CN102045714B - 提供3gpp网络与无线局域网互通安全的方法和装置 - Google Patents
提供3gpp网络与无线局域网互通安全的方法和装置 Download PDFInfo
- Publication number
- CN102045714B CN102045714B CN200910197176.XA CN200910197176A CN102045714B CN 102045714 B CN102045714 B CN 102045714B CN 200910197176 A CN200910197176 A CN 200910197176A CN 102045714 B CN102045714 B CN 102045714B
- Authority
- CN
- China
- Prior art keywords
- response
- wlan terminal
- integrity
- option
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种在3GPP网络与无线局域网互通时提供安全保护的方法的装置。预先获得在网络侧实体与无线局域网终端之间共享的密钥;通过所述网络侧实体与所述无线局域网终端之间的普通分组数据传输隧道传输3GPP分组数据;以及检查来自所述无线局域网终端的分组的数据完整性,其中利用分组头部的“选项”字段来承载安全参数。
Description
技术领域
本发明涉及通信网络安全,尤其涉及在3GPP网络与无线局域网互通时提供安全保护的方法和装置。
背景技术
第三代合作伙伴计划(3GPP)网络(例如GSM、GPRS、WCDMA、TD-SCDMA、EPS(Evolved Packet System,演进分组系统)等网络)与无线局域网(WLAN)网络的互通已经成为当前研究的热点。伴随3G业务的发展,向WLAN用户提供基于3GPP网络的服务将面临的一个挑战是安全。
3GPP标准化组织在3GPP TS 33.234中就3GPP网络与WLAN网络互通的安全提出了一些规范。根据3GPP TS 33.234规范的安全机制,EAP-AKA(扩展认证协议-认证和密钥协商)/EAP-SIM(扩展认证协议-用户识别模块)被用于在无线局域网终端(WLAN-UE)与3GPP网络之间的互认证,并且在WLAN-UE与3GPP网络中的分组数据网关(PDG)之间建立IPSec隧道,以提供数据完整性和机密性保护。
图1示出了根据现有技术的3GPP网络与WLAN互通的安全机制。在现有技术中,当WLAN-UE需要基于3GPP网络的服务时,WLAN-UE110首先与3GPP网络中的AAA(认证、授权、计费)服务器进行EAP-AKA/EAP-SIM互认证(步骤1.1)。认证成功后,在WLAN-UE与3GPP网络中的PDG之间建立IPsec隧道(步骤1.2)。于是,在IPSec隧道中传输受保护的用户业务数据(步骤1.3)。在3GPP TS 33.234规范中提供了对于上述安全机制的更详细的描述,其通过引用被完全合并到此。此外,在3GPP TS 23.234规范中描述了3GPP网络与WLAN互通的网络构架,其通过引用被完全合并到此。
但是,当前大多数无线局域网终端不支持IPSec。此外,维持IPSec隧道的成本很高。因为一旦建立了IPSec隧道,无线局域网终端就必须一直保持IP连接,即使用户没有访问服务。
因此,需要另外一种在3GPP网络与无线局域网互通中提供安全保护的方案,以便克服现有技术中的上述局限。
发明内容
为了克服现有技术的上述局限,并解决通过阅读和理解本说明书将理解的其它问题,本发明提供一种方法和装置,用于在3GPP网络与无线局域网互通时提供安全保护。
根据本发明的一个示例性方面,提供一种在3GPP网络与无线局域网互通时在网络侧实体中提供安全保护的方法,包括:预先获得在所述实体与所述无线局域网终端之间共享的密钥;通过在所述网络侧实体与所述无线局域网终端之间的普通分组数据传输隧道为所述无线局域网终端传输分组数据;以及检查来自所述无线局域网终端的分组的数据完整性,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
此外,可以周期性地检查来自所述无线局域网终端的分组的数据完整性或检查来自所述无线局域网终端的每一分组的数据完整性。
此外,所述密钥可以根据通过所述无线局域网终端与所述3GPP网络之间的EAP-AKA/EAP-SIM认证及密钥协商过程得到的密钥导出。
完整性检查可以包括:向所述无线局域网终端发送完整性质询,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;响应于所述质询,从所述无线局域网终端接收完整性响应,其中所述响应的响应参数被承载在分组头部的“选项”字段中;以及确定所述响应的响应参数是否正确以检查分组的数据完整性。
完整性检查可以进一步包括确定对于承载所述响应的分组是否存在正确的地址映射。
所述实体可以位于以下设备中的至少一个中:无线局域网接入网关(WAG)、分组数据网关(PDG)或3GPP AAA服务器。
根据本发明的另一示例性方面,提供一种在3GPP网络与无线局域网互通时在无线局域网终端中提供安全保护的方法,包括:预先获得在网络侧实体与所述无线局域网终端之间共享的密钥;通过所述无线局域网终端与所述实体之间的普通分组数据传输隧道传输分组数据;以及响应来自所述实体的对发自所述无线局域网终端的分组的数据完整性检查,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
根据本发明的又一示例性方面,提供一种在3GPP网络与无线局域网互通时提供安全保护的网络侧装置,包括:用于预先获得在所述网络侧装置与所述无线局域网终端之间共享的密钥的装置;通过所述网络侧装置与所述无线局域网终端之间的普通分组数据传输隧道为所述无线局域网终端传输分组数据的装置;以及检查来自所述无线局域网终端的分组的数据完整性的装置,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
根据本发明的又一示例性方面,提供一种在3GPP网络与无线局域网互通时提供安全保护的无线局域网终端,包括:用于预先获得在网络侧实体与所述无线局域网终端之间共享的密钥的装置;通过所述无线局域网终端与所述实体之间的普通分组数据传输隧道传输分组数据的装置;以及响应来自所述实体的对发自所述无线局域网终端的分组的数据完整性检查的装置,其中利用分组头部的“选项”字段承载完整性检查的安全参数。
根据本发明的又一示例性方面,提供一种在3GPP网络与无线局域网互通时提供安全保护的方法,包括:预先获得在分组数据网关与无线局域网终端之间共享的密钥;通过在所述分组数据网关与所述无线局域网终端之间的普通分组数据传输隧道传输所述无线局域网终端的分组数据;所述分组数据网关向所述无线局域网终端发送完整性质询,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;响应于所述质询,无线局域网接入网关从所述无线局域网终端接收完整性响应,其中所述响应的响应参数被承载在分组头部的“选项”字段中;所述无线局域网接入网关确定对于承载所述响应的分组是否存在正确的地址映射,如果正确则将所述响应转发给所述分组数据网关;以及所述分组数据网关确定对于承载所述响应的分组是否存在正确的地址映射,并且如果正确则确定所述响应的响应参数是否正确以检查分组的数据完整性。
通过本方案,无线局域网终端可以访问基于3GPP的服务,而无需建立IPSec隧道。这样,即使无线局域网终端不支持IPSec,也可以为其提供与3GPP网络互通时的安全保护。
另外,本方案使得可以避免现有技术中那样的因必须维持IPSec隧道而带来的巨大成本。
根据随后详细的描述、所附的从属权利要求以及附图,本发明的其它目的、特点和优点将变得清楚。
附图说明
可以通过结合附图参照以下描述来获得本发明及其特定优点的完整理解,在附图中,相似的标号表示相似的特征,其中:
图1示出现有技术中的3GPP网络与WLAN互通的安全方案;
图2简要示出根据本发明示例性实施例的3GPP网络与WLAN互通的安全方案;以及
图3示出根据本发明示例性实施例的在PDG和WLAN-UE中进行数据完整性检查的过程。
具体实施方式
图2简要示出根据本发明示例性实施例的3GPP网络与WLAN互通的安全方案。在图2中,当WLAN-UE 210需要基于3GPP网络的服务时,在步骤2.1,3GPP网络中的PDG 230与WLAN-UE 210预先获得在他们之间共享的密钥。这可以通过WLAN-UE 210与3GPP网络中的AAA(认证、授权、计费)服务器240之间的EAP-AKA/EAP-SIM认证及密钥协商过程,例如3GPP TS 33.234规范的EAP-AKA/EAP-SIM互认证过程,来实现。有关EAP-AKA/EAP-SIM互认证过程的详细描述可见3GPP TS33.234规范,在此不再详述。此外,当WLAN-UE与EPS网络进行互操作时,也可参考规范3GPP TS 33.234,即在WLAN-UE 210与3GPP网络中的AAA(认证、授权、计费)服务器240之间进行EAP-AKA互认证过程,以实现上述密钥共享。
EAP-AKA/EAP-SIM互认证成功后,PDG 230从AAA服务器240得到认证过程生成的密钥Kc或(CK,IK)或KASME。于是,WLAN-UE 210和PDG 130各自分别从密钥Kc或(CK,IK)或KASME导出共享密钥。
在步骤2.2,通过WLAN-UE 210与PDG 230之间的普通分组数据传输隧道为WLAN-UE 210传输分组数据。也就是说,在WLAN-UE 210与PDG 230之间进行普通的分组传输。于是,WLAN-UE 210的用户可以通过普通分组数据传输隧道,而不是IPSec隧道,经由PDG 230来访问基于3GPP网络的服务和接受数据完整性检查。
在步骤2.3,PDG 230检查来自WLAN-UE 210的分组数据的完整性,其中通过利用分组头部的“选项”字段承载完整性检查的安全参数。优选地,PDG 230周期性地检查来自WLAN-UE 210的分组数据的完整性。安全参数可以被嵌入WLAN-UE 210访问服务时的普通业务分组中,也可以被嵌入专用于完整性检查的分组中。下面具体说明在本发明的示例性实施例中,如何利用分组头部的“选项”字段来承载完整性检查的安全参数。
根据IP协议,分组数据报头部的“选项(Options)”字段是可选字段,并且被预留用于未来使用(见RFC 791)。在RFC 791的3.1节中,对分组报头格式中规定“选项”字段的格式可以有两种情况:
●情况1:1个字节(octet)的“选项类型(option-type)”。
●情况2:1个字节表示“选项类型(option-type)”字节,1个字节表示“选项长度(option-length)”,和实际的“选项数据(option-data)”字节数。其中,“选项长度”的1个字节计入了“选项类型”1个字节、“选项长度”1个字节以及“选项数据”的字节数。
在本发明的示例性实施例中,“选项”字段采用情况2的格式。
此外,RFC 791规定“选项类型”的1个字节的8位有以下3部分:
●第1位:拷贝标志(copied flag),拷贝标志位指明该“选项”是否被拷贝到所有分片中,其中0表示未被拷贝,1指示拷贝;
●第2至3位(共2位):选项类别(option class),其中0表示控制,2表示调试和测量,1和3保留;
●第4至8位(共5位):选项数目(option number)。
在本发明的示例性实施例中,将“选项类型”中的第1位取值为1,第2至3位可以取值1或3,而第4至8位可以用于区分上行链路(从WLAN-UE 210到PDG 230)和下行链路(从PDG 230到WLAN-UE 210)。例如,对于上行链路取值为00001,对于下行链路取值为00010。应注意,这仅仅是举例,实际上设计者可以将第4至8位定义为任何值。
在本发明的示例性实施例中,使用“选项”字段中的“选项数据”字节来承载完整性检查的安全参数。例如,在上行链路中承载相应参数,例如从PDG接收的32位时间戳或16位序列号,以及由WLAN-UE 210计算出来的160位RESPonse。在下行链路中,承载质询参数,例如由PDG 230生成的32位时间戳或16位序列号以及由PDG 230生成的随机数。
这样,“选项”字段的长度将为:
●上行链路:208位(使用时间戳)或192位(使用序列号);
●下行链路:80位(使用时间戳)或64位(使用序列号)。
因此,分组头部的长度将被从20字节(默认/标准IP分组头部的长度)扩展为:
●上行链路:46字节(使用时间戳)或44字节(使用序列号);
●下行链路:30字节(使用时间戳)或28字节(使用序列号)。
以下结合图3详细描述PDG 230检查来自WLAN-UE 210的分组的数据完整性的过程。
如图3所示,当PDG 230要检查来自WLAN-UE 210的分组的数据完整性时,进行以下步骤:
在步骤3.1,PDG 230向WLAN-UE 210发送包含完整性质询的分组。其中,完整性检查的安全参数,即所述质询的时间戳或序列号以及随机数被添在该分组头部的“选项”字段中。该时间戳或序列号以及随机数是由PDG 230生成的。
在步骤3.2,WLAN-UE 210接收来自PDG 230的分组,检查到在分组头部中存在“选项”字段,于是进行对完整性质询的响应。
在响应完整性质询的过程中,WLAN-UE 210通过安全算法,例如HMAC-SHA-1算法,从“选项”字段中的时间戳或序列号以及随机数计算出完整性响应RESPonse。例如,WLAN-UE 210可以按如下公式计算RESPonse:
RESPonse=HMAC-SHA-1(KEY_IWLAN,S_IWLAN)
其中,
KEY_IWLAN:是预共享密钥,从例如EAP-AKA/EAP-SIM互认证过程生成的密钥Kc或(CK,IK)或KASME导出。
S_IWLAN=随机数||远程IP地址||本地IP地址||WLAN-UE 110的MAC地址||WLAN-UE的用户的标识符||时间戳/序列号||IP净荷
其中,本地IP地址是无线局域网接入网分配给WLAN-UE 210的IP地址,远程IP地址是3GPP网络分配给WLAN-UE 210的IP地址。关于上述算法和参数的细节可见3GPP TS 33.234和3GPP TS 23.234规范。请注意,S_IWLAN不局限于上述参数组合,例如,S_IWLAN也可以是上述参数中的几个的任意组合。
另外,为了确保响应正确,在进行计算之前WLAN-UE 210可以检查自己是否具有有效的KEY_IWLAN。如果有效,WLAN-UE 210计算RESPonse。否则,WLAN-UE 210将触发机制以重新获得在WLAN-UE 210与PDG 230预共享密钥。例如WLAN-UE 210可以按照3GPP TS33.234规范,触发在WLAN-UE 210与3GPP网络之间的EAP-AKA/EAP-SIM互认证,以生成新的密钥Kc或(CK,IK)或KASME。于是,WLAN-UE 210从新的密钥Kc或(CK,IK)或KASME导出有效的预共享密钥KEY_IWLAN。由此,PDG 230可以根据从3GPP网络的AAA服务器获得新的密钥Kc或(CK,IK)或KASME导出有效的预共享密钥KEY_IWLAN。
计算出响应的RESPonse之后,WLAN-UE 210向分组头部的“选项”字段中填充其计算出来的RESPonse和计算该RESPonse所用的“时间戳’/序列号’”,并将填充好的分组发送给PDG 230。
在步骤3.3,PDG 230接收到来自WLAN-UE 210的响应分组,并确定所述响应的RESPonse是否正确,以检查分组的数据完整性。
PDG 230按照与上述WLAN-UE 210相同的公式计算XRESPonse:
XRESPonse=HMAC-SHA-1(KEY_IWLAN,S_IWLAN)
其中,
KEY_IWLAN:是预共享密钥,从例如EAP-AKA/EAP-SIM互认证过程生成的密钥Kc或(CK,IK)导或KASME出。
S_IWLAN=随机数||远程IP地址||本地IP地址||WLAN-UE 110的MAC地址||WLAN-UE的用户的标识符||时间戳/序列号||IP净荷
其中,PDG 230根据接收自响应分组的“时间戳或序列号”来确定所使用的“随机数”。类似上面提到过的,本地IP地址是无线局域网接入网分配给WLAN-UE 210的IP地址,远程IP地址是3GPP网络分配给WLAN-UE 210的IP地址。另外,与WLAN-UE 210可以计算RESPonse的公式相同,在此S_IWLAN也不局限于上述参数组合,而是例如S_IWLAN也可以是上述参数中的几个的任意组合。关于上述算法和参数的细节可见3GPP TS 33.234和3GPP TS 23.234规范。
计算出XRESPonse,PDG 230确定XRESPonse是否等于从WLAN-UE 110接收的RESPonse,以验证来自WLAN-UE 110的分组的数据的完整性,从而确定来自WLAN-UE 110的分组的数据在传输过程中是否被篡改过。
以上通过示例性实施例描述了PDG 230周期性地检查来自WLAN-UE110的分组的数据完整性的过程。实际上,在最极端的情况下,PDG 230也可以检查来自WLAN-UE 210的每一个分组的数据完整性。
另外,通过上述每次使用不同的质询(即随机数不同)和完整性检查过程,还可以防止重放攻击。并且,如本领域技术人员可见的,该方案可以提供与HTTP Digest(RFC2617)相同的安全等级。
另外,根据本发明的另一示例性实施例,来自WLAN-UE 210的响应分组经由WAG 220转发给PDG 230。在转发之前,WAG 220根据3GPPTS 33.234和3GPP TS 23.234规范的策略来确定对于来自WLAN-UE 210的响应分组是否存在正确的地址映射。WAG 220可以检查分组地址是否与WLAN-UE 210用户相匹配。如果匹配,WAG 220将该分组转发给PDG130。否则,WAG 220进行出错处理,例如删除该消息并向WLAN-UE 210发送失败通知。这样可以保证该分组是有效的。有利于确保对WLAN-UE210的用户计费正确。
此外,根据本发明的另一示例性实施例,PDG 230接收到来自WLAN-UE 210的承载响应的分组时,根据3GPP TS 33.234和3GPP TS23.234规范的策略来确定对于该分组是否存在正确的地址映射。PDG 230可以检查是否存在该分组的本地IP地址与远程IP地址的绑定。这样有利于确保对WLAN-UE 210的用户计费正确。
另外,请注意,尽管以上着力于描述PDG对WLAN-UE的完整性检查,对于本领域的技术人员来说,显然PDG执行的上述完整性检查功能也可以由单独的网络实体来完成。而且,该网络实体也可以位于WAG或AAA服务器中。或者,PDG执行的上述完整性检查功能可以由多个单独的网络实体来完成。或者,该多个单独的网络实体中一个或多个可以分散在PDG、WAG、AAA服务器中的一个或多个中。
此外,各种实施例可以实现在硬件或专用目的电路、软件、逻辑或者它们的任意组合中。例如,某些方面可以实现在硬件中,而其它方面可以实现在固件或者可以由控制器、微处理器或其它计算设备执行的软件中,尽管公开的实施例并不限定于此。尽管各种实施例的各个方面可以示意和描述为框图、流程图、或者使用某些其它图示表示,应当明白这里所述的这些框图、设备、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备等,或者它们的某些组合实现。
上述描述和附图仅仅用于举例说明本发明的原理。本领域技术人员将意识到,落入本发明提出的权利要求的精神和范围内的上述实施例可以具有多种变化和置换。
Claims (15)
1.一种在3GPP网络与无线局域网互通时在所述3GPP网络中的网络侧实体中提供安全保护的方法,包括:
预先获得在所述实体与所述无线局域网终端之间共享的密钥;
通过在所述网络侧实体与所述无线局域网终端之间的普通分组数据传输隧道为所述无线局域网终端传输分组数据;以及
检查来自所述无线局域网终端的分组的数据完整性,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
2.根据权利要求1的方法,其中,周期性地检查来自所述无线局域网终端的分组的数据完整性或检查来自所述无线局域网终端的每一分组的数据完整性。
3.根据权利要求1的方法,其中,所述密钥是根据通过所述无线局域网终端与所述3GPP网络之间的EAP-AKA/EAP-SIM认证及密钥协商过程得到的密钥导出的。
4.根据权利要求1至3中任意一个的方法,其中,所述完整性检查包括:
向所述无线局域网终端发送完整性质询,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;
响应于所述质询,从所述无线局域网终端接收完整性响应,其中所述响应的响应参数被承载在分组头部的“选项”字段中;以及
确定所述响应的响应参数是否正确以检查分组的数据完整性。
5.根据权利要求4的方法,其中,所述完整性检查进一步包括:
确定对于承载所述响应的分组是否存在正确的地址映射。
6.根据权利要求1的方法,其中,所述实体位于分组数据网关中。
7.一种在3GPP网络与无线局域网互通时在无线局域网终端中提供安全保护的方法,包括:
预先获得在所述3GPP网络中的网络侧实体与所述无线局域网终端之间共享的密钥;
通过所述无线局域网终端与所述实体之间的普通分组数据传输隧道传输分组数据;以及
响应来自所述实体的对发自所述无线局域网终端的分组的数据完整性检查,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
8.根据权利要求7的方法,其中,响应完整性检查包括:
接收来自所述实体的完整性质询,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;以及
将响应于所述质询的响应发送给所述实体,其中所述响应的响应参数被承载在分组头部的“选项”字段中。
9.根据权利要求9的方法,其中,所述响应完整性检查进一步包括:
响应于接收来自所述实体的完整性质询,确定所述密钥是否有效;以及
如果所述密钥无效,则经由所述无线局域网终端与所述3GPP网络之间的EAP-AKA/EAP-SIM认证及密钥协商过程重新获得密钥以导出在所述实体与所述无线局域网终端之间共享的密钥。
10.一种在3GPP网络与无线局域网互通时提供安全保护的所述3GPP网络中的网络侧装置,包括:
用于预先获得在所述网络侧装置与无线局域网终端之间共享的密钥的装置;
通过所述网络侧装置与所述无线局域网终端之间的普通分组数据传输隧道为所述无线局域网终端传输分组数据的装置;以及
检查来自所述无线局域网终端的分组的数据完整性的装置,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
11.根据权利要求10的网络侧装置,其中,检查数据完整性的装置包括:
用于向所述无线局域网终端发送完整性质询的装置,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;
用于响应于所述质询,从所述无线局域网终端接收完整性响应的装置,其中所述响应的响应参数被承载在分组头部的“选项”字段中;以及
确定所述响应的响应参数是否正确以检查分组的数据完整性的装置。
12.根据权利要求11的网络侧装置,其中,所述检查数据完整性的装置进一步包括:
确定对于承载所述响应的分组是否存在正确的地址映射的装置。
13.根据权利要求12的网络侧装置,其中,所述检查数据完整性的装置位于以下设备中的至少一个中:无线局域网接入网关、分组数据网关或3GPP AAA服务器。
14.一种在3GPP网络与无线局域网互通时提供安全保护的无线局域网终端,包括:
用于预先获得在所述3GPP网络中的网络侧实体与所述无线局域网终端之间共享的密钥的装置;
通过所述无线局域网终端与所述实体之间的普通分组数据传输隧道传输分组数据的装置;以及
响应来自所述实体的对发自所述无线局域网终端的分组的数据完整性检查的装置,其中利用分组头部的“选项”字段来承载完整性检查的安全参数。
15.一种在3GPP网络与无线局域网互通时提供安全保护的方法,包括:
预先获得在分组数据网关与无线局域网终端之间共享的密钥;
通过在所述分组数据网关与所述无线局域网终端之间的普通分组数据传输隧道传输所述无线局域网终端的分组数据;
所述分组数据网关向所述无线局域网终端发送完整性质询,其中所述质询的时间戳或序列号以及随机数被承载在分组头部的“选项”字段中;
响应于所述质询,无线局域网接入网关从所述无线局域网终端接收完整性响应,其中所述响应的响应参数被承载在分组头部的“选项”字段中;
所述无线局域网接入网关确定对于承载所述响应的分组是否存在正确的地址映射,如果正确则将所述响应转发给所述分组数据网关;以及
所述分组数据网关确定对于承载所述响应的分组是否存在正确的地址映射,并且如果正确则确定所述响应的响应参数是否正确以检查分组的数据完整性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910197176.XA CN102045714B (zh) | 2009-10-10 | 2009-10-10 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910197176.XA CN102045714B (zh) | 2009-10-10 | 2009-10-10 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045714A CN102045714A (zh) | 2011-05-04 |
| CN102045714B true CN102045714B (zh) | 2013-07-10 |
Family
ID=43911370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910197176.XA Active CN102045714B (zh) | 2009-10-10 | 2009-10-10 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045714B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102918922B (zh) | 2011-05-31 | 2016-12-07 | 华为技术有限公司 | 数据传输方法、分流点设备、用户设备和系统 |
| CN103096500B (zh) * | 2011-11-01 | 2016-03-09 | 中国电信股份有限公司 | Epc、网络融合系统及终端接入epc的方法 |
| CN103095860B (zh) * | 2011-11-07 | 2017-12-22 | 中兴通讯股份有限公司 | 用户地址分配方法及系统 |
| CN103379178A (zh) * | 2012-04-13 | 2013-10-30 | 中兴通讯股份有限公司 | 地址分配方法及装置 |
| US9426649B2 (en) * | 2014-01-30 | 2016-08-23 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network |
| CN107683615B (zh) * | 2014-05-05 | 2020-12-22 | 瑞典爱立信有限公司 | 保护twag和ue之间的wlcp消息交换的方法、装置和存储介质 |
| CN107211488B (zh) * | 2014-12-04 | 2021-02-23 | 瑞典爱立信有限公司 | 对业务数据应用安全的方法、wlan节点和无线设备 |
| WO2017024662A1 (zh) * | 2015-08-11 | 2017-02-16 | 华为技术有限公司 | 一种接入认证方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416657A (zh) * | 2000-01-15 | 2003-05-07 | 艾利森电话股份有限公司 | 电信系统中的终端和储存库 |
| CN1833407A (zh) * | 2003-04-28 | 2006-09-13 | 阿尔卡特Ip网络有限公司 | 检验基于服务网络分布路径的操作维护管理回送消息传送 |
| CN101048991A (zh) * | 2004-08-27 | 2007-10-03 | 三星电子株式会社 | 使用异类无线网络的蜂窝移动通信系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617626A (zh) * | 2003-11-10 | 2005-05-18 | 皇家飞利浦电子股份有限公司 | 使移动终端能够在无线广域网与无线局域网之间无缝切换的通信方法和装置 |
-
2009
- 2009-10-10 CN CN200910197176.XA patent/CN102045714B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416657A (zh) * | 2000-01-15 | 2003-05-07 | 艾利森电话股份有限公司 | 电信系统中的终端和储存库 |
| CN1833407A (zh) * | 2003-04-28 | 2006-09-13 | 阿尔卡特Ip网络有限公司 | 检验基于服务网络分布路径的操作维护管理回送消息传送 |
| CN101048991A (zh) * | 2004-08-27 | 2007-10-03 | 三星电子株式会社 | 使用异类无线网络的蜂窝移动通信系统和方法 |
Non-Patent Citations (3)
| Title |
|---|
| 3rd Generation Partnership Project Technical Specification Group.3G Security * |
| Wireless Local Area Network (WLAN) interworking security.《3GPP TS 33.234》.2009,(第9.0.0版),全文. * |
| WirelessLocalAreaNetwork(WLAN)interworkingsecurity.《3GPPTS33.234》.2009 (第9.0.0版) |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045714A (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045714B (zh) | 提供3gpp网络与无线局域网互通安全的方法和装置 | |
| FI110651B (fi) | Menetelmä siirretyn datan määrän tarkastamiseksi | |
| KR100651715B1 (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
| CN101772020B (zh) | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 | |
| KR101378647B1 (ko) | Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치 | |
| CN100571124C (zh) | 防止重放攻击的方法以及保证消息序列号不重复的方法 | |
| CN101242274B (zh) | 保证消息序列号不重复、防止重放攻击的方法及移动终端 | |
| CN107409305A (zh) | 通信设备与网络设备之间的通信安全设置 | |
| CN103765847A (zh) | 用于媒体访问控制头部压缩的装置和方法 | |
| AU2848501A (en) | Integrity check in a communication system | |
| CN108024243B (zh) | 一种eSIM卡入网通信方法及其系统 | |
| CN108880813A (zh) | 一种附着流程的实现方法及装置 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN102461265A (zh) | 位置确定的网络访问 | |
| Eian et al. | The modeling and comparison of wireless network denial of service attacks | |
| CN109479194A (zh) | 加密安全性以及完整性保护 | |
| CN105072615A (zh) | 无线保真网络的连接方法和系统 | |
| US8606228B2 (en) | Method, user network equipment and management system thereof for secure data transmission | |
| CN106034300A (zh) | 基于td-lte无线通信网络的鉴权连接方法及基站 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN107426251A (zh) | 终端安全性检测方法及装置 | |
| CN102056168A (zh) | 接入方法及装置 | |
| CN101925058B (zh) | 一种身份认证的方法、系统和鉴别器实体 | |
| CN102026171B (zh) | 安全控制远程无线设备的方法 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |