基站属于无线蜂窝网络, 所述接入点属于无线局域网络;
    发送单元, 用于向所述接入点发送所述安全参数, 所述安全参数用于所 述接入点和所述用户设备进行双向认证, 以及向所述用户设备发送分流指 示, 所述分流指示用于指示所述用户设备接入所述接入点的接入方法, 所述 分流指示包括所述安全参数, 用于所述用户设备根据接收到的所述安全参 数, 与所述接入点进行所述双向认证, 以便所述用户设备根据所述接入方法 接入所述接入点并向所述无线局域网络分流。
  23. 24. 根据权利要求 23所述的基站, 其特征在于:
    所述安全参数包括双向临时密钥, 所述双向临时密钥用于所述用户设备 和所述接入点进行所述双向认证。
  24. 25. 根据权利要求 23所述的基站, 其特征在于: 所述安全参数包括双向主密钥,所述双向主密钥用于所述用户设备和所 述接入点确定双向临时密钥, 所述双向临时密钥用于所述用户设备和所述接 入点进行所述双向认证。
  25. 26. 根据权利要求 23至 25中任一项所述的基站, 其特征在于: 所述获取单元具体用于:
    与所述接入点协商确定用于所述用户设备和所述接入点进行所述双向 认证的所述安全参数; 或
    自行确定用于所述用户设备和所述接入点进行所述双向认证的所述安 全参数。
  26. 27. 一种接入点, 其特征在于, 包括:
    接收单元, 用于接收基站发送的安全参数, 所述安全参数用于所述接入 点和用户设备进行双向认证, 所述基站属于无线蜂窝网络, 所述接入点属于 无线局域网络,所述安全参数进一步携带在由所述基站发送至所述用户设备 的分流指示中,所述分流指示用于指示所述用户设备接入所述接入点的接入 方法;
    接入单元, 用于根据所述接收单元接收的所述安全参数, 与所述用户设 备进行所述双向认证, 以便所述用户设备根据所述接入方法接入所述接入点 并向所述无线局域网络分流。
  27. 28. 根据权利要求 27所述的接入点, 其特征在于, 在所述安全参数包 括双向临时密钥的情况下:
    所述接收单元,还用于接收所述用户设备发送的由所述分流指示中的所 述双向临时密钥生成的第一消息完整性码;
    所述接入单元, 具体用于根据所述第一消息完整性码与第二消息完整性 码确定是否与所述用户设备认证成功, 所述第二消息完整性码由所述接收单 元获取的所述双向临时密钥生成;
    所述接入点还包括发送单元, 用于当所述接入单元确认与所述用户设备 认证成功, 向所述用户设备发送由所述接收单元获取的所述双向临时密钥生 成的第三消息完整性码, 用于所述用户设备根据所述第三消息完整性码和第 四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由 所述用户设备根据所述分流指示中的所述双向临时密钥生成, 当所述用户设 备确认与所述接入点认证成功时, 完成与所述用户设备的所述双向认证。 29. 根据权利要求 27所述的接入点, 其特征在于, 在所述安全参数包 括双向主密钥的情况下:
    所述接收单元,还用于接收所述用户设备发送的由第一双向临时密钥生 成的第一消息完整性码, 所述第一双向临时密钥由所述用户设备根据所述分 流指示中的所述双向主密钥生成;
    所述接入单元, 具体用于:
    根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户 设备认证成功, 所述第二消息完整性码由第二双向临时密钥生成, 所述第二 双向临时密钥由所述接收单元接收的所述双向主密钥生成;
    所述接入点还包括发送单元, 用于当所述接入单元确认与所述用户设备 认证成功, 向所述用户设备发送由所述第二双向临时密钥生成的第三消息完 整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码 确定是否与所述接入点认证成功, 所述第四消息完整性码由所述用户设备根 据所述第一双向临时密钥生成, 当所述用户设备确认与所述接入点认证成功 时, 完成与所述用户设备的所述双向认证。
  28. 30. 根据权利要求 28或 29所述的接入点, 其特征在于:
    所述接收单元, 还用于接收所述用户设备发送的重关联请求, 所述重关 联请求包括所述用户设备由所述分流指示中的所述安全参数和所述重关联 请求生成的所述第一消息完整性码;
    所述接入单元, 还用于:
    根据所述重关联请求和所述接收单元接收的所述安全参数生成所述第 二消息完整性码;
    根据所述接收单元接收的所述安全参数和重关联响应生成所述第三消 息完整性码, 所述重关联响应由所述发送单元向所述用户设备发送;
    所述发送单元, 还用于向所述用户设备发送所述重关联响应, 所述重关 联响应包括所述第三消息完整性码,用于所述用户设备根据所述重关联响应 和所述分流指示中的所述安全参数生成所述第四消息完整性码。
  29. 31. 根据权利要求 29所述的接入点, 其特征在于:
    所述接收单元, 还用于接收所述用户设备发送的认证请求, 所述认证请 求包括请求者的随机数;
    所述发送单元, 还用于向所述用户设备发送认证响应, 所述认证响应包 括认证者的随机数;
    所述接入单元, 还用于根据所述接收单元接收的所述双向主密钥, 所述 认证者的随机数和所述请求者的随机数, 获取所述第二双向临时密钥。
  30. 32. 根据权利要求 27至 31中任一项所述的接入点, 其特征在于: 所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
  31. 33. 一种用户设备, 其特征在于, 包括处理器、 存储器和网络接口; 所述存储器用于存储程序;
    所述处理器执行所述程序, 用于执行以下操作:
    通过所述网络接口接收基站发送的分流指示,所述分流指示用于指示所 述用户设备接入接入点的接入方法,所述分流指示包括用于所述用户设备和 所述接入点进行双向认证的安全参数, 所述接入点属于无线局域网络, 所述 基站属于无线蜂窝网络, 所述安全参数进一步由所述基站发送至所述接入 点;
    根据所述基站向所述用户设备发送的所述安全参数, 与所述接入点进行 所述双向认证, 以便所述用户设备根据所述接入方法接入所述接入点并向所 述无线局域网络分流。
  32. 34. 根据权利要求 33所述的用户设备, 其特征在于, 在所述安全参数 包括双向临时密钥的情况下, 所述处理器具体用于:
    通过所述网络接口向所述接入点发送由所述分流指示中的所述双向临 时密钥生成的第一消息完整性码, 用于所述接入点根据所述第一消息完整性 码与第二消息完整性码确定是否与所述用户设备认证成功, 所述第二消息完 整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
    通过所述网络接口接收所述接入点在确认与所述用户设备认证成功时 发送的第三消息完整性码, 所述第三完整性码由所述接入点根据由所述基站 获取的所述双向临时密钥生成;
    根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入 点认证成功, 所述第四消息完整性码根据所述分流指示中的所述双向临时密 钥生成;
    当确认与所述接入点认证成功时, 完成与所述接入点的所述双向认证。
  33. 35. 根据权利要求 33所述的用户设备, 其特征在于, 在所述安全参数 包括双向主密钥的情况下, 所述处理器具体用于:
    通过所述网络接口向所述接入点发送由第一双向临时密钥生成的第一 消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整 性码确定是否与所述用户设备认证成功, 所述第一双向临时密钥由分流指示 中的所述双向主密钥获取, 所述第二消息完整性码由所述接入点根据第二双 向临时密钥生成, 所述第二双向临时密钥由所述接入点根据由所述基站获取 的所述双向主密钥生成;
    通过所述网络接口接收所述接入点在确认与所述用户设备认证成功时 发送的第三消息完整性码, 所述第三完整性码由所述接入点根据所述第二双 向临时密钥生成;
    根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入 点认证成功, 所述第四消息完整性码由所述第一双向临时密钥生成;
    当确认与所述接入点认证成功时, 完成与所述接入点的所述双向认证。
  34. 36. 根据权利要求 34或 35所述的用户设备, 其特征在于:
    所述处理器还用于:
    通过所述网络接口向所述接入点发送重关联请求, 用于所述接入点根据 所述重关联请求和经由所述基站获取的所述安全参数生成所述第二消息完 整性码;
    根据所述分流指示中的所述安全参数和所述重关联请求生成所述第一 消息完整性码;
    通过所述网络接口接收所述接入点发送的重关联响应;
    根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四 消息完整性码。
  35. 37. 根据权利要求 35所述的用户设备, 其特征在于:
    所述处理器还用于:
    通过所述网络接口向所述接入点发送认证请求, 所述认证请求包括请求 者的随机数;
    通过所述网络接口接收所述接入点发送的认证响应,所述认证响应包括 认证者的随机数;
    根据所述分流指示中的所述双向主密钥, 所述认证者的随机数和所述请 求者的随机数, 获取所述第一双向临时密钥。 38. 根据权利要求 33至 37中任一项所述的用户设备, 其特征在于: 所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
  36. 39. 一种基站, 其特征在于, 包括处理器、 存储器和网络接口; 所述存储器用于存储程序;
    所述处理器执行所述程序, 用于执行以下操作:
    获取用于用户设备和接入点进行双向认证的安全参数, 所述基站属于无 线蜂窝网络, 所述接入点属于无线局域网络;
    通过所述网络接口向所述接入点发送所述安全参数,所述安全参数用于 所述接入点和所述用户设备进行双向认证, 以及向所述用户设备发送分流指 示, 所述分流指示用于指示所述用户设备接入所述接入点的接入方法, 所述 分流指示包括所述安全参数, 用于所述用户设备根据接收到的所述安全参 数, 与所述接入点进行所述双向认证, 以便所述用户设备根据所述接入方法 接入所述接入点并向所述无线局域网络分流。
  37. 40. 根据权利要求 39所述的基站, 其特征在于:
    所述安全参数包括双向临时密钥, 所述双向临时密钥用于所述用户设备 和所述接入点进行所述双向认证。
  38. 41. 根据权利要求 39所述的基站, 其特征在于:
    所述安全参数包括双向主密钥,所述双向主密钥用于所述用户设备和所 述接入点确定双向临时密钥, 所述双向临时密钥用于所述用户设备和所述接 入点进行所述双向认证。
  39. 42. 根据权利要求 39至 41中任一项所述的基站, 其特征在于: 所述处理器还用于与所述接入点协商确定用于所述用户设备和所述接 入点进行所述双向认证的所述安全参数, 或者, 自行确定用于所述用户设备 和所述接入点进行所述双向认证的所述安全参数。
  40. 43. 一种接入点, 其特征在于, 包括处理器、 存储器和网络接口; 所述存储器用于存储程序;
    所述处理器执行所述程序, 用于执行以下操作:
    通过所述网络接口接收基站发送的安全参数,所述安全参数用于所述接 入点和用户设备进行双向认证, 所述基站属于无线蜂窝网络, 所述接入点属 于无线局域网络, 所述安全参数进一步携带在由所述基站发送至所述用户设 备的分流指示中, 所述分流指示用于指示所述用户设备接入所述接入点的接 入方法;
    根据所述基站向所述接入点发送的所述安全参数, 所述接入点与所述用 户设备进行所述双向认证, 以便所述用户设备根据所述接入方法接入所述接 入点并向所述无线局域网络分流。
  41. 44. 根据权利要求 43所述的接入点, 其特征在于, 在所述安全参数包 括双向临时密钥的情况下, 所述处理器具体用于:
    通过所述网络接口接收所述用户设备发送的由所述分流指示中的所述 双向临时密钥生成的第一消息完整性码;
    根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户 设备认证成功, 所述第二消息完整性码根据获取的所述双向临时密钥生成; 当确认与所述用户设备认证成功时,通过所述网络接口向所述用户设备 发送由获取的所述双向临时密钥生成的第三消息完整性码, 用于所述用户设 备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点 认证成功, 所述第四消息完整性码由所述用户设备 居所述分流指示中的所 述双向临时密钥生成, 当所述用户设备确认与所述接入点认证成功时, 完成 与所述用户设备的所述双向认证。
  42. 45. 根据权利要求 43所述的接入点, 其特征在于, 在所述安全参数包 括双向主密钥的情况下, 所述处理器具体用于:
    通过所述网络接口接收所述用户设备发送的由第一双向临时密钥生成 的第一消息完整性码,所述第一双向临时密钥由所述用户设备根据所述分流 指示中的所述双向主密钥生成;
    根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户 设备认证成功, 所述第二消息完整性码根据所述第二双向临时密钥生成, 所 述第二双向临时密钥由所述基站发送的所述双向主密钥获取;
    当确认与所述用户设备认证成功时,通过所述网络接口向所述用户设备 发送由所述第二双向临时密钥生成的第三消息完整性码, 用于所述用户设备 根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认 证成功,所述第四消息完整性码由所述用户设备根据所述第一双向临时密钥 生成, 当所述用户设备确认与所述接入点认证成功时, 完成与所述用户设备 的所述双向认证。 46. 根据权利要求 44或 45所述的接入点, 其特征在于: 所述处理器还用于:
    通过所述网络接口接收所述用户设备发送的重关联请求, 所述重关联请 求包括所述用户设备由所述分流指示中的所述安全参数和所述重关联请求 生成的所述第一消息完整性码;
    根据所述重关联请求和所述基站发送的所述安全参数生成所述第二消 息完整性码;
    通过所述网络接口向所述用户设备发送重关联响应,所述重关联响应包 括根据获取的所述安全参数和所述重关联响应生成的所述第三消息完整性 码, 用于所述用户设备根据所述重关联响应和所述分流指示中的所述安全参 数生成所述第四消息完整性码。
  43. 47. 根据权利要求 45所述的接入点, 其特征在于:
    所述处理器还用于:
    通过所述网络接口接收所述用户设备发送的认证请求, 所述认证请求包 括请求者的随机数;
    通过所述网络接口向所述用户设备发送认证响应, 所述认证响应包括认 证者的随机数;
    根据所述基站发送的所述双向主密钥,所述认证者的随机数和所述请求 者的随机数, 获取所述第二双向临时密钥。
  44. 48. 根据权利要求 43至 47中任一项所述的接入点, 其特征在于: 所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行 确定。
CN201380003017.6A 2013-12-27 2013-12-27 分流方法、用户设备、基站和接入点 Active CN104885519B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/090710 WO2015096138A1 (zh) 2013-12-27 2013-12-27 分流方法、用户设备、基站和接入点

Publications (2)

Publication Number Publication Date
CN104885519A true CN104885519A (zh) 2015-09-02
CN104885519B CN104885519B (zh) 2020-04-21

Family

ID=53477400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380003017.6A Active CN104885519B (zh) 2013-12-27 2013-12-27 分流方法、用户设备、基站和接入点

Country Status (4)

Country Link
US (1) US10034215B2 (zh)
EP (1) EP3076710B1 (zh)
CN (1) CN104885519B (zh)
WO (1) WO2015096138A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114401507A (zh) * 2022-01-17 2022-04-26 中国联合网络通信集团有限公司 一种数据传输方法、装置及存储介质

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IN2014MU01113A (zh) * 2014-03-28 2015-10-02 Tech Mahindra Ltd
US10278068B2 (en) * 2015-07-17 2019-04-30 Htc Corporation Device and method of handling cellular-wireless local area network aggregation
WO2017078657A1 (en) * 2015-11-03 2017-05-11 Intel IP Corporation Apparatus, system and method of cellular-assisted establishing of a secured wlan connection between a ue and a wlan ap
CN108476240B (zh) 2016-01-25 2022-03-15 瑞典爱立信有限公司 显式空间重放保护
RU2712824C1 (ru) * 2016-01-25 2020-01-31 Телефонактиеболагет Лм Эрикссон (Пабл) Защита от неявного пространственного повторения
EP3485682B1 (en) 2016-07-18 2020-08-05 Telefonaktiebolaget LM Ericsson (PUBL) Location information based on counters of grid cells
CN108235317B (zh) * 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
CN109120625B (zh) * 2018-08-29 2021-06-08 北京润通丰华科技有限公司 一种大带宽私接分析识别的方法
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination
EP4250791A1 (en) * 2020-12-03 2023-09-27 Huawei Technologies Co., Ltd. Wifi security authentication method and communication apparatus
US11737002B2 (en) * 2021-07-28 2023-08-22 Hewlett Packard Enterprise Development Lp Selective caching of pairwise master keys in streamlined roaming
CN114513785B (zh) * 2022-02-22 2023-10-20 新华三技术有限公司 一种终端认证方法及装置
WO2024026664A1 (en) * 2022-08-02 2024-02-08 Qualcomm Incorporated Reassociation between station and access point

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102883316A (zh) * 2011-07-15 2013-01-16 华为终端有限公司 建立连接的方法、终端和接入点
US20130088983A1 (en) * 2011-10-07 2013-04-11 Interdigital Patent Holdings, Inc. Method and apparatus for integrating different radio access technologies using carrier aggregation
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
CN103391632A (zh) * 2012-05-08 2013-11-13 中兴通讯股份有限公司 网络接入方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685741B (zh) * 2011-03-09 2014-12-03 华为终端有限公司 接入认证处理方法及***、终端和网络设备
KR101599857B1 (ko) * 2011-12-13 2016-03-04 엘지전자 주식회사 무선 통신 시스템에서 데이터 오프로딩 방법 및 이를 위한 장치
US20130166910A1 (en) * 2011-12-22 2013-06-27 Broadcom Corporation Revocable Security System and Method for Wireless Access Points
CN102572973A (zh) * 2012-02-02 2012-07-11 中兴通讯股份有限公司 用于ue网络切换的信息处理方法和基站
CN103428690B (zh) * 2012-05-23 2016-09-07 华为技术有限公司 无线局域网络的安全建立方法及***、设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102883316A (zh) * 2011-07-15 2013-01-16 华为终端有限公司 建立连接的方法、终端和接入点
US20130088983A1 (en) * 2011-10-07 2013-04-11 Interdigital Patent Holdings, Inc. Method and apparatus for integrating different radio access technologies using carrier aggregation
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
CN103391632A (zh) * 2012-05-08 2013-11-13 中兴通讯股份有限公司 网络接入方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KEVIN BENTON: "The Evolution of 802.11 Wireless Security", 《UNLV INFORMATICS-SPRING 2010》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114401507A (zh) * 2022-01-17 2022-04-26 中国联合网络通信集团有限公司 一种数据传输方法、装置及存储介质
CN114401507B (zh) * 2022-01-17 2023-06-16 中国联合网络通信集团有限公司 一种数据传输方法、装置及存储介质

Also Published As

Publication number Publication date
EP3076710A4 (en) 2016-12-14
US10034215B2 (en) 2018-07-24
EP3076710B1 (en) 2020-04-08
CN104885519B (zh) 2020-04-21
WO2015096138A1 (zh) 2015-07-02
EP3076710A1 (en) 2016-10-05
US20160309384A1 (en) 2016-10-20

Similar Documents

Publication Publication Date Title
CN104885519A (zh) 分流方法、用户设备、基站和接入点
CN109640324B (zh) 一种通信方法及相关装置
CN109005540B (zh) 一种密钥推演的方法、装置及计算机可读存储介质
CN106134231B (zh) 密钥生成方法、设备及***
KR102024653B1 (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
CN110121168B (zh) 安全协商方法及装置
JP5597676B2 (ja) 鍵マテリアルの交換
CN105409263B (zh) 用于代理算法标识选择的方法和装置
WO2013116976A1 (en) A fast-accessing method and apparatus
CN103167492B (zh) 在通信***中生成接入层密钥的方法及其设备
US20200275268A1 (en) Communication method and communications apparatus
CN103609154A (zh) 一种无线局域网接入鉴权方法、设备及***
CN107094127A (zh) 安全信息的处理方法及装置、获取方法及装置
CN107211273A (zh) 涉及用于网络信令的快速初始链路建立fils发现帧的无线通信
CN107801187A (zh) 加解密方法、装置及***
CN102790965B (zh) 切换方法、基站、用户设备和移动管理实体
US20190149326A1 (en) Key obtaining method and apparatus
US20210112408A1 (en) Reducing authentication steps during wi-fi and 5g handover
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备
WO2022237561A1 (zh) 一种通信方法及装置
WO2023093668A1 (zh) 设备鉴权方法及装置
CN108012306A (zh) 一种无线局域网漫游方法和装置
CN116782211A (zh) 切换密钥的确定方法、切换方法及装置
CN112995993A (zh) 无线网络切换方法及设备
CN103026745A (zh) 一种简化无线局域网认证的方法、装置及***

Legal Events

Date Code Title Description
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant