CN104885519B - 分流方法、用户设备、基站和接入点 - Google Patents
分流方法、用户设备、基站和接入点 Download PDFInfo
- Publication number
- CN104885519B CN104885519B CN201380003017.6A CN201380003017A CN104885519B CN 104885519 B CN104885519 B CN 104885519B CN 201380003017 A CN201380003017 A CN 201380003017A CN 104885519 B CN104885519 B CN 104885519B
- Authority
- CN
- China
- Prior art keywords
- access point
- user equipment
- bidirectional
- authentication
- message integrity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 211
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 530
- 230000001413 cellular effect Effects 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims description 100
- 230000008569 process Effects 0.000 description 36
- 238000004891 communication Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 15
- 238000004422 calculation algorithm Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011064 split stream procedure Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0077—Transmission or use of information for re-establishing the radio link of access information of target access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/16—Performing reselection for specific purposes
- H04W36/22—Performing reselection for specific purposes for handling the traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1446—Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种分流方法、用户设备、基站和接入点。该方法包括:用户设备接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。本发明实施例的分流方法、用户设备、基站和接入点,能够减少接入时延,提高用户体验。
Description
技术领域
本发明涉及通信领域,并且更具体地,涉及分流方法、用户设备、基站和接入点。
背景技术
随着移动互联网业务的日益丰富,无线移动通信网络中的数据量激增,但是电信运营商部署的无线局域网络(Wireless Local Area Networks,WLAN),一般指的是无线保真(Wireless Fidelity,WiFi),网络利用率低。为了缓解网络的拥塞,当前业界正在考虑采用数据分流的方式,将无线移动通信网络中的部分或全部数据分流到WLAN网络上。分流的具体方式为:用户设备(User Equipment,UE)的部分业务或全部业务使用WLAN进行传输。
当UE或第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)网络根据负载等因素决定将UE分流到WLAN后,UE首先需要接入到WLAN对应的接入点(AccessPoint,AP)。传统的WLAN接入方法时延较长,会造成UE通信中断。
发明内容
本发明实施例提供了一种分流方法、用户设备、基站和接入点,能够保证用户设备快速分流到无线局域网络,减少接入时延。
第一方面,提供了一种分流方法,包括:
用户设备接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第一方面,在第一种可能的实现方式中,当该安全参数包括双向临时密钥时,根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,包括:
该用户设备向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功时,该用户设备接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成;
当该用户设备确认与该接入点认证成功,该用户设备完成与该接入点的该双向认证。
结合第一方面,在第二种可能的实现方式中,当该安全参数包括双向主密钥时,根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,包括:
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥;
该用户设备向该接入点发送由该第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
当该接入点确认与该用户设备认证成功,该用户设备接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成;
当该用户设备确认与该接入点认证成功时,该用户设备完成与该接入点的该双向认证。
结合第一方面的第一或二种可能的实现方式,在第三种可能的实现方式中,还包括:
该用户设备向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
该用户设备根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
该用户设备接收该接入点发送的重关联响应;
该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第一方面的第二种可能的实现方式,在第四种可能的实现方式中,该方法还包括:
该用户设备向该接入点发送认证请求,该认证请求包括请求者的随机数;
该用户设备接收该接入点发送的认证响应,该认证响应包括认证者的随机数;
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥,包括:
该用户设备根据该分流指示中的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第一双向临时密钥。
结合第一方面或第一方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
第二方面,提供了一种分流方法,包括:
基站获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络;
该基站向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证;
该基站向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第二方面,在第一种可能的实现方式中,该安全参数包括双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第二方面,在第二种可能的实现方式中,该安全参数包括双向主密钥,该双向主密钥用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第二方面或第二方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该基站获取用于用户设备和接入点进行双向认证的安全参数,包括:
该基站与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数;或
该基站自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
第三方面,提供了一种分流方法,包括:
接入点接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第三方面,在第一种可能的实现方式中,当该安全参数包括双向临时密钥时,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,包括:
该接入点接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功,向该用户设备发送由获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,该接入点完成与该用户设备的该双向认证。
结合第三方面,在第二种可能的实现方式中,当该安全参数包括双向主密钥时,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,包括:
该接入点接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥;
该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据该第二双向临时密钥生成;
当该接入点确认与该用户设备认证成功,向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,该接入点完成与该用户设备的该双向认证。
结合第三方面的第一或二种可能的实现方式,在第三种可能的实现方式中,还包括:
该接入点接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
该接入点根据该重关联请求和该基站发送的该安全参数生成该第二消息完整性码;
该接入点向该用户设备发送重关联响应,该重关联响应包括该接入点根据获取的该安全参数和该重关联响应生成的该第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第三方面的第二种可能的实现方式,在第四种可能的实现方式中,该方法还包括:
该接入点接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
该接入点向该用户设备发送认证响应,该认证响应包括认证者的随机数;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥,包括:
该接入点根据该基站发送的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。
结合第三方面或第三方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
第四方面,提供了一种用户设备,包括:
接收单元,用于接收基站发送的分流指示,该分流指示用于指示用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;
接入单元,用于根据该接收单元接收的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第四方面,在第一种可能的实现方式中,在该安全参数包括双向临时密钥的情况下:
该用户设备还包括发送单元,用于向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功,该接收单元还用于接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
该接入单元,具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该分流指示中的该双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
结合第四方面,在第二种可能的实现方式中,在该安全参数包括双向主密钥的情况下:
该用户设备还包括发送单元,用于向该接入点发送由该第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第一双向临时密钥根据该分流指示中的该双向主密钥获取,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
当该接入点确认与该用户设备认证成功,该接收单元还用于接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
该接入单元,具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该第一双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
结合第四方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该发送单元,还用于向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
该接入单元,还用于根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
该接收单元,还用于接收该接入点发送的重关联响应;
该接入单元,还用于根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第四方面的第二种可能的实现方式,在第四种可能的实现方式中,该发送单元,还用于向该接入点发送认证请求,该认证请求包括请求者的随机数;
该接收单元,还用于接收该接入点发送的认证响应,该认证响应包括认证者的随机数;
该接入单元,还用于根据该分流指示中的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第一双向临时密钥。
结合第四方面或第四方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
第五方面,提供了一种基站,包括:
获取单元,用于获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络;
发送单元,用于向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证,以及向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第五方面,在第一种可能的实现方式中,该安全参数包括双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第五方面,在第二种可能的实现方式中,该安全参数包括双向主密钥,该双向主密钥用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第五方面或第五方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该获取单元具体用于:
与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数;或
自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
第六方面,提供了一种接入点,包括:
接收单元,用于接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法;
接入单元,用于根据该接收单元接收的该安全参数,与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第六方面,在第一种可能的实现方式中,在该安全参数包括双向临时密钥的情况下:
该接收单元,还用于接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
该接入单元,具体用于根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接收单元根据获取的该双向临时密钥生成;
该接入点还包括发送单元,用于当该接入单元确认与该用户设备认证成功,向该用户设备发送由该接收单元获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
结合第六方面,在第二种可能的实现方式中,在该安全参数包括双向主密钥的情况下:
该接收单元,还用于接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
该接入单元,具体用于:
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由第二双向临时密钥生成,该第二双向临时密钥由该接收单元接收的该双向主密钥生成;
该接入点还包括发送单元,用于当该接入单元确认与该用户设备认证成功,向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
结合第六方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该接收单元,还用于接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
该接入单元,还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完整性码;
根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整性码,该重关联响应由该发送单元向该用户设备发送;
该发送单元,还用于向该用户设备发送该重关联响应,该重关联响应包括该第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第六方面的第二种可能的实现方式,在第四种可能的实现方式中,该接收单元,还用于接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
该发送单元,还用于向该用户设备发送认证响应,该认证响应包括认证者的随机数;
该接入单元,还用于根据该接收单元接收的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。。
结合第六方面或第六方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
第七方面,提供了一种用户设备,包括处理器、存储器和网络接口;
该存储器用于存储程序;
该处理器执行该程序,用于执行以下操作:
通过该网络接口接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第七方面,在第一种可能的实现方式中,在该安全参数包括双向临时密钥的情况下,该处理器具体用于:
通过该网络接口向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
通过该网络接口接收该接入点在确认与该用户设备认证成功时发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码根据该分流指示中的该双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
结合第七方面,在第二种可能的实现方式中,在该安全参数包括双向主密钥的情况下,该处理器具体用于:
通过该网络接口向该接入点发送由第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第一双向临时密钥由分流指示中的该双向主密钥获取,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
通过该网络接口接收该接入点在确认与该用户设备认证成功时发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码根据该第一双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
结合第七方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该处理器还用于:
通过该网络接口向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
通过该网络接口接收该接入点发送的重关联响应;
根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第七方面的第二种可能的实现方式,在第四种可能的实现方式中,该处理器还用于:
通过该网络接口向该接入点发送认证请求,该认证请求包括请求者的随机数;
通过该网络接口接收该接入点发送的认证响应,该认证响应包括认证者的随机数;
根据该分流指示中的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第一双向临时密钥。
结合第七方面或第七方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
第八方面,提供了一种基站,包括处理器、存储器和网络接口;
该存储器用于存储程序;
该处理器执行该程序,用于执行以下操作:
获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络;
通过该网络接口向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证,以及向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第八方面,在第一种可能的实现方式中,该安全参数包括双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第八方面,在第二种可能的实现方式中,该安全参数包括双向主密钥,该双向主密钥用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
结合第八方面或第八方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该处理器还用于与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数,或者,自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
第九方面,提供了一种接入点,包括处理器、存储器和网络接口;
该存储器用于存储程序;
该处理器执行该程序,用于执行以下操作:
通过该网络接口接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
结合第九方面,在第一种可能的实现方式中,在该安全参数包括双向临时密钥的情况下,该处理器具体用于:
通过该网络接口接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码根据获取的该双向临时密钥生成;
当确认与该用户设备认证成功时,通过该网络接口向该用户设备发送由获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
结合第九方面,在第二种可能的实现方式中,在该安全参数包括双向主密钥的情况下,该处理器具体用于:
通过该网络接口接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码根据该第二双向临时密钥生成,该第二双向临时密钥由该基站发送的该双向主密钥获取;
当确认与该用户设备认证成功时,通过该网络接口向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
结合第九方面的第一或二种可能的实现方式,在第三种可能的实现方式中,该处理器还用于:
通过该网络接口接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
根据该重关联请求和该基站发送的该安全参数生成该第二消息完整性码;
通过该网络接口向该用户设备发送重关联响应,该重关联响应包括根据获取的该安全参数和该重关联响应生成的该第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
结合第九方面的第二种可能的实现方式,在第四种可能的实现方式中,该处理器还用于:
通过该网络接口接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
通过该网络接口向该用户设备发送认证响应,该认证响应包括认证者的随机数;
根据该基站发送的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。
结合第九方面或第九方面的第一至四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
基于上述技术方案,本发明实施例通过根据基站在分流指示中指示的接入方法和包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一个应用场景图。
图2是本发明一个实施例的分流方法的示意性流程图。
图3是本发明实施例的重关联过程的示意性流程图。
图4是本发明另一实施例的分流方法的示意性流程图。
图5是本发明又一实施例的分流方法的示意性流程图。
图6是本发明一个实施例的用户设备的示意性框图。
图7是本发明一个实施例的基站的示意性框图。
图8是本发明一个实施例的接入点的示意性框图。
图9是本发明另一实施例的用户设备的结构示意图。
图10是本发明另一实施例的基站的结构示意图。
图11是本发明另一实施例的接入点的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
图1是可应用本发明实施例的一个场景图。如图1所示,基站具备无线蜂窝网络的接入能力或无线移动通信网络的接入能力,接入点(Access Point,AP)具备WLAN接入能力。处于基站连接下的UE,若同时在WLAN的覆盖下,基于负载、测量等因素,可能需要分流到WLAN,以缓解网络的拥塞。
应理解,上述无线蜂窝网络可以为以下任意一种通信系统,例如:全球移动通讯(Global System of Mobile communication,GSM)系统、码分多址(Code DivisionMultiple Access,CDMA)系统、宽带码分多址(Wideband Code Division MultipleAccess,WCDMA)系统、通用分组无线业务(General Packet Radio Service,GPRS)、长期演进(Long Term Evolution,LTE)系统、LTE频分双工(Frequency Division Duplex,FDD)系统、LTE时分双工(Time Division Duplex,TDD)、通用移动通信系统(Universal MobileTelecommunication System,UMTS)、全球互联微波接入(Worldwide Interoperabilityfor Microwave Access,WiMAX)通信系统等。
还应理解,在本发明实施例中,UE可称之为终端(Terminal)、移动台(MobileStation,MS)、移动终端(Mobile Terminal)等,该用户设备可以经无线接入网(RadioAccess Network,RAN)与一个或多个核心网进行通信,例如,UE可以是移动电话(或称为“蜂窝电话”)、具有移动终端的计算机等,例如,用户设备还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语音和/或数据。在本发明实施例中,基站可以是GSM或CDMA中的基站(Base Transceiver Station,BTS),也可以是WCDMA中的基站(NodeB,NB),还可以是LTE中的演进型基站(Evolutional Node B,ENB或e-NodeB),本发明并不限定。
为描述方便,下述实施例将以基站和UE为例进行说明。
为了使得下面对分流方法的描述更加清楚和更容易理解,首先对该方法中涉及到的一些概念说明如下:
安全认证:接入认证是一种WLAN网络安全性的解决方案。WLAN为防止非法用户接入,UE在接入AP前需要进行安全认证。安全认证提供了WLAN的控制接入能力。如果认证通过,AP会允许UE连接WLAN,否则不允许UE连接该WLAN。
关联:关联(association)过程紧接在认证过程之后。关联用于建立UE和AP之间的映射关系。一个UE只能与一个AP关联。当UE从一个AP移动到另一个AP时,需要进行重关联(re-association)。
PMK(Pairwise Master Key,双向主密钥):申请者(Supplicant)与认证者(Authenticator)之间进行双向认证的密钥来源。在本申请中,申请者可以理解为UE,认证者可以理解为AP。
密钥结构:
在认证过程中,密钥结构为三层,分别是PMK-R0,PMK-R1,PTK。
PMK-R0:为第一层密钥,由MSK(master session key,主会话密钥)推演出来并由PMK-R0持有者保存,该持有者可以为R0KH和S0KH。R0KH和S0KH下文会详述。
PMK-R1:为第二层密钥,由S0KH和R0KH共同推演出来,并由PMK-R1持有者保存,该持有者可以为R1KH和S1KH。R1KH和S1KH下文会详述。
PTK(Pairwise Transient Key,双向临时密钥):为第三层密钥,由S1KH和R1KH共同推演出来。换句话说,PTK是经由PMK生成的密钥,用于加密和完整性验证,在三层密钥结构中,PMK可以为PMK-R0或PMK-R1。本申请中,PTK可以直接用于UE和AP间的双向认证。
R0KH和R1KH是认证者的密钥管理实体。PMK-R0和PMK-R1的计算由R0KH控制。PTK的计算由R1KH控制。R0KH-ID和R1KH-ID分别为R0KH和R1KH的标识符,R0KH-ID可以为认证者的NAS(non-access stratum,非接入层)ID,R1KH-ID可以为认证者的MAC(media accesscontrol,媒体接入控制)地址。S0KH和S1KH是申请者的密钥管理实体,功能分别与R0KH、R1KH类似。S0KH-ID和S1KH-ID分别为S0KH和S1KH的标识符,都可以为申请者的MAC地址。
MIC(message integrity code,消息完整性校验码):针对一组需要保护的数据计算出的散列值,用来防止数据遭篡改。
图2示出了根据本发明实施例的分流方法200的示意性流程图。该方法200从UE的角度进行描述,包括:
S210,用户设备接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点。
S220,根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
在本发明实施例中,在UE需要分流到WLAN时,基站向UE发送分流指示,指示UE接入WLAN的AP使用的接入方法和安全参数。此外,基站也会向AP发送上述安全参数。换句话说,通过基站分别向UE和AP发送用于UE接入AP的安全参数,避免了UE和AP通过802.1x认证过程和4次握手过程协商安全参数所造成的时延,可以保证UE快速分流至AP。在现有技术中,802.1x认证过程和4次握手过程用于UE为了接入AP,与AP交互协商获取用上述安全参数,上述过程包括UE经由认证服务器获取中间参数并将该中间参数发送给AP,随后UE和AP再各自生成最终的用于UE接入的安全参数,时延较大。
因此,本发明实施例的分流方法,根据基站在分流指示中指示的接入方法和包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
可选的,在本发明的一个实施例中,基站在分流指示中指示UE接入到AP使用的接入方法,可以通过隐式或显式的方式指示。当采用隐式方式时,根据获取的安全参数,UE即能确定根据何种接入方式接入AP,并使用该安全参数完成双向认证。当采用显式方式时,UE根据指示的接入方式确定通过何种方式接入AP,并使用相应的安全参数完成双向认证。
下面将详细描述UE根据分流指示分流至无线局域网的不同实现方式。
可选地,在本发明的一个实施例中,分流指示采用隐式方式指示分流方法。即,该分流指示包含上述安全参数,但不包含具体的接入方法,该安全参数可用于指示该UE接入上述AP的接入方法。例如,该UE可以直接根据该安全参数,与AP进行双向认证并接入到该AP。上述隐式的指示方式,可以节约UE和基站间的空口开销,在不增加分流指示中的信元的前提下,UE自行通过安全参数确定用何种方式接入AP,简化了基站的配置。
可选地,在本发明的另一个实施例中,该分流指示采用显式方式指示分流方法。即,该分流指示包括接入方法和安全参数,该接入方法为该UE接入到该AP的接入方法,该安全参数为该接入方法对应的安全参数,用于该UE和该AP进行双向认证。在本实施例的一种实现方式中,在分流指示中可以采用比特位图(bit map)指示接入方法。例如,可以使用一个比特(bit)位指示具体的接入方法,当该比特位的数值为1时,指示UE使用分流指示中包含的安全参数接入AP,在这种情况下基站发送的分流指示中要同时包含安全参数。当该比特位的数值为0时,指示UE通过既定的接入方法接入AP。例如指示UE采用并发对等认证(Simultaneous authentication of equals,SAE)的接入方法接入AP,或采用快速基本服务集(Base Service Set,BSS)切换(Fast BSS Transition,FT)的接入方法接入AP。SAE的接入方法是UE接入AP时,不需要通过认证服务器的认证方法。其主要过程概述为:UE和AP分别向对端提交命令(commit),并在接收到对端发送的commit后回复确认(confirm)消息来确认对端,UE和AP分别产生PMK,经由PMK生成PTK,从而实现双向认证。在采用SAE的接入方法时,分流指示中可以不包含安全参数。FT的接入方式下文会详细描述,此处不再赘述。
上述显式的指示方式,UE和基站间可以预先确定代表不同接入方式的数值或表现形式,从而可以通知UE具体是通过哪种接入方式接入AP,避免UE根据安全参数自行确定具体的接入方式,简化了UE的配置。
在本发明实施例中,基站发送给UE的分流指示中包含的安全参数可以由基站与AP协商后确定;也可以由基站自行确定,UE可以直接根据从基站获取的安全参数接入到AP,减少了接入过程中获取安全参数的时间,从而能够减少接入时延。例如,基于基站和AP协商确定安全参数,可以为基站向AP发送第一安全参数,当AP确定该第一安全参数可行时,AP接收该安全参数并应用于与UE的双向认证过程中。当AP确定该第一安全参数不可行时,AP向基站反馈上述情况。此时,基站再次向AP发送更新后的第二安全参数,以此类推。又如,基于基站自行确定的安全参数,基站可以直接分别将该安全参数发送给UE和AP以便直接应用于AP与UE的双向认证过程中。
在本发明实施例中,基站发送给UE的安全参数可以包括各种不同的参数,相应地,根据该安全参数,该UE与该AP进行该双向认证的具体实现方式也有所差别,以下分别进行具体描述。
可选的,在一种实现方式中,该安全参数包括PTK。
在这种情况下,根据该基站向该UE发送的该安全参数,该UE与该AP进行双向认证,包括:
该用户设备向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码(Message Integrity Code,MIC),用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功时,该用户设备接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成;
当该用户设备确认与该接入点认证成功时,该用户设备完成与该接入点的该双向认证。
在本实施例中,基站分别发送PTK给UE和AP。例如,基站与AP协商确定PTK后,AP可以获取该PTK,且基站在发送给UE的分流指示中包含该PTK。UE在接收到包含PTK的分流指示时,根据基站发送的PTK直接与AP进行双向认证过程以便接入到AP。例如,UE和AP之间通过重关联(Re-association)过程,分别发送消息完整性码给对端以进行双向认证。
下面结合图3所示的例子对重关联过程进行详细说明:
301,UE发送重关联请求(Re-association Request)给AP,该重关联请求包括根据基站向UE发送的PTK和该Re-association Request生成的MIC(表示为第一消息完整性码)。
302,AP接收到Re-association Request后,使用自身保存的PTK(该PTK由AP与基站协商获得或者由基站自行确定并发送给AP)和收到的Re-association Request生成MIC(表示为第二消息完整性码),与收到的MIC进行比较,如果相同,则认为认证成功,并发送重关联响应(Re-association Response)给UE,该重关联相应包括根据AP保存的PTK和Re-association Response生成的MIC(表示为第三消息完整性码)。
303,UE接收到Re-association Response后,使用基站向UE发送的的PTK和收到的Re-association Response生成MIC(表示为第四消息完整性码),与收到的MIC进行比较,如果相同,则双向认证成功,从而UE与AP之间可以进行正常的数据传输。
可选地,在另一种实现方式中,该安全参数包括双向主密钥(Pairwise MasterKey,PMK)。
在这种情况下,根据该基站向该UE发送的该安全参数,该UE与该AP进行该双向认证,包括:
该用户设备根据该分流指示中的该双向主密钥获取第一双向临时密钥;
该用户设备向该接入点发送由该第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
当该接入点确认与该用户设备认证成功时,该用户设备接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成;
当该用户设备确认与该接入点认证成功时,该用户设备完成与该接入点的该双向认证。
本实现方式与前一实现方式的区别在于,基站发送给UE和AP的是PMK。由于UE与AP进行双向认证最终需要的是PTK,因此,UE和AP要先根据获取的PMK分别生成PTK,再根据PTK进行双向认证以接入到AP。
具体地,UE可以根据PMK、认证者的随机数(Authenticator nonce,ANonce)和请求者的随机数(Supplicant nonce,SNonce)确定PTK。ANonce和SNonce可以由UE和AP通过认证(authentication)过程确定,也可以由UE通过基站获取。例如,基站可以在发送给UE的安全参数中包含ANonce和SNonce。又如,当基站向UE发送的安全参数中不包含ANonce和SNonce时,UE和AP可以通过authentication过程确定上述ANonce和SNonce。在后一种方式中,UE接收到包含PMK的分流指示后,先发起authentication过程,在向AP发送的认证请求(authentication request)中携带SNonce,AP在向UE发送的认证响应(authenticationresponse)中携带ANonce。这样,UE和AP都能根据PMK、ANonce和SNonce自行确定PTK。在确定了PTK后,UE和AP再根据PTK进行双向认证过程。该双向认证过程可以参考上文描述的重关联过程,此处不再赘述。
可以理解,因为基站可以确定ANonce和SNonce,故基站可以直接向UE或AP中的一方发送PTK,向另一方发送PMK。例如,基站可以向UE发送PMK,向AP发送PTK。此时,UE可以根据PMK和获取的ANonce、SNonce自行确定PTK。或者,基站可以向UE发送PTK,向AP发送PMK。此时,AP同样可以根据PMK和获取的ANonce、SNonce自行确定PTK,此处不再赘述。
可选地,在另一种实现方式中,该安全参数包括:
MSK、PMK-R0、PMK-R1中的至少一个;和
R0KH-ID、R1KH-ID中的至少一个。
该实现方式为FT的接入方式,在这种情况下,根据该基站向该用户设备发送的该安全参数,该用户设备与该接入点进行该双向认证,包括:
该用户设备根据该基站发送的该MSK、PMK-R0、PMK-R1中的至少一个,和,该R0KH-ID、R1KH-ID中的至少一个,生成双向临时密钥;
根据该双向临时密钥,该用户设备与该接入点进行该双向认证。
可选地,若UE接入的AP对应的R0KH-ID和R1KH-ID总是固定的,例如,UE在每次分流时,都接入到同一个AP,当UE已经在前次的分流过程中获取了该AP的R0KH-ID和R1KH-ID时,本次分流指示中的安全参数可以不包含R0KH-ID和R1KH-ID。又如,当R0KH-ID和R1KH-ID的值相同时,该安全参数可以择一携带R0KH-ID或R1KH-ID。
可选地,该安全参数可以包括PTK、PMK-R1、PMK-R0中的任意一个。例如,用户设备可以根据MSK结合R0KH-ID推演得到PMK-R0,或根据PMK-R0结合R1KH-ID推演得到PMK-R1,或根据PMK-R1结合ANonce和SNonce推演得到PTK。
可选地,该安全参数也可以包括ANonce和SNonce,此时可以不通过UE与AP间的authentication过程直接确定认证所需的PTK。当该安全参数不包括ANonce或SNonce时,UE和AP可以通过认证(authentication)过程确定ANonce和SNonce。上文对如何确定ANonce和SNonce已有详述,在此不再赘述。
在本发明的各个实施例中,该安全参数还可以包括加密算法,也就是说,UE可以从基站获取加密算法,这样,在接入AP的过程中就不需要再确定加密算法。该加密算法可用于UE和AP通信时交互信息的加解密,加密算法的具体构成可参见现有技术,此次不再限定。
在本发明实施例中,可选地,在UE自基站接入到上述AP(此处用第一AP表示)后,若要切换到第二AP,则UE可以根据从基站获得的安全参数推演得到接入到第二AP所需的安全参数。相应地,第二AP可以从第一AP获取UE接入到第二AP所需的安全参数,或,第一AP推演得出第二AP所需的安全参数并发送给第二AP。因此,UE和第二AP可以通过获取的安全参数快速完成双向认证过程,以便UE从第一AP快速地切换到第二AP。
本发明实施例的分流方法,根据基站在分流指示中包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
以上从UE的角度详细描述了本发明实施例的分流方法,下面从基站的角度描述本发明实施例的分流方法。
图4示出了根据本发明另一实施例的分流方法400的示意性流程图。该方法400从基站的角度进行描述,包括:
S410,基站获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络。
S420,该基站向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证。
S430,该基站向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
在本发明实施例中,在需要将UE分流到WLAN时,基站向UE发送分流指示,指示UE接入WLAN的AP的接入方法和用于UE和AP进行双向认证的安全参数。并且,基站也会向AP发送上述安全参数。UE根据基站指示的接入方法和安全参数接入到AP。这样,基站通过分别向UE和AP发送用于UE接入AP的安全参数,避免了UE和AP通过802.1x认证过程和4次握手过程协商安全参数所造成的时延,可以保证UE快速分流至WLAN,减少接入时延,从而能够提高用户体验。
在本发明实施例中,可选地,基站获取用于用户设备和接入点进行双向认证的安全参数,包括:
该基站与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数;或
该基站自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
在本发明实施例中,基站发送给UE的分流指示中包含的安全参数可以由基站与AP协商后确定。可选地,也可以由基站自行确定并同时发送给AP。这样,UE可以直接根据从基站获取的安全参数接入到AP,减少了接入过程中获取安全参数的时间,从而能够减少接入时延。
可选的,在本发明实施例中,基站在分流指示中指示UE接入到AP使用的接入方法,可以通过隐式或显式的方式指示。当采用隐式方式时,根据获取的安全参数,UE即能确定根据何种接入方式接入AP,并使用该安全参数完成双向认证。当采用显式方式时,UE根据指示的接入方式确定通过何种方式接入AP,并使用相应的安全参数完成双向认证。
可选地,在本发明的一个实施例中,分流指示采用隐式方式指示分流方法。即,该分流指示包含上述安全参数,但不包含具体的接入方法,该安全参数可用于指示该UE接入上述AP的接入方法。例如,该UE可以直接根据该安全参数,与AP进行双向认证并接入到该AP。上述隐式的指示方式,可以节约UE和基站间的空口开销,在不增加分流指示中的信元的前提下,UE自行通过安全参数确定用何种方式接入AP,简化了基站的配置。
可选地,在本发明的另一个实施例中,该分流指示采用显式方式指示分流方法。即,该分流指示包括接入方法和该安全参数,该接入方法为该UE接入到该AP的接入方法,该安全参数是该接入方法对应的安全参数,用于该UE和该AP进行双向认证。具体的实现方式可以参考UE为执行主体的方法实施例的相应描述,在此不再赘述。
上述显式的指示方式,UE和基站间可以预先确定代表不同接入方式的数值或表现形式,从而可以通知UE具体是通过哪种接入方式接入AP,避免UE根据安全参数自行确定具体的接入方式,简化了UE的配置。
在本发明实施例中,可选地,该安全参数包括PTK,该PTK用于该UE和该AP进行双向认证。
在本实施例中,基站分别发送PTK给UE和AP。例如,基站与AP协商确定PTK后,AP可以获取该PTK,且基站在发送给UE的分流指示中包含该PTK。UE在接收到包含PTK的分流指示时,根据基站发送的PTK接入到AP。由于UE从基站获取的是PTK,因此,UE可以直接与AP进行双向认证过程。具体双向认证过程可参考UE为执行主体的方法实施例,在此不再赘述。
在本发明实施例中,可选地,该安全参数包括PMK,该PMK用于该UE和该AP确定PTK,该PTK用于该UE和该AP进行双向认证。由于UE与AP进行双向认证最终需要的是PTK,因此,UE要先根据PMK生成PTK。在本实施例中,UE在接收到包含PMK的分流指示时,先根据PMK确定PTK,再根据PTK进行双向认证过程。
在本发明实施例中,可选地,该安全参数包括:
MSK、PMK-R0、PMK-R1中的至少一个;和
R0KH-ID、R1KH-ID中的至少一个。
该安全参数用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
在本发明的各个实施例中,该安全参数还可以包括加密算法。UE可以从基站获取加密算法,这样,在接入AP的过程中就不需要再确定加密算法。
应理解,在本发明实施例中,UE侧描述的UE、基站和AP相互之间的交互及相关特性、功能等与基站侧的描述相应,为了简洁,在此不再赘述。
本发明实施例的分流方法,通过向UE发送包括安全参数的分流指示,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
以上分别从UE和基站的角度描述了本发明实施例的分流方法,下面从AP的角度描述本发明实施例的分流方法。
图5示出了根据本发明又一实施例的分流方法500的示意性流程图。该方法500从AP的角度进行描述,包括:
S510,接入点接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法。
S520,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
在本发明实施例中,AP接收基站发送的安全参数。在UE从基站分流到WLAN时,基站将该安全参数携带在发送给UE的分流指示中,发给UE。这样,AP与UE可以根据该安全参数进行双向认证,以使UE接入AP从而实现向WLAN的分流。这样能够避免了UE和AP通过802.1x认证过程和4次握手过程协商安全参数所造成的时延,可以保证UE快速分流至AP。
因此,本发明实施例的分流方法,通过根据基站发送的用于AP和UE进行双向认证的安全参数与UE进行双向认证,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
在本发明一个实施例中,可选地,该安全参数包括PTK。
在这种情况下,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,包括:
该接入点接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功时,向该用户设备发送由获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,该接入点完成与该用户设备的该双向认证。
在本发明另一实施例中,可选地,该安全参数包括PMK。
在这种情况下,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,包括:
该接入点接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥;
该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据该第二双向临时密钥生成;
当该接入点确认与该用户设备认证成功时,向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,该接入点完成与该用户设备的该双向认证。
可选地,在本发明的一个实施例中,该方法还包括:
该接入点接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
该接入点向该用户设备发送认证响应,该认证响应包括认证者的随机数;
该接入点根据该基站发送的该双向主密钥获取第二双向临时密钥,包括:
该接入点根据该基站发送的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。
在前述实施例中,双向认证可以通过重关联过程实现,具体实现方式可以参考UE侧的相应描述,在此不再赘述。
可选地,在本发明的另一个实施例中,该安全参数包括:
MSK、PMK-R0、PMK-R1中的至少一个;和
R0KH-ID、R1KH-ID中的至少一个。
在这种情况下,根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,包括:
该接入点根据该基站发送的该MSK、PMK-R0、PMK-R1中的至少一个,和,该R0KH-ID、R1KH-ID中的至少一个,生成双向临时密钥;
根据该双向临时密钥,该接入点与该用户设备进行该双向认证。
在本发明的各个实施例中,该安全参数还可以包括加密算法。这样,在UE接入到AP的过程中就不需要再确定加密算法。
应理解,在本发明实施例中,UE侧描述的UE、基站和AP相互之间的交互及相关特性、功能等与AP侧的描述相应,为了简洁,在此不再赘述。
本发明实施例的分流方法,通过根据基站发送的安全参数与UE进行双向认证,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上文中结合图1至图5,详细描述了根据本发明实施例的分流方法,下面将结合图6至图11,描述根据本发明实施例的用户设备、基站和接入点。
图6示出了根据本发明实施例的用户设备600的示意性框图。如图6所示,该用户设备600包括:
接收单元610,用于接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;
接入单元620,用于根据该接收单元610接收的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
本发明实施例的用户设备,根据基站在分流指示中指示的接入方法和包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
可选的,在本发明实施例中,基站在分流指示中指示UE接入到AP使用的接入方法,可以通过隐式或显式的方式指示。当采用隐式方式时,根据获取的安全参数,UE即能确定根据何种接入方式接入AP,并使用该安全参数完成双向认证。当采用显式方式时,UE根据指示的接入方式确定通过何种方式接入AP,并使用相应的安全参数完成双向认证。
可选地,在本发明的一个实施例中,分流指示采用隐式方式指示分流方法。即,该分流指示包含上述安全参数,但不包含具体的接入方法,该安全参数可用于指示该UE接入上述AP的接入方法。例如,该UE可以直接根据该安全参数,与AP进行双向认证并接入到该AP。上述隐式的指示方式,可以节约UE和基站间的空口开销,在不增加分流指示中的信元的前提下,UE自行通过安全参数确定用何种方式接入AP,简化了基站的配置。
可选地,在本发明的另一个实施例中,该分流指示采用显式方式指示分流方法。即,该分流指示包括接入方法和安全参数,该接入方法为该UE接入到该AP的接入方法,该安全参数为该接入方法对应的安全参数,用于该UE和该AP进行双向认证。上述显式的指示方式,UE和基站间可以预先确定代表不同接入方式的数值或表现形式,从而可以通知UE具体是通过哪种接入方式接入AP,避免UE根据安全参数自行确定具体的接入方式,简化了UE的配置。
在本发明实施例中,可选地,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
可选的,在一种实现方式中,该安全参数包括双向临时密钥。
在该安全参数包括双向临时密钥的情况下:
该用户设备600还包括:
发送单元630,用于向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
当该接入点确认与该用户设备认证成功,该接收单元610还用于接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
该接入单元620具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该分流指示中的该双向临时密钥生成,当确认与该接入点认证成功时,完成与该接入点的该双向认证。
可选地,在这种实现方式中,
该发送单元630,还用于向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
该接入单元620,还用于根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
该接收单元610,还用于接收该接入点发送的重关联响应;
该接入单元620,还用于根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,在另一种实现方式中,该安全参数包括双向主密钥。
在该安全参数包括双向主密钥的情况下:
该用户设备600还包括:
发送单元630,用于向该接入点发送由该第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第一双向临时密钥根据该分流指示中的该双向主密钥获取,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
当该接入点确认与该用户设备认证成功,该接收单元610还用于接收该接入点发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
该接入单元620,具体用于:
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该第一双向临时密钥生成,当确认与该接入点认证成功时,完成与该接入点的该双向认证。
可选地,在这种实现方式中,
该发送单元630,还用于向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
该接入单元620,还用于根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
该接收单元610,还用于接收该接入点发送的重关联响应;
该接入单元620,还用于根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,在这种实现方式中,
该发送单元630,还用于向该接入点发送认证请求,该认证请求包括请求者的随机数;
该接收单元610,还用于接收该接入点发送的认证响应,该认证响应包括认证者的随机数;
该接入单元620,还用于根据该分流指示中的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第一双向临时密钥。根据本发明实施例的用户设备600可对应于根据本发明实施例的分流方法中的用户设备,并且用户设备600中的各个单元的上述和其它操作和/或功能分别为了实现图1至图5中的各个方法的相应流程,为了简洁,在此不再赘述。
本发明实施例的用户设备,根据基站在分流指示中包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
图7示出了根据本发明实施例的基站700的示意性框图。如图7所示,该基站700包括:
获取单元710,用于获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络;
发送单元720,用于向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证,以及向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
本发明实施例的基站,通过向UE发送指示UE接入到AP使用的接入方法并包括安全参数的分流指示,以使UE根据该安全参数接入到该AP,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
在本发明实施例中,可选地,该安全参数包括双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
在本发明实施例中,可选地,该安全参数包括双向主密钥,该双向主密钥用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
在本发明实施例中,可选地,该获取单元710具体用于与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数,或者,自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
根据本发明实施例的基站700可对应于根据本发明实施例的分流方法中的基站,并且基站700中的各个单元的上述和其它操作和/或功能分别为了实现图1至图5中的各个方法的相应流程,为了简洁,在此不再赘述。
本发明实施例的基站,通过向UE发送包括安全参数的分流指示,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
图8示出了根据本发明实施例的接入点800的示意性框图。如图8所示,该接入点800包括:
接收单元810,用于接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法;
接入单元820,用于根据该接收单元810接收的该安全参数,与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
本发明实施例的接入点,通过根据基站发送的用于AP和UE进行双向认证的安全参数与UE进行双向认证,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
在本发明实施例中,可选地,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
可选的,在一种实现方式中,该安全参数包括双向临时密钥。
在该安全参数包括双向临时密钥的情况下:
该接收单元810,还用于接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
该接入单元820,具体用于根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接收单元获取的该双向临时密钥生成;
该接入点800还包括发送单元830,用于当该接入单元820确认与该用户设备认证成功,向该用户设备发送由该接收单元810获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
可选地,在这种实现方式中,
该接收单元810,还用于接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
该接入单元820,还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完整性码;
根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整性码,该重关联响应由该发送单元向该用户设备发送;
该发送单元830,还用于向该用户设备发送该重关联响应,该重关联响应包括该第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,在另一种实现方式中,该安全参数包括双向主密钥。
在该安全参数包括双向主密钥的情况下:
该接收单元810,还用于接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
该接入单元820,具体用于:
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由第二双向临时密钥生成,该第二双向临时密钥由该接收单元接收的该双向主密钥生成;
该接入点800还包括发送单元830,用于当该接入单元820确认与该用户设备认证成功,向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
可选地,在这种实现方式中,
该接收单元810,还用于接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
该接入单元820,还用于:
根据该重关联请求和该接收单元接收的该安全参数生成该第二消息完整性码;
根据该接收单元接收的该安全参数和重关联响应生成该第三消息完整性码,该重关联响应由该发送单元向该用户设备发送;
该发送单元830,还用于向该用户设备发送该重关联响应,该重关联响应包括第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,在这种实现方式中,
该接收单元810,还用于接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
该发送单元830,还用于向该用户设备发送认证响应,该认证响应包括认证者的随机数;
该接入单元820,还用于根据该接收单元接收的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。
根据本发明实施例的接入点800可对应于根据本发明实施例的分流方法中的接入点,并且接入点800中的各个单元的上述和其它操作和/或功能分别为了实现图1至图5中的各个方法的相应流程,为了简洁,在此不再赘述。
本发明实施例的AP,通过根据基站发送的安全参数与UE进行双向认证,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
图9示出了本发明的又一实施例提供的用户设备的结构,包括至少一个处理器902(例如CPU),至少一个网络接口905或者其他通信接口,存储器906,和至少一个通信总线903,用于实现这些装置之间的连接通信。处理器902用于执行存储器906中存储的可执行模块,例如计算机程序。存储器906可能包含高速随机存取存储器(RAM:Random AccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口905(可以是有线或者无线)实现与至少一个其他网元之间的通信连接。
在一些实施方式中,存储器906存储了程序9061,处理器902执行程序9061,用于执行以下操作:
通过网络接口接收基站发送的分流指示,该分流指示用于指示该用户设备接入接入点的接入方法,该分流指示包括用于该用户设备和该接入点进行双向认证的安全参数,该接入点属于无线局域网络,该基站属于无线蜂窝网络,该安全参数进一步由该基站发送至该接入点;
根据该基站向该用户设备发送的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
可选地,在该安全参数包括双向临时密钥的情况下,该处理器具体用于:
通过网络接口向该接入点发送由该分流指示中的该双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
通过网络接口接收该接入点在确认与该用户设备认证成功时发送的第三消息完整性码,该第三完整性码由该接入点根据由该基站获取的该双向临时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码根据该分流指示中的该双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
可选地,在该安全参数包括双向主密钥的情况下,该处理器具体用于:
通过网络接口向该接入点发送由第一双向临时密钥生成的第一消息完整性码,用于该接入点根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第一双向临时密钥由分流指示中的该双向主密钥获取,该第二消息完整性码由该接入点根据第二双向临时密钥生成,该第二双向临时密钥由该接入点根据由该基站获取的该双向主密钥生成;
通过网络接口接收该接入点在确认与该用户设备认证成功时发送的第三消息完整性码,该第三完整性码由该接入点根据该第二双向临时密钥生成;
根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码根据该第一双向临时密钥生成;
当确认与该接入点认证成功时,完成与该接入点的该双向认证。
可选地,该处理器还用于:
通过网络接口向该接入点发送重关联请求,用于该接入点根据该重关联请求和经由该基站获取的该安全参数生成该第二消息完整性码;
根据该分流指示中的该安全参数和该重关联请求生成该第一消息完整性码;
通过网络接口接收该接入点发送的重关联响应;
根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,该处理器还用于:
通过网络接口向该接入点发送认证请求,该认证请求包括请求者的随机数;
通过网络接口接收该接入点发送的认证响应,该认证响应包括认证者的随机数;
根据该分流指示中的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第一双向临时密钥。
可选地,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
从本发明实施例提供的以上技术方案可以看出,本发明实施例通过根据基站在分流指示中指示的接入方法和包括的安全参数接入到AP,能够快速分流到WLAN,减少接入时延,从而能够提高用户体验。
图10示出了本发明的又一实施例提供的基站的结构,包括至少一个处理器1002(例如CPU),至少一个网络接口1005或者其他通信接口,存储器1006,和至少一个通信总线1003,用于实现这些装置之间的连接通信。处理器1002用于执行存储器1006中存储的可执行模块,例如计算机程序。存储器1006可能包含高速随机存取存储器(RAM:Random AccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口1005(可以是有线或者无线)实现与至少一个其他网元之间的通信连接。
在一些实施方式中,存储器1006存储了程序10061,处理器1002执行程序10061,用于执行以下操作:
获取用于用户设备和接入点进行双向认证的安全参数,该基站属于无线蜂窝网络,该接入点属于无线局域网络;
通过网络接口向该接入点发送该安全参数,该安全参数用于该接入点和该用户设备进行双向认证,以及向该用户设备发送分流指示,该分流指示用于指示该用户设备接入该接入点的接入方法,该分流指示包括该安全参数,用于该用户设备根据接收到的该安全参数,与该接入点进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
可选地,该安全参数包括双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
可选地,该安全参数包括双向主密钥,该双向主密钥用于该用户设备和该接入点确定双向临时密钥,该双向临时密钥用于该用户设备和该接入点进行该双向认证。
可选地,该处理器还用于与该接入点协商确定用于该用户设备和该接入点进行该双向认证的该安全参数,或者,自行确定用于该用户设备和该接入点进行该双向认证的该安全参数。
从本发明实施例提供的以上技术方案可以看出,本发明实施例通过向UE发送指示UE接入到AP的接入方法并包括安全参数的分流指示,以使UE根据该安全参数接入到该AP,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
图11示出了本发明的又一实施例提供的AP的结构,包括至少一个处理器1102(例如CPU),至少一个网络接口1105或者其他通信接口,存储器1106,和至少一个通信总线1103,用于实现这些装置之间的连接通信。处理器1102用于执行存储器1106中存储的可执行模块,例如计算机程序。存储器1106可能包含高速随机存取存储器(RAM:Random AccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口1105(可以是有线或者无线)实现与至少一个其他网元之间的通信连接。
在一些实施方式中,存储器1106存储了程序11061,处理器1102执行程序11061,用于执行以下操作:
通过网络接口接收基站发送的安全参数,该安全参数用于该接入点和用户设备进行双向认证,该基站属于无线蜂窝网络,该接入点属于无线局域网络,该安全参数进一步携带在由该基站发送至该用户设备的分流指示中,该分流指示用于指示该用户设备接入该接入点的接入方法;
根据该基站向该接入点发送的该安全参数,该接入点与该用户设备进行该双向认证,以便该用户设备根据该接入方法接入该接入点并向该无线局域网络分流。
可选地,在该安全参数包括双向临时密钥的情况下,该处理器具体用于:
通过网络接口接收该用户设备发送的由该分流指示中的该双向临时密钥生成的第一消息完整性码;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码根据获取的该双向临时密钥生成;
当确认与该用户设备认证成功时,通过网络接口向该用户设备发送由获取的该双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该分流指示中的该双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
可选地,在该安全参数包括双向主密钥的情况下,该处理器具体用于:
通过网络接口接收该用户设备发送的由第一双向临时密钥生成的第一消息完整性码,该第一双向临时密钥由该用户设备根据该分流指示中的该双向主密钥生成;
根据该第一消息完整性码与第二消息完整性码确定是否与该用户设备认证成功,该第二消息完整性码根据该第二双向临时密钥生成,该第二双向临时密钥由该基站发送的该双向主密钥获取;
当确认与该用户设备认证成功时,通过网络接口向该用户设备发送由该第二双向临时密钥生成的第三消息完整性码,用于该用户设备根据该第三消息完整性码和第四消息完整性码确定是否与该接入点认证成功,该第四消息完整性码由该用户设备根据该第一双向临时密钥生成,当该用户设备确认与该接入点认证成功时,完成与该用户设备的该双向认证。
可选地,该处理器还用于:
通过网络接口接收该用户设备发送的重关联请求,该重关联请求包括该用户设备由该分流指示中的该安全参数和该重关联请求生成的该第一消息完整性码;
根据该重关联请求和该基站发送的该安全参数生成该第二消息完整性码;
通过网络接口向该用户设备发送重关联响应,该重关联响应包括根据获取的该安全参数和该重关联响应生成的该第三消息完整性码,用于该用户设备根据该重关联响应和该分流指示中的该安全参数生成该第四消息完整性码。
可选地,该处理器还用于:
通过网络接口接收该用户设备发送的认证请求,该认证请求包括请求者的随机数;
通过网络接口向该用户设备发送认证响应,该认证响应包括认证者的随机数;
根据该基站发送的该双向主密钥,该认证者的随机数和该请求者的随机数,获取该第二双向临时密钥。
可选地,该安全参数由该基站与该接入点协商后确定,或由该基站自行确定。
从本发明实施例提供的以上技术方案可以看出,本发明实施例通过根据基站发送的用于AP和UE进行双向认证的安全参数与UE进行双向认证,能够使UE快速分流到WLAN,减少接入时延,从而能够提高用户体验。
应理解,在本发明实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,在本发明实施例中,术语“第一”、“第二”等仅仅是为了区分不同的内容,不对本发明实施例做其他限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (48)
1.一种分流方法,其特征在于,包括:
用户设备接收基站发送的分流指示,所述分流指示用于指示所述用户设备接入接入点的接入方法,所述分流指示包括用于所述用户设备和所述接入点进行双向认证的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述接入点属于无线局域网络,所述基站属于无线蜂窝网络,所述安全参数进一步由所述基站发送至所述接入点;
根据所述基站向所述用户设备发送的所述安全参数,所述用户设备与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
2.根据权利要求1所述的方法,其特征在于,当所述安全参数包括所述双向临时密钥时,根据所述基站向所述用户设备发送的所述安全参数,所述用户设备与所述接入点进行所述双向认证,包括:
所述用户设备向所述接入点发送由所述分流指示中的所述双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
当所述接入点确认与所述用户设备认证成功,所述用户设备接收所述接入点发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述分流指示中的所述双向临时密钥生成;
当所述用户设备确认与所述接入点认证成功时,所述用户设备完成与所述接入点的所述双向认证。
3.根据权利要求1所述的方法,其特征在于,当所述安全参数包括所述双向主密钥时,根据所述基站向所述用户设备发送的所述安全参数,所述用户设备与所述接入点进行所述双向认证,包括:
所述用户设备根据所述分流指示中的所述双向主密钥获取第一双向临时密钥;
所述用户设备向所述接入点发送由所述第一双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据第二双向临时密钥生成,所述第二双向临时密钥由所述接入点根据由所述基站获取的所述双向主密钥生成;
当所述接入点确认与所述用户设备认证成功,所述用户设备接收所述接入点发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据所述第二双向临时密钥生成;
所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述第一双向临时密钥生成;
当所述用户设备确认与所述接入点认证成功时,所述用户设备完成与所述接入点的所述双向认证。
4.根据权利要求2或3所述的方法,其特征在于,还包括:
所述用户设备向所述接入点发送重关联请求,用于所述接入点根据所述重关联请求和经由所述基站获取的所述安全参数生成所述第二消息完整性码;
所述用户设备根据所述分流指示中的所述安全参数和所述重关联请求生成所述第一消息完整性码;
所述用户设备接收所述接入点发送的重关联响应;
所述用户设备根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述用户设备向所述接入点发送认证请求,所述认证请求包括请求者的随机数;
所述用户设备接收所述接入点发送的认证响应,所述认证响应包括认证者的随机数;
所述用户设备根据所述分流指示中的所述双向主密钥获取第一双向临时密钥,包括:
所述用户设备根据所述分流指示中的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第一双向临时密钥。
6.根据权利要求1、2、3或5所述的方法,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
7.一种分流方法,其特征在于,包括:
基站获取用于用户设备和接入点进行双向认证的安全参数,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络;
所述基站向所述接入点发送所述安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述安全参数用于所述接入点和所述用户设备进行双向认证;
所述基站向所述用户设备发送分流指示,所述分流指示用于指示所述用户设备接入所述接入点的接入方法,所述分流指示包括所述安全参数,用于所述用户设备根据接收到的所述安全参数,与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
8.根据权利要求7所述的方法,其特征在于:
所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
9.根据权利要求7所述的方法,其特征在于:
所述双向主密钥用于所述用户设备和所述接入点确定双向临时密钥,所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述基站获取用于用户设备和接入点进行双向认证的安全参数,包括:
所述基站与所述接入点协商确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数;或
所述基站自行确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数。
11.一种分流方法,其特征在于,包括:
接入点接收基站发送的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述安全参数用于所述接入点和用户设备进行双向认证,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络,所述安全参数进一步携带在由所述基站发送至所述用户设备的分流指示中,所述分流指示用于指示所述用户设备接入所述接入点的接入方法;
根据所述基站向所述接入点发送的所述安全参数,所述接入点与所述用户设备进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
12.根据权利要求11所述的方法,其特征在于,当所述安全参数包括双向临时密钥时,根据所述基站向所述接入点发送的所述安全参数,所述接入点与所述用户设备进行所述双向认证,包括:
所述接入点接收所述用户设备发送的由所述分流指示中的所述双向临时密钥生成的第一消息完整性码;
所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据获取的所述双向临时密钥生成;
当所述接入点确认与所述用户设备认证成功,向所述用户设备发送由获取的所述双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述分流指示中的所述双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,所述接入点完成与所述用户设备的所述双向认证。
13.根据权利要求11所述的方法,其特征在于,当所述安全参数包括双向主密钥时,根据所述基站向所述接入点发送的所述安全参数,所述接入点与所述用户设备进行所述双向认证,包括:
所述接入点接收所述用户设备发送的由第一双向临时密钥生成的第一消息完整性码,所述第一双向临时密钥由所述用户设备根据所述分流指示中的所述双向主密钥生成;
所述接入点根据所述基站发送的所述双向主密钥获取第二双向临时密钥;
所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据所述第二双向临时密钥生成;
当所述接入点确认与所述用户设备认证成功,向所述用户设备发送由所述第二双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述第一双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,所述接入点完成与所述用户设备的所述双向认证。
14.根据权利要求12或13所述的方法,其特征在于,还包括:
所述接入点接收所述用户设备发送的重关联请求,所述重关联请求包括所述用户设备由所述分流指示中的所述安全参数和所述重关联请求生成的所述第一消息完整性码;
所述接入点根据所述重关联请求和所述基站发送的所述安全参数生成所述第二消息完整性码;
所述接入点向所述用户设备发送重关联响应,所述重关联响应包括所述接入点根据获取的所述安全参数和所述重关联响应生成的所述第三消息完整性码,用于所述用户设备根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
15.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述接入点接收所述用户设备发送的认证请求,所述认证请求包括请求者的随机数;
所述接入点向所述用户设备发送认证响应,所述认证响应包括认证者的随机数;
所述接入点根据所述基站发送的所述双向主密钥获取第二双向临时密钥,包括:
所述接入点根据所述基站发送的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第二双向临时密钥。
16.根据权利要求11、12、13或15中任一项所述的方法,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
17.一种用户设备,其特征在于,包括:
接收单元,用于接收基站发送的分流指示,所述分流指示用于指示所述用户设备接入接入点的接入方法,所述分流指示包括用于所述用户设备和所述接入点进行双向认证的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述接入点属于无线局域网络,所述基站属于无线蜂窝网络,所述安全参数进一步由所述基站发送至所述接入点;
接入单元,用于根据所述接收单元接收的所述安全参数,与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
18.根据权利要求17所述的用户设备,其特征在于,在所述安全参数包括双向临时密钥的情况下:
所述用户设备还包括发送单元,用于向所述接入点发送由所述分流指示中的所述双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
当所述接入点确认与所述用户设备认证成功,所述接收单元还用于接收所述接入点发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
所述接入单元,具体用于:
根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述分流指示中的所述双向临时密钥生成;
当确认与所述接入点认证成功时,完成与所述接入点的所述双向认证。
19.根据权利要求17所述的用户设备,其特征在于,在所述安全参数包括双向主密钥的情况下:
所述用户设备还包括发送单元,用于向所述接入点发送由第一双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第一双向临时密钥根据所述分流指示中的所述双向主密钥获取,所述第二消息完整性码由所述接入点根据第二双向临时密钥生成,所述第二双向临时密钥由所述接入点根据由所述基站获取的所述双向主密钥生成;
当所述接入点确认与所述用户设备认证成功,所述接收单元还用于接收所述接入点发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据所述第二双向临时密钥生成;
所述接入单元,具体用于:
根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述第一双向临时密钥生成;
当确认与所述接入点认证成功时,完成与所述接入点的所述双向认证。
20.根据权利要求18或19所述的用户设备,其特征在于:
所述发送单元,还用于向所述接入点发送重关联请求,用于所述接入点根据所述重关联请求和经由所述基站获取的所述安全参数生成所述第二消息完整性码;
所述接入单元,还用于根据所述分流指示中的所述安全参数和所述重关联请求生成所述第一消息完整性码;
所述接收单元,还用于接收所述接入点发送的重关联响应;
所述接入单元,还用于根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
21.根据权利要求19所述的用户设备,其特征在于:
所述发送单元,还用于向所述接入点发送认证请求,所述认证请求包括请求者的随机数;
所述接收单元,还用于接收所述接入点发送的认证响应,所述认证响应包括认证者的随机数;
所述接入单元,还用于根据所述分流指示中的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第一双向临时密钥。
22.根据权利要求17、18、19或21中任一项所述的用户设备,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
23.一种基站,其特征在于,包括:
获取单元,用于获取用于用户设备和接入点进行双向认证的安全参数,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络;
发送单元,用于向所述接入点发送所述安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述安全参数用于所述接入点和所述用户设备进行双向认证,以及向所述用户设备发送分流指示,所述分流指示用于指示所述用户设备接入所述接入点的接入方法,所述分流指示包括所述安全参数,用于所述用户设备根据接收到的所述安全参数,与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
24.根据权利要求23所述的基站,其特征在于:
所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
25.根据权利要求23所述的基站,其特征在于:
所述双向主密钥用于所述用户设备和所述接入点确定双向临时密钥,所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
26.根据权利要求23至25中任一项所述的基站,其特征在于:
所述获取单元具体用于:
与所述接入点协商确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数;或
自行确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数。
27.一种接入点,其特征在于,包括:
接收单元,用于接收基站发送的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述安全参数用于所述接入点和用户设备进行双向认证,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络,所述安全参数进一步携带在由所述基站发送至所述用户设备的分流指示中,所述分流指示用于指示所述用户设备接入所述接入点的接入方法;
接入单元,用于根据所述接收单元接收的所述安全参数,与所述用户设备进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
28.根据权利要求27所述的接入点,其特征在于,在所述安全参数包括双向临时密钥的情况下:
所述接收单元,还用于接收所述用户设备发送的由所述分流指示中的所述双向临时密钥生成的第一消息完整性码;
所述接入单元,具体用于根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接收单元获取的所述双向临时密钥生成;
所述接入点还包括发送单元,用于当所述接入单元确认与所述用户设备认证成功,向所述用户设备发送由所述接收单元获取的所述双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述分流指示中的所述双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,完成与所述用户设备的所述双向认证。
29.根据权利要求27所述的接入点,其特征在于,在所述安全参数包括双向主密钥的情况下:
所述接收单元,还用于接收所述用户设备发送的由第一双向临时密钥生成的第一消息完整性码,所述第一双向临时密钥由所述用户设备根据所述分流指示中的所述双向主密钥生成;
所述接入单元,具体用于:
根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由第二双向临时密钥生成,所述第二双向临时密钥由所述接收单元接收的所述双向主密钥生成;
所述接入点还包括发送单元,用于当所述接入单元确认与所述用户设备认证成功,向所述用户设备发送由所述第二双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述第一双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,完成与所述用户设备的所述双向认证。
30.根据权利要求28或29所述的接入点,其特征在于:
所述接收单元,还用于接收所述用户设备发送的重关联请求,所述重关联请求包括所述用户设备由所述分流指示中的所述安全参数和所述重关联请求生成的所述第一消息完整性码;
所述接入单元,还用于:
根据所述重关联请求和所述接收单元接收的所述安全参数生成所述第二消息完整性码;
根据所述接收单元接收的所述安全参数和重关联响应生成所述第三消息完整性码,所述重关联响应由所述发送单元向所述用户设备发送;
所述发送单元,还用于向所述用户设备发送所述重关联响应,所述重关联响应包括所述第三消息完整性码,用于所述用户设备根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
31.根据权利要求29所述的接入点,其特征在于:
所述接收单元,还用于接收所述用户设备发送的认证请求,所述认证请求包括请求者的随机数;
所述发送单元,还用于向所述用户设备发送认证响应,所述认证响应包括认证者的随机数;
所述接入单元,还用于根据所述接收单元接收的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第二双向临时密钥。
32.根据权利要求27、28、29或31中任一项所述的接入点,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
33.一种用户设备,其特征在于,包括处理器、存储器和网络接口;
所述存储器用于存储程序;
所述处理器执行所述程序,用于执行以下操作:
通过所述网络接口接收基站发送的分流指示,所述分流指示用于指示所述用户设备接入接入点的接入方法,所述分流指示包括用于所述用户设备和所述接入点进行双向认证的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述接入点属于无线局域网络,所述基站属于无线蜂窝网络,所述安全参数进一步由所述基站发送至所述接入点;
根据所述基站向所述用户设备发送的所述安全参数,与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
34.根据权利要求33所述的用户设备,其特征在于,在所述安全参数包括双向临时密钥的情况下,所述处理器具体用于:
通过所述网络接口向所述接入点发送由所述分流指示中的所述双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
通过所述网络接口接收所述接入点在确认与所述用户设备认证成功时发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据由所述基站获取的所述双向临时密钥生成;
根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码根据所述分流指示中的所述双向临时密钥生成;
当确认与所述接入点认证成功时,完成与所述接入点的所述双向认证。
35.根据权利要求33所述的用户设备,其特征在于,在所述安全参数包括双向主密钥的情况下,所述处理器具体用于:
通过所述网络接口向所述接入点发送由第一双向临时密钥生成的第一消息完整性码,用于所述接入点根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第一双向临时密钥由分流指示中的所述双向主密钥获取,所述第二消息完整性码由所述接入点根据第二双向临时密钥生成,所述第二双向临时密钥由所述接入点根据由所述基站获取的所述双向主密钥生成;
通过所述网络接口接收所述接入点在确认与所述用户设备认证成功时发送的第三消息完整性码,所述第三消息完整性码由所述接入点根据所述第二双向临时密钥生成;
根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述第一双向临时密钥生成;
当确认与所述接入点认证成功时,完成与所述接入点的所述双向认证。
36.根据权利要求34或35所述的用户设备,其特征在于:
所述处理器还用于:
通过所述网络接口向所述接入点发送重关联请求,用于所述接入点根据所述重关联请求和经由所述基站获取的所述安全参数生成所述第二消息完整性码;
根据所述分流指示中的所述安全参数和所述重关联请求生成所述第一消息完整性码;
通过所述网络接口接收所述接入点发送的重关联响应;
根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
37.根据权利要求35所述的用户设备,其特征在于:
所述处理器还用于:
通过所述网络接口向所述接入点发送认证请求,所述认证请求包括请求者的随机数;
通过所述网络接口接收所述接入点发送的认证响应,所述认证响应包括认证者的随机数;
根据所述分流指示中的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第一双向临时密钥。
38.根据权利要求33、34、35或37中任一项所述的用户设备,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
39.一种基站,其特征在于,包括处理器、存储器和网络接口;
所述存储器用于存储程序;
所述处理器执行所述程序,用于执行以下操作:
获取用于用户设备和接入点进行双向认证的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络;
通过所述网络接口向所述接入点发送所述安全参数,所述安全参数用于所述接入点和所述用户设备进行双向认证,以及向所述用户设备发送分流指示,所述分流指示用于指示所述用户设备接入所述接入点的接入方法,所述分流指示包括所述安全参数,用于所述用户设备根据接收到的所述安全参数,与所述接入点进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
40.根据权利要求39所述的基站,其特征在于:
所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
41.根据权利要求39所述的基站,其特征在于:
所述双向主密钥用于所述用户设备和所述接入点确定双向临时密钥,所述双向临时密钥用于所述用户设备和所述接入点进行所述双向认证。
42.根据权利要求39至41中任一项所述的基站,其特征在于:
所述处理器还用于与所述接入点协商确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数,或者,自行确定用于所述用户设备和所述接入点进行所述双向认证的所述安全参数。
43.一种接入点,其特征在于,包括处理器、存储器和网络接口;
所述存储器用于存储程序;
所述处理器执行所述程序,用于执行以下操作:
通过所述网络接口接收基站发送的安全参数,所述安全参数包括双向临时密钥或双向主密钥,所述安全参数用于所述接入点和用户设备进行双向认证,所述基站属于无线蜂窝网络,所述接入点属于无线局域网络,所述安全参数进一步携带在由所述基站发送至所述用户设备的分流指示中,所述分流指示用于指示所述用户设备接入所述接入点的接入方法;
根据所述基站向所述接入点发送的所述安全参数,所述接入点与所述用户设备进行所述双向认证,以便所述用户设备根据所述接入方法接入所述接入点并向所述无线局域网络分流。
44.根据权利要求43所述的接入点,其特征在于,在所述安全参数包括双向临时密钥的情况下,所述处理器具体用于:
通过所述网络接口接收所述用户设备发送的由所述分流指示中的所述双向临时密钥生成的第一消息完整性码;
根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码根据获取的所述双向临时密钥生成;
当确认与所述用户设备认证成功时,通过所述网络接口向所述用户设备发送由获取的所述双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述分流指示中的所述双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,完成与所述用户设备的所述双向认证。
45.根据权利要求43所述的接入点,其特征在于,在所述安全参数包括双向主密钥的情况下,所述处理器具体用于:
通过所述网络接口接收所述用户设备发送的由第一双向临时密钥生成的第一消息完整性码,所述第一双向临时密钥由所述用户设备根据所述分流指示中的所述双向主密钥生成;
根据所述第一消息完整性码与第二消息完整性码确定是否与所述用户设备认证成功,所述第二消息完整性码根据第二双向临时密钥生成,所述第二双向临时密钥由所述基站发送的所述双向主密钥获取;
当确认与所述用户设备认证成功时,通过所述网络接口向所述用户设备发送由所述第二双向临时密钥生成的第三消息完整性码,用于所述用户设备根据所述第三消息完整性码和第四消息完整性码确定是否与所述接入点认证成功,所述第四消息完整性码由所述用户设备根据所述第一双向临时密钥生成,当所述用户设备确认与所述接入点认证成功时,完成与所述用户设备的所述双向认证。
46.根据权利要求44或45所述的接入点,其特征在于:
所述处理器还用于:
通过所述网络接口接收所述用户设备发送的重关联请求,所述重关联请求包括所述用户设备由所述分流指示中的所述安全参数和所述重关联请求生成的所述第一消息完整性码;
根据所述重关联请求和所述基站发送的所述安全参数生成所述第二消息完整性码;
通过所述网络接口向所述用户设备发送重关联响应,所述重关联响应包括根据获取的所述安全参数和所述重关联响应生成的所述第三消息完整性码,用于所述用户设备根据所述重关联响应和所述分流指示中的所述安全参数生成所述第四消息完整性码。
47.根据权利要求45所述的接入点,其特征在于:
所述处理器还用于:
通过所述网络接口接收所述用户设备发送的认证请求,所述认证请求包括请求者的随机数;
通过所述网络接口向所述用户设备发送认证响应,所述认证响应包括认证者的随机数;
根据所述基站发送的所述双向主密钥,所述认证者的随机数和所述请求者的随机数,获取所述第二双向临时密钥。
48.根据权利要求43、44、45或47中任一项所述的接入点,其特征在于:
所述安全参数由所述基站与所述接入点协商后确定,或由所述基站自行确定。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2013/090710 WO2015096138A1 (zh) | 2013-12-27 | 2013-12-27 | 分流方法、用户设备、基站和接入点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104885519A CN104885519A (zh) | 2015-09-02 |
| CN104885519B true CN104885519B (zh) | 2020-04-21 |
Family
ID=53477400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380003017.6A Active CN104885519B (zh) | 2013-12-27 | 2013-12-27 | 分流方法、用户设备、基站和接入点 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10034215B2 (zh) |
| EP (1) | EP3076710B1 (zh) |
| CN (1) | CN104885519B (zh) |
| WO (1) | WO2015096138A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IN2014MU01113A (zh) * | 2014-03-28 | 2015-10-02 | Tech Mahindra Ltd | |
| EP3119118B1 (en) * | 2015-07-17 | 2020-07-15 | HTC Corporation | Handling of cellular-wireless local area network aggregation |
| WO2017078657A1 (en) * | 2015-11-03 | 2017-05-11 | Intel IP Corporation | Apparatus, system and method of cellular-assisted establishing of a secured wlan connection between a ue and a wlan ap |
| RU2712824C1 (ru) | 2016-01-25 | 2020-01-31 | Телефонактиеболагет Лм Эрикссон (Пабл) | Защита от неявного пространственного повторения |
| CA3012402A1 (en) | 2016-01-25 | 2017-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Explicit spatial replay protection |
| WO2018015062A1 (en) | 2016-07-18 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Location information based on counters of grid cells |
| CN108235317B (zh) | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
| CN109120625B (zh) * | 2018-08-29 | 2021-06-08 | 北京润通丰华科技有限公司 | 一种大带宽私接分析识别的方法 |
| US11696129B2 (en) * | 2019-09-13 | 2023-07-04 | Samsung Electronics Co., Ltd. | Systems, methods, and devices for association and authentication for multi access point coordination |
| CN116530117A (zh) * | 2020-12-03 | 2023-08-01 | 华为技术有限公司 | 一种WiFi安全认证方法及通信装置 |
| US11737002B2 (en) * | 2021-07-28 | 2023-08-22 | Hewlett Packard Enterprise Development Lp | Selective caching of pairwise master keys in streamlined roaming |
| CN114401507B (zh) * | 2022-01-17 | 2023-06-16 | 中国联合网络通信集团有限公司 | 一种数据传输方法、装置及存储介质 |
| CN114513785B (zh) * | 2022-02-22 | 2023-10-20 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| WO2024026664A1 (en) * | 2022-08-02 | 2024-02-08 | Qualcomm Incorporated | Reassociation between station and access point |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102883316A (zh) * | 2011-07-15 | 2013-01-16 | 华为终端有限公司 | 建立连接的方法、终端和接入点 |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| CN103391632A (zh) * | 2012-05-08 | 2013-11-13 | 中兴通讯股份有限公司 | 网络接入方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685741B (zh) * | 2011-03-09 | 2014-12-03 | 华为终端有限公司 | 接入认证处理方法及系统、终端和网络设备 |
| US9294926B2 (en) * | 2011-10-07 | 2016-03-22 | Interdigital Patent Holdings, Inc. | Method and apparatus for integrating different radio access technologies using carrier aggregation |
| US9380495B2 (en) * | 2011-12-13 | 2016-06-28 | Lg Electronics Inc. | Method for data offloading in wireless communication system, and device for same |
| US20130166910A1 (en) * | 2011-12-22 | 2013-06-27 | Broadcom Corporation | Revocable Security System and Method for Wireless Access Points |
| CN102572973A (zh) * | 2012-02-02 | 2012-07-11 | 中兴通讯股份有限公司 | 用于ue网络切换的信息处理方法和基站 |
| CN103428690B (zh) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
-
2013
- 2013-12-27 WO PCT/CN2013/090710 patent/WO2015096138A1/zh active Application Filing
- 2013-12-27 CN CN201380003017.6A patent/CN104885519B/zh active Active
- 2013-12-27 EP EP13900276.0A patent/EP3076710B1/en active Active
-
2016
- 2016-06-27 US US15/194,166 patent/US10034215B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102883316A (zh) * | 2011-07-15 | 2013-01-16 | 华为终端有限公司 | 建立连接的方法、终端和接入点 |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| CN103391632A (zh) * | 2012-05-08 | 2013-11-13 | 中兴通讯股份有限公司 | 网络接入方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| The Evolution of 802.11 Wireless Security;Kevin Benton;《UNLV Informatics-Spring 2010》;20100418;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3076710A4 (en) | 2016-12-14 |
| EP3076710A1 (en) | 2016-10-05 |
| CN104885519A (zh) | 2015-09-02 |
| WO2015096138A1 (zh) | 2015-07-02 |
| EP3076710B1 (en) | 2020-04-08 |
| US20160309384A1 (en) | 2016-10-20 |
| US10034215B2 (en) | 2018-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104885519B (zh) | 分流方法、用户设备、基站和接入点 | |
| CN109309920B (zh) | 安全实现方法、相关装置以及系统 | |
| EP2309698B1 (en) | Exchange of key material | |
| EP2663107B1 (en) | Key generating method and apparatus | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| EP3700162B1 (en) | Systems and methods for authentication | |
| WO2018170617A1 (zh) | 一种基于非3gpp网络的入网认证方法、相关设备及系统 | |
| US20180184428A1 (en) | Associating and securitizing distributed multi-band link aggregation devices | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| EP2648437B1 (en) | Method, apparatus and system for key generation | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| US9775181B2 (en) | Reducing re-association time for STA connected to AP | |
| US20180167811A1 (en) | Access authentication method and apparatus | |
| US20240089728A1 (en) | Communication method and apparatus | |
| CN112654043A (zh) | 注册方法及装置 | |
| CN114765827A (zh) | 一种安全保护方法、装置和系统 | |
| CN116567590A (zh) | 授权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |