CN107211488B - 对业务数据应用安全的方法、wlan节点和无线设备 - Google Patents
对业务数据应用安全的方法、wlan节点和无线设备 Download PDFInfo
- Publication number
- CN107211488B CN107211488B CN201480084614.0A CN201480084614A CN107211488B CN 107211488 B CN107211488 B CN 107211488B CN 201480084614 A CN201480084614 A CN 201480084614A CN 107211488 B CN107211488 B CN 107211488B
- Authority
- CN
- China
- Prior art keywords
- wlan
- traffic data
- data signal
- security
- security protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/0836—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability to enhance reliability, e.g. reduce downtime
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种无线局域网络WLAN节点(400)适应于被包括在含有WLAN和蜂窝通信网络的集成无线通信网络中。WLAN节点(400)包括适应于从无线装置接收业务数据信号的接收模块(401)。安全模块(403)适应于处理接收的业务数据信号,并对从无线装置接收的第一业务数据信号应用第一安全协议,和对从无线装置接收的第二业务数据信号应用第二安全协议。路由模块(405)适应于将第一业务数据信号路由到蜂窝通信网络的节点,并将第二业务数据信号路由到WLAN的节点。在一个示例中,安全模块适应于同步处理来自无线装置的第一业务数据信号和第二业务数据信号,并且路由模块(405)适应于将第一业务数据信号和第二业务数据信号同步路由到它们的相应节点。
Description
技术领域
本发明的实施例涉及无线局域网络(WLAN)节点、无线装置和其中的方法,并且具体来说,涉及它们如何与被适应于在包括例如WLAN和蜂窝通信网络的集成无线通信网络中使用有关。
背景技术
大多数当前的无线局域网络WLAN或Wi-Fi网络(在此文档的剩余部分中,WLAN和Wi-Fi可互换地使用)是与蜂窝或移动通信网络完全分开而存在的网络,并且从终端或用户设备的角度,能够将它们视为是非集成的。
用户设备中使用的大多数操作系统(OS)(例如,AndroidTM和iOS®)支持简单的Wi-Fi卸载机制,由此一旦检测到具有超过特定等级的接收信号强度的合适网络,用户设备便能够立即将所有它的IP业务切换到Wi-Fi网络。将关于是否卸载到Wi-Fi网络的决定称为接入选择策略,并且利用术语“Wi-Fi是否覆盖”来指每当检测到此类网络时选择Wi-Fi网络的上述策略。“Wi-Fi是否覆盖”策略存在若干缺点。
例如,尽管用户能够保存已经接入的Wi-Fi接入点(AP)的之前密码,但是对于之前未接入的AP的热点登录通常要求通过利用Wi-Fi连接管理器或利用web界面来输入密码进行用户介入。连接管理器是用户装置上的在考虑用户偏好、运营商偏好、网络状况等的情况下负责管理终端的网络连接的软件。
Wi-Fi是否覆盖策略的缺点是,除了在用户设备实现的专有解决方案中考虑的那些之外,没有考虑预期用户体验,并且这能够导致用户设备从高数据速率移动网络连接被移交到低数据速率Wi-Fi连接。即使用户设备的操作系统或某个高级别软件足够智能以使得只有当Wi-Fi上的信号等级明显优于移动网络链路时才做出卸载决定,但是在Wi-Fi接入点(AP)的回程上仍能够存在限制,这可能最终成为瓶颈。
Wi-Fi是否覆盖策略的另一个缺点是,没有考虑移动网络和Wi-Fi网络中的相应负载状况。因此,仍然可能将用户设备卸载到正服务于若干个用户设备的Wi-Fi接入点,而宁愿其之前连接到的移动网络(例如,LTE)无负载。
另外,Wi-Fi是否覆盖策略能够导致进行中的服务中断,例如由于在用户设备切换到Wi-Fi网络时IP地址的改变。例如,在连接到移动网络时开始IP语音(VoIP)呼叫的用户有可能在到家时经历掉话,并且用户设备自动切换到Wi-Fi网络。尽管例如Spotify®的一些应用足够智能以便处置这种情形并幸免于IP地址的改变,但是大多数当前的应用都不能。如果应用开发者必须确保服务连续性,那么这能够对他们施加负担。
Wi-Fi是否覆盖策略的还有的另一缺点是,没有对关于用户设备的移动性进行考虑。鉴于此,快速移动的用户设备能够最终经历短的持续时间被卸载到Wi-Fi接入点,而这只是为了被移交回到移动网络。这在诸如具有开放Wi-Fi的咖啡店的场景中尤其是个问题,在这样的场景中,在咖啡店旁走过或甚至开车经过的用户都可能受此影响。Wi-Fi和移动网络之间的这种ping pong能够造成服务中断以及生成相当多不必要的信令(例如,朝向认证服务器)。
最近,Wi-Fi已受到来自蜂窝网络运营商的增长的兴趣,不仅将它作为对固定宽带接入的扩展,而且还结合利用Wi-Fi技术作为对蜂窝无线电接入网络技术的扩展或备选来处置一直增加的无线带宽需求。
目前,WLAN节点(诸如接入点)在处置来自用户设备的既包括WLAN型业务数据(例如,本地分离(breakout)业务)也包括蜂窝型业务数据(例如,聚合业务)的业务数据时具有限制。
发明内容
本发明的目的是提供消除或减少上文提及的缺点中的至少一个或多个缺点的方法和设备。
根据本发明的第一方面,提供有一种适应于被包括在含有无线局域网络WLAN和蜂窝通信网络的集成无线通信网络中的WLAN节点。WLAN节点包括适应于从无线装置接收业务数据信号的接收模块。WLAN节点包括安全模块,它适应于处理接收的业务数据信号,并对从无线装置接收的第一业务数据信号应用第一安全协议,和对从无线装置接收的第二业务数据信号应用第二安全协议。WLAN节点还包括路由模块,它适应于将第一业务数据信号路由到蜂窝通信网络的节点,并将第二业务数据信号路由到WLAN的节点。
根据本发明的另一个方面,提供有一种在适应于被包括在含有无线局域网络WLAN和蜂窝通信网络的集成无线通信网络中的WLAN节点中进行的方法。该方法包括从无线装置接收业务数据信号的步骤。处理接收的业务数据信号,并对从无线装置接收的第一业务数据信号应用第一安全协议,和对从无线装置接收的第二业务数据信号应用第二安全协议。将第一业务数据信号路由到蜂窝通信网络的节点,并将第二业务数据信号路由到WLAN的节点。
根据本发明的另一个方面,提供有一种无线装置,它包括适应于与无线局域网络WLAN节点进行业务数据信号传递的通信模块。通信模块适应于:利用第一安全协议传递第一业务数据信号;并利用第二安全协议传递第二业务数据信号。
根据本发明的另一个方面,提供有一种在无线装置中进行的方法。该方法包括与无线局域网络WLAN节点进行业务数据信号传递的步骤,其中业务数据信号包括对应于用于蜂窝通信网络的业务的第一业务数据信号和用于WLAN的第二业务数据信号。利用第一安全协议传递第一业务数据信号,并利用第二安全协议传递第二业务数据信号。
附图说明
为了更好地理解本发明的示例,以及为了更清楚地示出可如何实现这些示例,现在将仅作为示例对以下的图进行参考,图中:
图1(a)示出在分组数据汇聚协议PDCP级别在蜂窝通信网络和无线局域网络WLAN之间的聚合的示例;
图1(b)示出在无线电链路控制RLC协议级别在蜂窝通信网络和WLAN之间的聚合的示例;
图1(c)示出在媒体接入控制MAC协议级别在蜂窝通信网络和WLAN之间的聚合的示例;
图2示出与独立接入点AP和独立eNB的PDCP级别聚合的示例;
图3(包括图3a、3b和3c)描述与配置成提供稳健安全网络RSN认证的WLAN有关的过程流的示例;
图4示出根据本发明的实施例的WLAN节点的示例;
图5示出根据本发明的实施例的方法的示例;
图6示出根据本发明的实施例的无线装置的示例;
图7示出根据本发明的实施例的无线装置中的方法的示例;
图8a示出根据本发明的实施例的无线装置中的方法的示例;
图8b示出根据本发明的实施例的无线装置中的方法的示例;
图9a描述与配置成支持只利用第一安全协议(例如,RSN)的遗留无线装置和根据本发明的实施例同步利用第一和第二安全协议的无线装置的WLAN有关的过程流的示例;
图9b描述与配置成支持根据本发明的实施例同步利用第一和第二安全协议的无线装置的WLAN有关的过程流的示例;
图9c描述与配置成支持根据本发明的实施例同步利用第一和第二安全协议的无线装置的WLAN有关的过程流的另一个示例;以及
图10示出根据本发明的实施例包括WLAN节点和无线装置的网络的示例。
具体实施方式
如上文在背景技术部分中所提到的,Wi-Fi最近已受到来自蜂窝网络运营商的增加的兴趣,不仅将它作为固定宽带接入的扩展,而且还结合利用Wi-Fi技术作为对蜂窝无线电接入网络技术的扩展或备选来处置一直增加的无线带宽需求。当前以例如任何的3GPP技术(诸如,LTE、UMTS/WCDMA或GSM)来服务于移动用户的蜂窝运营商将Wi-Fi视为是能够支持它们的常规蜂窝通信网络的无线技术。术语“运营商控制的Wi-Fi”指向在某种程度上与现有蜂窝网络运营商集成的Wi-Fi部署,并且其中3GPP无线电接入网络和Wi-Fi无线网络接入甚至可连接到相同核心网络并提供相同服务。
当前,在若干标准化组织中,在运营商控制的Wi-Fi领域中存在相当密集的活动。在3GPP中,正追求将Wi-Fi接入点连接到3GPP指定的核心网络的活动,并且在Wi-Fi联盟WFA中,进行了与Wi-Fi产品的证明有关的活动,这在一定程度上也是受到来自使Wi-Fi成为对蜂窝运营商在它们的网络中支持高带宽提供来说可行的无线技术的需要的驱使。普遍使用术语Wi-Fi卸载,且它指向如下的概念:蜂窝网络运营商在例如峰值业务时间期间以及在出于一个或另一个原因需要卸载蜂窝网络时的情形中寻求将业务从它们的蜂窝网络卸载到Wi-Fi以便例如提供请求的服务质量、使带宽最大化或仅仅为了覆盖。
还提出无线电接入网络(RAN)级别集成。3GPP当前正致力于规定用于WLAN/3GPP无线电交互作用的特征/机制,这改善了对关于用户设备如何在3GPP和属于运营商或它的伙伴的WLAN之间执行接入选择和业务转向的运营商控制。
论述对于该机制而言,RAN提供辅助用户设备进行接入选择的辅助参数。RAN辅助信息由三个主要组成部分组成,即阈值、卸载偏好指示符(OPI)和WLAN标识符。还为用户设备提供利用这些辅助参数的RAN规则或计策。
能够对于例如诸如下列的度量使用阈值:3GPP信号相关的度量,例如参考信号接收功率(RSRP)、参考信号接收质量(RSRQ)、接收信号码功率(RSCP)、每码片能量比噪声(EcNo);和/或WLAN信号相关的度量,例如接收信道功率指示符(RCPI)、接收信号强度指示符(RSSI)、WLAN负载/使用率、WLAN回程负载/容量等。利用阈值的RAN规则的一个示例能够是:如果RSRP低于发信号通知的RSRP阈值,而同时WLAN RCPI大于发信号通知的RCPI阈值,那么用户设备应当连接到WLAN(还论述了,RAN应当提供对于用户设备何时应当将业务从WLAN转向回到3GPP的阈值)。预期在诸如TS 36.304 v12.0.0和/或TS 36.331 v12.1.0的3GPP规范中规定了RAN规则/策略。
利用诸如以上的机制,终端在决定将业务转向到哪里时可能不想考虑任何WLAN或考虑任何WLAN甚至可能不可行。例如,终端利用该机制来决定将业务转向到不属于运营商的WLAN可能不可行。因此,已提出的是,RAN还应当通过发送WLAN标识符向终端指示应当对哪些WLAN应用该机制。
RAN还可提供在接入网络发现和选择功能(ANDSF)计策中使用的额外参数。提出的一个参数是卸载偏好指示符(OPI)。OPI的一个可能性是,将它与ANDSF计策中的阈值进行比较以便触发不同动作。另一个可能性是,利用OPI作为指向并选择将然后供终端使用的ANDSF计策的不同部分的指针。
还可为由RAN提供的RAN辅助参数(即,阈值、WLAN标识符、OPI)提供专用信令和/或广播信令。只有当具有到3GPP RAN的有效无线电资源控制RRC连接时才能够将专用参数发送到终端。已接收到专用参数的终端应用专用参数;否则,终端应用广播参数。如果在终端和RAN之间没有建立RRC连接,那么终端不能接收专用参数。
在3GPP中,已被同意的是,应当对于版本-12来增强ANDSF以便利用由RAN传递给用户设备的阈值和OPI参数,并且如果将增强型ANDSF计策提供给用户设备,那么用户设备将利用ANDSF计策,而不是RAN规则/计策(即,ANDSF具有优先权)。
在3GPP版本-13的范围内,对在3GPP和WLAN之间实现甚至更紧密的集成/聚合已存在日期增长的兴趣(例如,以与3GPP中的多个载波之间的载波聚合相类似的方式,其中WLAN只是用作另一个载体)。预期此类聚合将使得与多路径传送控制协议MPTCP相比更佳的聚合机会成为可能,因为在较低层执行聚合,并且因此能够通过考虑动态无线电网络状况来控制WLAN和3GPP链路上的数据的流控制以及调度。
图1(a)、1(b)和1(c)分别示出在蜂窝通信网络(例如,3GPP)和WLAN之间的不同级别的集成或聚合,以及具体来说是在分组数据汇聚协议(PDCP)、无线电链路控制(RLC)和媒体接入控制(MAC)级别的聚合的三个不同协议选项。
图1(a)、1(b)和1(c)示出聚合级别的这三个示例的主要原理,尽管可需要额外功能性。例如,在PDCP级别聚合中,可在PDCP层和802.2逻辑链路控制LLC层之间使用额外协议层,以传达关于用户设备以及与该业务相关联的无线电承载的信息。
注意,图1(a)、1(b)和1(c)示出在UE或集成/协同定位的eNB-WLAN接入点站处的协议栈。在独立接入点和eNB(即,由此接入点和eNB并非协同定位)的情况下,用于支持聚合的协议栈可不相同,因为在这样的场景中,必须向独立eNB来中继LLC帧。
图2是对于PDCP级别聚合的情形示出这种情况的示例。在此情形中,一旦在接入点处解码LLC分组(在从用户设备到接入点的上行链路方向中),并且接入点意识到该分组是必须路由给eNB的PDCP分组,那么能够经由正常TCP/IP协议栈来执行转发。
作为进一步的背景,图3(a)、3(b)和3(c)示出WLAN中的用户设备附连和认证规程的示例。
图3(a)、3(b)和3(c)中描绘了用于连接到采用稳健安全网络RSN认证的WLAN接入点(AP)40的用户设备(UE)或站(STA)30的认证规程。
认证规程包括如下步骤。
在第一实例中参考图3a:
步骤1 - STA 30接收信标帧,该信标帧揭露(除了其他参数)与AP 40所属的ESS相关联的安全特征。信标帧的格式和它携带的所有信息元素在IEEE 802.11,第11部分的8.3.3.2章中被描述:“Wireless LAN Medium Access Control (MAC) and PhysicalLayer (PHY) Specifications”,IEEE Std. 802.11-2012, IEEE Computer Society;
步骤2 - 如果出于某种原因STA 30没有接收到信标帧,那么它能够生成探测请求并将它发送给AP 40。该规程称为主动扫描,并且通过执行它,STA 30能够从AP 40接收与它能够从信标消息中具有的相同的信息。探测请求帧在IEEE 802.11(第11部分,如上文所规定的一样)的8.3.3.9章中被描述;
步骤3 - AP 40以探测响应做出应答—探测响应如IEEE 802.11(第11部分,如上文所规定的一样)8.3.3.10章所描述;注意,发现规程由步骤1或由步骤2和3组成(即,接收信标帧和交换探测消息相互排斥);
步骤4 - STA 30发送如IEEE 802.11(第11部分,如上文所规定的一样)的11.2.3.2章中所定义的开放系统认证请求;
步骤5 - AP 40以开放系统认证响应做出响应;
步骤6 - 然后,STA 30发送关联请求,指示稍后将使用的安全参数;
步骤7 - AP 40以关联响应做出响应。注意,开放系统认证不提供任何安全性。STA30和AP 40之间的连接在稍后某个点通过认证和密钥商定规程被保护。不管怎样,将在密钥导出阶段检测到在开放系统认证消息交换中变更安全参数的可能攻击;
步骤8 - 此时,开放系统认证完成,并且STA 30只能与AP 40通信—由基于端口的网络控制(PBNC)实施器阻塞剩余业务,如IEEE 802.1X中所定义的。但是,如同在与RADIUS服务器通信的情形中一样,能够通过AP 40转发朝向外部主机的一些业务;
继续到图3b上:
步骤9 - 这个步骤是可扩展认证协议订户身份模块(EAP-SIM)认证的第一步,如在因特网工程任务组IETF, RFC 4186中进一步描述的。AP 40将类型18(SIM)的EAP请求包封在 LAN上的EAP(EAPOL)帧内,从而要求STA 30报道它的身份。在STA 30配备有SIM时的情形中,该身份是在国际移动订户身份(IMSI),后紧跟“@”符号和归属域。STA 30还可能在IMSI前面包含额外的“1”,以便在如果其它EAP方法可用(例如,EAP-AKA),来指示对于EAP-SIM的独占使用的偏好;
步骤10 - STA 30以它的身份做出响应。这样的示例是:1234580123000100@wlan .mnc048.mcc264.3gppnetwork.org(且在该示例中,IMSI是234580123000100,并且前面的“1”指示使用EAP-SIM的偏好);
步骤11 - AP 40提取EAP-响应消息,将它包封在RADIUS帧中,并将它转发给后端AAA服务器60,例如蜂窝架构的部分。由IETF在RFC 3579中进一步描述了RADIUS上的EAP帧的处置;
步骤12 - AAA服务器60识别EAP方法,并发送EAP-Request/SIM/Start(其指示对于该恳求者已发起了EAP-SIM规程)。如RFC 4186的10.2章中所描述的,它还在消息中包括支持的SIM版本的列表;
步骤13 - AP 40将EAP-Request/SIM/Start消息中继给STA 30;
步骤14 - STA 30以EAP-Response/SIM/Start消息做出响应,该消息携带在AT_NONCE_MT属性中携带的随机数(NONCE_MT)(随机选择的数)以及所选择的EAP-SIM版本(AT_SELECTED_VERSION);
步骤15 - AP 40将EAP-Response/SIM/Start转发给AAA服务器60;
步骤16 - AAA服务器60从HLR/AuC获得GSM三元组(RAND、SRES和Kc),并导出建钥(keying)材料(如RFC 4186的第7章中所规定的)。GSM三元组由以下部分组成:
a) RAND - 128位随机数,其在订户认证被请求时由认证中心(GSM核心网络内用于在初始附连之时认证订户的实体)生成。它的主要用途是用于导出签名的响应(SRES)和Kc;
b) SRES - 32位变量,它是在移动站/STA 30已被RAND挑战之后来自移动站/STA30的预期响应;
c) Kc - 64位密码密钥,它用于对在STA 30和AP 40之间传送的数据进行密码编译和密码解密;
步骤17 - AAA服务器60生成包括RAND挑战和消息认证码属性(AT_MAC)的EAP-Request/SIM/Challenge消息。AT_MAC导出是基于RAND和Kc值;
步骤18 - AP 40将EAP-Request/SIM/Challenge消息转发给STA 30;
步骤19 - STA 30将接收的RAND馈送到在SIM上运行的GSM算法中,且输出是AT_MAC的副本和SRES值。STA 30要做的第一件事是要检查由AAA接收(由AP中继)的AT_MAC值和由SIM生成的AT_MAC值是否匹配。如果是,那么STA继续认证,否则它以EAP-Response/SIM/Client-Error消息做出响应。第二件事是要基于生成的SRES导出新的AT_MAC;
步骤20 - 在EAP-Response/SIM/Challenge消息中将新的AT_MAC发送给AAA服务器60(经由AP 40);
步骤21 - AP 40将EAP-Response/SIM/Challenge转发给AAA服务器60;
步骤22 - AAA服务器60验证STA 30刚刚发送的新AT_MAC值。如果验证成功,那么它将EAP-Success消息发送给AP 40。该消息还携带建钥材料-成对主密钥(PMK)。PMK只打算用于AP 40,且不将它转发给STA 30(STA 30能够自主导出相同密钥,因为其基于Kc,STA 30中的SIM能够基于RAND计算Kc);
步骤23 - AP 40将EAP-Success消息转发给STA 30,并存储PMK以用于接下来的四向握手;
继续到图3c上:
步骤24 - AP 40利用PMK生成认证器现行值(ANonce);
步骤25 - 在EAPOL-Key消息中将ANonce值发送给STA 30;
步骤26 - 利用接收的ANonce(与SNonce和PMK一起),STA 30构造成对临时密钥(PTK);
步骤27 - STA 30将EAPOL-Key消息(包括恳求者现行值(SNonce)和消息完整性码(MIC))发送给AP 40;
步骤28 - AP 40利用ANonce、SNonce和PMK构造PTK。AP 40还利用MIC以便验证STA30已计算了正确且新鲜的密钥。此外,AP 40还生成并安装群组临时密钥(GTK,它被独占地用于加密和解密广播和多播业务);
步骤29 - AP 40向STA 30发送加密GTK、用于下一个广播消息的序列号和安装PTK的指令(该消息由另一个MIC提供完整性保护);
步骤30 - STA 30以确认消息做出响应;
步骤31 - STA 30安装PTK和GTK二者,并自从这时候起利用它们加密和解密所有通信;
步骤32 - AP 40也安装PTK;
步骤33 - 802.1X控制的端口现在打开,并且STA 30能够与除AP 40之外的其它网络主机通信。
在一些情形中,WLAN网络节点(例如,接入点40)将需要同时支持来自相同用户设备或站的聚合业务和本地分离业务二者(聚合业务例如是形成打算用于蜂窝网络的业务的部分的业务,并且本地分离业务例如是用于在WLAN中使用的业务)。
例如,当前,用于与3GPP的接入聚合的WLAN系统的一些提议可不使用WLAN安全机制(包括认证和数据完整性保护),而是对于聚合业务反而依靠由更高层3GPP协议(例如,PDCP)提供的安全特征。然而,同时,WLAN系统路由非聚合本地分离业务(例如,到因特网),其也需要被确保安全。
如本文中所描述的,本发明的实施例提供单个WLAN接入点,它支持到第一节点的第一类型的业务路由(例如,到诸如蜂窝网络的eNB的聚合器的不受保护的业务路由),而同时支持到第二节点的第二类型的业务路由(例如,对于相同无线装置的受保护的本地分离业务路由)。
图4示出根据本发明的实施例的无线局域网络WLAN节点400的示例。WLAN节点400适应于被包含在包括WLAN和蜂窝通信网络的集成无线通信网络中。WLAN节点400包括接收模块401、安全模块403和路由模块405。接收模块401适应于从无线装置接收业务数据信号。安全模块403适应于处理接收的业务数据信号,并对从无线装置接收的第一业务数据信号应用第一安全协议,并对从无线装置接收的第二业务数据信号应用第二安全协议。路由模块405适应于将第一业务数据信号路由到蜂窝通信网络的节点,并将第二业务数据信号路由到WLAN的节点。
通过能够以不同安全等级(例如,不同安全等级,或对于3GPP网络业务没有安全性,而对于本地WLAN业务有安全性)来处置两个业务流,这使得WLAN节点400能够同时处置相同无线装置的两种类型的业务。
因此,根据本发明的实施例,提供有一种允许WLAN接入节点或接入点(AP)为来自相同用户设备或无线装置的不同业务流提供不同安全机制的机制。例如,WLAN节点能够对于朝向3GPP聚合器节点(例如,eNB,即,因为该业务已经具有它自己的内建加密)路由的业务不采用安全性(或OSA),且同时对于打算用于本地分离的业务使用安全性(例如,WLAN节点能够是用于本地分离业务的稳健安全网络RSN的部分)。
根据一个实施例,安全模块403适应于同步处理来自相同无线装置的第一业务数据信号和第二业务数据信号,并且路由模块405适应于将第一业务数据信号和第二业务数据信号同步路由到它们的相应节点。按照同步是指,WLAN节点400能够同时处置相同无线装置的至少第一和第二业务数据信号,并且其中利用不同的安全或保护机制来保护所述至少第一和第二业务数据信号。提到同步时不一定要求严格并行或同时实行处理,而是包括能够在无线装置和WLAN节点之间的通信会话期间以交错方式处理不同类型的业务数据信号。在其中WLAN节点400能够同时处置相同无线装置的至少第一和第二业务数据信号的示例中,这可涉及例如对于不同业务类型使用不同频率,使得两种业务类型的传送并行。
根据一个实施例,第一安全协议包括与第二安全协议的安全机制不同的安全机制。在一个实施例中,第一安全协议包括比第二安全协议具有更低的安全等级的安全机制,或反之亦然。在一个实施例中,第一安全协议包括低于第二安全协议的加密等级的加密等级,或反之亦然。在另一个实施例中,第一安全协议包括低于第二安全协议的认证等级的认证等级,或反之亦然。
例如,第一安全协议可包括开放系统认证OSA安全协议。
在另一个示例中,第一安全协议不包括除了在接收的第一业务数据信号中已经提供的安全协议以外的额外安全。例如,如果第一业务数据信号包括已经包含某种形式的加密的蜂窝型业务(例如,聚合业务),那么安全模块403能够在不增加任何进一步形式的保护或安全的情况下处理该第一业务数据信号,并将第一业务数据信号路由给蜂窝网络的节点,例如聚合节点。
在一个示例中,第二安全协议包括稳健安全网络RSN安全协议。
当对两个不同业务流应用两种不同安全机制时,本发明的实施例包括如下选项:从两个不同认证协议运行(潜在地利用独立凭证来用于认证)导出安全关联。
根据本发明的进一步方面,安全模块403还适应于向其它节点或装置通告WLAN节点的同步认证能力。例如,以此方式,WLAN节点400(例如,接入点)能够向其它装置(例如,无线装置)指示它能够同时处置不同类型的业务,例如同时处置聚合业务和本地分离业务。
在一个实施例中,安全模块403适应于通告它支持:稳健安全网络RSN认证,以作为用于被路由给WLAN的节点的第二业务数据信号的第二安全协议形式;以及未加密通信,以作为用于被路由给蜂窝通信网络的节点的第一业务数据信号的第一安全协议。以此方式,WLAN节点能够在聚合进行中时通告它对于本地分离业务支持RSN认证。
在该示例中,WLAN节点400因此能够例如通过通告RSN元素(RSNE)(在其是RSN的部分时),以及除此之外还通告它支持未加密聚合业务的交换来通告它支持两种认证类型。
安全模块403可适应于利用例如包括聚合安全元素ASG的信息元素,来通告它的第一安全协议能力和/或第二安全协议能力。在另一个示例中,安全模块403适应于利用修改的稳健安全网络元素RSNE通告它的第一安全协议能力和/或第二安全协议能力。
关于通告的递送,根据一个实施例,安全模块403适应于利用在数据帧、或信标信号、或探测请求响应信号、或认证请求/响应信号内提供的信息元素、或供应商特定信息元素通告它的第一安全协议能力和/或第二安全协议能力。因此,能够将ASE指定为例如IEEE802.11信息元素或供应商特定元素(例如,如果它在IEEE以外的组织(例如,Wi-Fi联盟WFA)中被定义的话)。
可包含在ASE中的信息类型的示例如下所示:
·在无需空中加密的情况下,交换聚合业务,不要求额外认证;
·在无需空中加密的情况下,交换聚合业务,要求额外认证;
·在空中加密的情况下,交换聚合业务;
·由RSN机制提供的在空中加密的情况下,交换聚合业务;
·关于认证的类型以及所用的数据完整性机制的信息(例如,密码套装)。
图5示出根据本发明的另一个实施例在无线局域网络WLAN节点中进行的方法,WLAN节点适应于被包括在含有WLAN和蜂窝通信网络的集成无线通信网络中。该方法包括从无线装置接收业务数据信号(步骤501)。处理接收的业务数据信号,且对从无线装置接收的第一业务数据信号应用第一安全协议,并对从无线装置接收的第二业务数据信号应用第二安全协议(步骤503)。将第一业务数据信号路由到蜂窝通信网络的节点,并将第二业务数据信号路由到WLAN的节点(步骤505)。
在一个实施例中,同步处理第一业务数据信号和第二业务数据信号以便应用第一和第二安全协议,并将它们同步路由到它们的相应节点。如以上所提及的,按照同步是指,WLAN节点能够同时处置相同无线装置的至少第一和第二业务数据信号,并且其中利用不同的安全或保护机制来保护所述至少第一和第二业务数据信号。提到同步时不一定要求并行或同时实行处理,而是包括能够在无线装置和WLAN节点之间的通信会话期间以交错方式处理不同类型的业务数据信号。
该方法可包括向其它节点或装置通告WLAN节点的同步认证能力的步骤。
图6示出根据本发明的实施例的无线装置300。无线装置300包括适应于与无线局域网络WLAN节点进行业务数据信号传递的通信模块301。通信模块301适应于利用第一安全协议来传递第一业务数据信号,并利用第二安全协议来传递第二业务数据信号。
无线装置300适应于与相同WLAN节点同步传递第一和第二业务数据信号,第一和第二业务数据信号具有不同的安全协议。
在一个实施例中,通信模块301可适应于利用包括非加密通信的第一安全协议来传递第一业务数据信号,并利用包括稳健安全网络RSN认证规程的第二安全协议来传递第二业务数据信号。
例如,以此方式,无线装置可只利用RSN认证与WLAN节点相关联,并且在没有空中加密的情况下只发送蜂窝或3GPP数据(例如,聚合帧),使得不存在改变现有标准的需要,即,因为无线装置与WLAN节点只使用RSN。稍后将结合图9a和9b描述此类实施例的进一步细节。
在另一个实施例中,通信模块301适应于利用包括开放系统认证OSA的第一安全协议来传递第一业务数据信号,并利用包括稳健安全网络RSN认证规程的第二安全协议来传递第二业务数据信号。这里,无线装置能够同步利用若干不同的认证机制与WLAN节点进行认证。例如,OSA用于最终由WLAN节点(接入点)转发给3GPP节点的业务,并且RSN用于最终由接入点转发给本地WLAN节点的业务。下面将关于图9c进一步描述该实施例的进一步细节。
通信模块301可适应于响应于之前从WLAN节点接收到指示WLAN节点接收具有不同安全协议的第一和第二业务数据信号的能力的通告而利用第一和第二安全协议来传递第一和第二业务数据信号。
图7示出根据本发明的另一个实施例在无线装置中进行的方法。该方法包括与无线局域网络WLAN节点进行业务数据信号传递,其中业务数据信号包括对应于用于蜂窝通信网络的业务的第一业务数据信号和用于WLAN的第二业务数据信号(步骤701)。利用第一安全协议传递第一业务数据信号,并利用第二安全协议传递第二业务数据信号(步骤703)。
根据如图8a中所示的一个实施例,该方法包括以下步骤:利用包括非加密通信的第一安全协议传递第一业务数据信号(步骤801),并利用包括稳健安全网络RSN认证规程的第二安全协议传递第二业务数据信号(步骤803)。稍后将结合图9a和9b描述此类实施例的进一步细节。
根据如图8b中所示的另一个实施例,该方法包括:利用包括开放系统认证OSA的第一安全协议传递第一业务数据信号(步骤805),并利用包括稳健安全网络RSN认证规程的第二安全协议传递第二业务数据信号(步骤807)。下面将关于图9c进一步描述该实施例的进一步细节。
图9a示出用于遗留无线装置300a和聚合无线装置300b的认证的示例消息流。注意,为了简化图9a中的流程图,没有示出聚合无线装置300b运行任何本地分离业务流。在这种情况下,WLAN节点400将需要能够区别对待遗留无线装置300a和聚合无线装置300b(由此,无线装置将需要向WLAN节点400报道它的聚合能力,例如如本申请者在PCT/SE2014/51262中所描述的一样)。在图9a中,以虚线框901束缚的消息流的交换涉及利用例如正常RSN规程的关于遗留无线装置300a的那些认证,而以虚线框903束缚的消息流的交换涉及聚合无线装置300b的认证,由此在WLAN节点400和聚合无线装置300b之间在例如不利用安全保护的情况下交换聚合业务。如以上所提及的,根据本发明的实施例,聚合装置300b也能够利用不同安全协议(例如RSN认证)与WLAN节点400通信,这将在图9b和9c中进一步描述。
参考图9b,这详述了图9a的聚合无线装置300b的消息流,并示出对应于上文在图8a中描述的选项的消息流的示例,即,由此无线装置300只利用一个安全协议(例如,RSN认证)关联到WLAN节点(例如,AP),并且然后在没有空中加密的情况下,只发送第一业务数据信号流,例如蜂窝型业务,诸如聚合帧。标为905的消息流对应于无线装置300b与WLAN节点400设立安全协议,例如设立RSN认证。然后,利用该安全协议交换本地分离业务,使得在无线装置300b和WLAN节点400之间交换加密本地分离业务。然而,例如由于因为聚合业务已具有它自己的内建安全机制而不要求加密,故采用未加密模式来交换聚合业务。
图9c示出根据另一个实施例对应于上文在图8b中描述的实施例的示例。该实施例支持在单个WLAN节点400和单个无线装置或用户设备(站)300b之间的两种(或两种以上)不同的同步认证,例如同时支持OSA和RSN二者的WLAN节点。因此,无线装置300b能够利用任一安全机制认证并关联到所述WLAN节点,或者在其中它们正在聚合无线装置的情况下,同时利用两种安全机制认证并关联到所述WLAN节点。标为905的消息流对应于无线装置300b与WLAN节点400设立第一安全协议,例如设立RSN认证,并且消息流907对应于无线装置300b与WLAN节点400设立第二安全协议,例如设立OSA。
因此,在图9c的示例中,为无线装置提供同步利用若干不同认证机制(例如,一个OSA和一个RSN)向WLAN节点(AP)认证的选项。该场景与图9b中的场景类似,只是过程流不同。在此情形中,无线装置300b将同时利用两种不同的认证,一个用于本地分离业务,且一个用于聚合业务。在IEEE802.11标准中,可通过允许一个无线装置300具有到相同WLAN节点或接入点的多个同步认证来实现该选项。在此情况下,WLAN节点适应于维持两个不同的状态机,对于每个业务类型一个状态机。WLAN节点能够在例如如以上所提及的ASE中通告对于无线装置完成两个或两个以上认证的要求。
图10示出根据本文中描述的实施例包括WLAN节点400(例如,接入点)和无线装置300的网络的示例。WLAN节点400能够例如通过对于本地分离业务(例如,路由给因特网700的WLAN业务)利用第二安全协议(例如,在该示例中为RSN帧)来仍然照常向遗留无线装置提供安全通信。但是,如以上所论述的,对于发送聚合业务的聚合无线装置300b,能够在没有空中加密的情况下在WLAN 400和无线装置300之间交换此类业务。图10的示例中示出的该选项对遗留无线装置不具有任何影响,因为它们将把WLAN节点400观察为正常RSN WLAN节点。
根据本文中描述的实施例,当想到安全时,不同地对待无线站具有的两种不同业务类型,例如聚合业务和本地分离业务。
实施例提供一种操作能够维持与无线装置的第一和第二保护机制的WLAN接入点的方法。在一个实施例中,方法包括:宣告WLAN接入点支持哪些保护机制;利用第一保护机制保护从装置接收的第一类型的业务;利用第二保护机制保护从装置接收的第二类型的业务;以及将第一类型的业务转发给3GPP聚合功能。
根据本发明的另一个方面,提供有一种包括指令的计算机程序,所述指令在至少一个处理器上执行时使得所述至少一个处理器实行根据上文所描述的实施例中的任一实施例的方法。
根据本发明的另一个方面,提供有一种包括此类计算机程序的载体,其中载体是电子信号、光信号、无线电信号或计算机可读存储介质之一。
注意,描述的实施例能够克服问题,由此WLAN AP必须出于以下两个不同目的提供能力和路由业务:一个用于3GPP聚合,且一个用于本地分离(例如,到家庭或企业网络的因特网业务或接入)。由于通过更高参与者(player)协议(即,PDCP)来保护3GPP聚合业务的安全,所以对于朝向3GPP聚合器被路由的业务在WLAN空中接口上不需要安全性(或较低形式的安全性)(能够通过例如IPsec保护WLAN AP和3GPP聚合器之间的业务,以确保只允许来自授权AP的业务到达3GPP聚合器)。在对空中聚合流不应用任何安全性的情况下,WLAN AP能够配置成对于这些流的认证利用OSA。在实施例中,WLAN AP能够区别哪些流是聚合流。但是,本地分离业务不受3GPP安全性的保护,并且因此WLAN AP能够通过空中接口为该业务提供安全性。
在上文描述的实施例中,将第一业务数据信号描述为至少包括用于蜂窝通信网络的聚合信号的部分,并将第二业务数据信号描述为包括WLAN的本地分离信号。但是,注意,第一和第二业务数据信号可包括任何形式的不同业务信号。
本发明的实施例允许相同用户设备、无线装置或站将一些流作为聚合流运行并将其它流作为本地分离流运行,即,这些流同时来自相同用户设备。
实施例描述一种允许WLAN接入节点或接入点(AP)为来自相同用户设备或无线装置的不同业务流提供不同安全机制的机制。例如,AP能够对朝向3GPP聚合器节点(例如,eNB)路由的业务不采用任何安全性(或OSA),并且同时对打算用于本地分离的业务使用安全性(例如,AP能够是用于本地分离业务的稳健安全网络RSN的部分)。
因此,本发明的实施例提供这样一种技术解决方案,它使得诸如WLAN接入点的网络节点能够允许对单个用户设备或站或无线装置同时进行多个不同认证。照这样,能够保证在机密性和完整性方面保护本地分离业务安全,而不会对已经具有足够安全性和完整性的诸如聚合业务的其它业务施加不必要的安全处理。
尽管实施例涉及支持第一和第二安全协议,但是注意,无线装置可同时支持对相同WLAN节点或接入点的若干认证。
应注意,上文提到的实施例是说明而不是限制本发明,并且在不偏离随附权利要求的范围的情况下,本领域中技术人员将能够设计许多备选实施例。词语“包括”不排除存在权利要求中列出的元件或步骤以外的元件或步骤,“一(a)”或“一(an)”不排除多个,并且单个处理器或其它单元可满足权利要求中记载的若干单元的功能。权利要求中的任何参考符号不应被直译,以致限制它们的范围。
Claims (19)
1.一种适应于被包括在含有无线局域网络WLAN和蜂窝通信网络的集成无线通信网络中的WLAN节点(400),所述WLAN节点(400)包括:
接收模块(401),适应于从无线装置接收业务数据信号;
安全模块(403),适应于处理所接收的业务数据信号,并对从所述无线装置接收的第一WLAN业务数据信号应用第一安全协议,和对从所述无线装置接收的第二WLAN业务数据信号应用第二安全协议;以及
路由模块(405),适应于将所述第一WLAN业务数据信号路由到所述蜂窝通信网络的节点,并将与本地分离业务有关的所述第二WLAN业务数据信号路由到所述WLAN的节点,
其中所述安全模块适应于同步处理来自相同无线装置的所述第一WLAN业务数据信号和所述第二WLAN业务数据信号,并且所述路由模块(405)适应于通过对所述第一WLAN业务数据信号和所述第二WLAN业务数据信号使用不同频率来将所述第一WLAN业务数据信号和所述第二WLAN业务数据信号同步路由到它们的相应节点。
2.如权利要求1所述的WLAN节点,其中:
所述第一安全协议包括与所述第二安全协议的安全机制不同的安全机制;或
所述第一安全协议包括比所述第二安全协议具有更低的安全等级的安全机制,或反之亦然;
所述第一安全协议包括比所述第二安全协议的加密等级更低的加密等级,或反之亦然;或
所述第一安全协议包括比所述第二安全协议的认证等级更低的认证等级,或反之亦然。
3.如权利要求1或2所述的WLAN节点(400),其中所述第一安全协议包括开放系统认证OSA安全协议。
4.如权利要求1或2所述的WLAN节点(400),其中所述第一安全协议不包括除了在接收的第一WLAN业务数据信号中已经提供的安全协议以外的额外安全。
5.如权利要求1或2所述的WLAN节点(400),其中所述第二安全协议包括稳健安全网络RSN安全协议。
6.如权利要求1所述的WLAN节点(400),其中所述安全模块(403)还适应于向其它节点或装置通告所述WLAN节点的同步认证能力。
7.如权利要求6中所述的WLAN节点(400),其中所述安全模块(403)适应于通告它支持:
稳健安全网络RSN认证,作为用于路由给所述WLAN的节点的所述第二WLAN业务数据信号的第二安全协议形式;以及
未加密通信,作为用于路由给所述蜂窝通信网络的节点的所述第一WLAN业务数据信号的所述第一安全协议。
8.如权利要求7所述的WLAN节点(400),其中所述安全模块(403)适应于利用以下信息元素通告它的第一安全协议能力和/或第二安全协议能力:
包括聚合安全元素ASG的信息元素;或
修改的稳健安全网络元素RSNE。
9.如权利要求8中所述的WLAN节点(400),其中所述安全模块(403)适应于利用以下信息元素通告它的第一安全协议能力和/或第二安全协议能力:
在数据帧、或信标信号、或探测请求响应信号、或认证请求/响应信号内提供的信息元素;或
供应商特定信息元素。
10.如权利要求1所述的WLAN节点(400),其中所述第一WLAN业务数据信号至少包括用于蜂窝通信网络的聚合信号的部分。
11.一种在适应于被包括在含有无线局域网络WLAN和蜂窝通信网络的集成无线通信网络中的WLAN节点中进行的方法,所述方法包括:
从无线装置接收业务数据信号(步骤501);
处理所接收的业务数据信号,并对从所述无线装置接收的第一WLAN业务数据信号应用第一安全协议,和对从所述无线装置接收的第二WLAN业务数据信号应用第二安全协议(步骤503);以及
将所述第一WLAN业务数据信号路由到所述蜂窝通信网络的节点,并将与本地分离业务有关的所述第二WLAN业务数据信号路由到所述WLAN的节点(步骤505);
其中同步处理所述第一WLAN业务数据信号和所述第二WLAN业务数据信号以便应用所述第一安全协议和所述第二安全协议,并通过对所述第一WLAN业务数据信号和所述第二WLAN业务数据信号使用不同频率来将它们同步路由到它们的相应节点。
12.如权利要求11中所述的方法,还包括向其它节点或装置通告所述WLAN节点的认证能力的步骤。
13.一种无线装置(500),包括:
通信模块(501),适应于与无线局域网络WLAN节点进行业务数据信号传递,其中所述业务数据信号包括对应于蜂窝通信网络的业务的第一WLAN业务数据信号和对于WLAN的本地分离业务的第二WLAN业务数据信号,其中所述通信模块适应于:
利用第一安全协议传递所述第一WLAN业务数据信号;以及
利用第二安全协议通过对所述第一WLAN业务数据信号和所述第二WLAN业务数据信号使用不同频率来与所述第一WLAN业务数据信号同步地传递所述第二WLAN业务数据信号。
14.如权利要求13中所述的无线装置(500),其中所述通信模块(501)适应于:
利用包括非加密通信的第一安全协议传递所述第一WLAN业务数据信号;以及
利用包括稳健安全网络RSN认证规程的第二安全协议传递所述第二WLAN业务数据信号。
15.如权利要求13中所述的无线装置(500),其中所述通信模块(501)适应于:
利用包括开放系统认证OSA的第一安全协议传递所述第一WLAN业务数据信号;以及
利用包括稳健安全网络RSN认证规程的第二安全协议传递所述第二WLAN业务数据信号。
16.如权利要求13到15中任一项所述的无线装置(500),其中所述通信模块(501)适应于响应于之前从所述WLAN节点接收指示所述WLAN节点接收具有不同安全协议的所述第一和第二WLAN业务数据信号的能力的通告,利用所述第一和第二安全协议传递所述第一和第二WLAN业务数据信号。
17.一种在无线装置中进行的方法,所述方法包括:
与无线局域网络WLAN节点进行业务数据信号传递,其中所述业务数据信号包括对应于蜂窝通信网络的业务的第一WLAN业务数据信号和对于WLAN的本地分离业务的第二WLAN业务数据信号(步骤701);
其中利用第一安全协议传递所述第一WLAN业务数据信号,并利用第二安全协议通过对所述第一WLAN业务数据信号和所述第二WLAN业务数据信号使用不同频率来与所述第一WLAN业务数据信号同步地传递所述第二WLAN业务数据信号(步骤703)。
18.如权利要求17中所述的方法,包括以下步骤:
利用包括非加密通信的第一安全协议传递所述第一WLAN业务数据信号(步骤801),并利用包括稳健安全网络RSN认证规程的第二安全协议传递所述第二WLAN业务数据信号(步骤803);或
利用包括开放系统认证OSA的第一安全协议传递所述第一WLAN业务数据信号(步骤805),并利用包括稳健安全网络RSN认证规程的第二安全协议传递所述第二WLAN业务数据信号(步骤807)。
19.一种其上存储有计算机程序的计算机可读存储介质,所述计算机程序包括计算机可读指令,所述计算机可读指令在至少一个处理器上执行时使得所述至少一个处理器实行根据权利要求11-12和17-18中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2014/051447 WO2016089265A1 (en) | 2014-12-04 | 2014-12-04 | Method performed by a wlan node in an integrated wireless communications network, for applying security to received traffic data. |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107211488A CN107211488A (zh) | 2017-09-26 |
| CN107211488B true CN107211488B (zh) | 2021-02-23 |
Family
ID=56092083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480084614.0A Active CN107211488B (zh) | 2014-12-04 | 2014-12-04 | 对业务数据应用安全的方法、wlan节点和无线设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170331688A1 (zh) |
| EP (1) | EP3228152B1 (zh) |
| CN (1) | CN107211488B (zh) |
| WO (1) | WO2016089265A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3119118B1 (en) * | 2015-07-17 | 2020-07-15 | HTC Corporation | Handling of cellular-wireless local area network aggregation |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| CN107439038B (zh) * | 2016-06-30 | 2020-03-03 | 北京小米移动软件有限公司 | 数据传输方法、装置、用户设备及基站 |
| US11375408B2 (en) * | 2019-03-06 | 2022-06-28 | XCOM Labs, Inc. | Local breakout architecture |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045714A (zh) * | 2009-10-10 | 2011-05-04 | 上海贝尔股份有限公司 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
| CN102625346A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种长期演进局域网lte-lan系统和接入设备及终端 |
| CN102771147A (zh) * | 2010-02-25 | 2012-11-07 | 美国博通公司 | 用于4GWiMAX/LTE-WiFi/BT共存时域法的方法及系统 |
| CN103906056A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 混合组网下统一认证方法及系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| US8533454B2 (en) * | 2006-09-25 | 2013-09-10 | Qualcomm Incorporated | Method and apparatus having null-encryption for signaling and media packets between a mobile station and a secure gateway |
| US8774091B2 (en) * | 2008-06-12 | 2014-07-08 | Qualcomm Incorporated | Cellphone WLAN access point |
| US20100020746A1 (en) * | 2008-07-28 | 2010-01-28 | Texas Instruments Incorporated | Advertisement of multiple security profiles in wireless local area networks |
| CN101394281A (zh) * | 2008-09-27 | 2009-03-25 | 上海交通大学 | 基于无线局域网的无线网状网络接入安全认证方法 |
| US9008314B2 (en) * | 2008-11-18 | 2015-04-14 | Verizon Patent And Licensing Inc. | Secure wireless communications |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| US9414223B2 (en) * | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
| WO2014025829A2 (en) * | 2012-08-06 | 2014-02-13 | Rambus Inc. | Systems and methods for connecting to local services from wan and lan |
| US8891420B2 (en) * | 2012-09-14 | 2014-11-18 | Fujitsu Limited | Fusion of cellular and non-cellular communications |
| TWI492656B (zh) * | 2012-12-25 | 2015-07-11 | 廣達電腦股份有限公司 | 無線存取點 |
| US9603192B2 (en) * | 2013-01-16 | 2017-03-21 | Ncore Communications, Inc. | Methods and apparatus for hybrid access to a core network |
| US9277495B2 (en) * | 2013-03-05 | 2016-03-01 | Futurewei Technologies, Inc. | System and method for adaptive access network query protocol (ANQP) element provisioning |
| US9474067B2 (en) * | 2013-03-26 | 2016-10-18 | Qualcomm Incorporated | WLAN uplink scheduler for LTE-WLAN aggregation |
| US9426649B2 (en) * | 2014-01-30 | 2016-08-23 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network |
| US9609566B2 (en) * | 2014-06-03 | 2017-03-28 | Intel Corporation | Radio resource control (RRC) protocol for integrated WLAN/3GPP radio access technologies |
| US11412376B2 (en) * | 2014-09-05 | 2022-08-09 | Telefonaktiebolaget L M Ericsson (Publ) | Interworking and integration of different radio access networks |
-
2014
- 2014-12-04 EP EP14907560.8A patent/EP3228152B1/en active Active
- 2014-12-04 WO PCT/SE2014/051447 patent/WO2016089265A1/en active Application Filing
- 2014-12-04 US US15/531,239 patent/US20170331688A1/en not_active Abandoned
- 2014-12-04 CN CN201480084614.0A patent/CN107211488B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045714A (zh) * | 2009-10-10 | 2011-05-04 | 上海贝尔股份有限公司 | 提供3gpp网络与无线局域网互通安全的方法和装置 |
| CN102771147A (zh) * | 2010-02-25 | 2012-11-07 | 美国博通公司 | 用于4GWiMAX/LTE-WiFi/BT共存时域法的方法及系统 |
| CN102625346A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种长期演进局域网lte-lan系统和接入设备及终端 |
| CN103906056A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 混合组网下统一认证方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| LTE-WLAN无线协作机制研究;谢芳等;《电信科学》;20140331;全文 * |
| Motivation for new SI: Integrated LTE-WLAN RATs;Intel Corporation;《TSG RAN Meeting #64 RP-140685》;20140613;全文 * |
| Security analysis of 3GPP (LTE) — WLAN interworking and a new local authentication method based on EAP-AKA;Younes El Hajjaji El Idrissi等;《The First International Conference on Future Generation Communication Technologies》;20130311;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016089265A1 (en) | 2016-06-09 |
| EP3228152A1 (en) | 2017-10-11 |
| CN107211488A (zh) | 2017-09-26 |
| EP3228152A4 (en) | 2018-07-11 |
| EP3228152B1 (en) | 2019-11-20 |
| US20170331688A1 (en) | 2017-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11412376B2 (en) | Interworking and integration of different radio access networks | |
| US20230353379A1 (en) | Authentication Mechanism for 5G Technologies | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| US20210029596A1 (en) | Communication system | |
| US10382206B2 (en) | Authentication mechanism for 5G technologies | |
| US11178547B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| US10659370B2 (en) | Wireless local area network (WLAN) node, a wireless device, and methods therein | |
| EP3175639B1 (en) | Authentication during handover between two different wireless communications networks | |
| US10716000B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| CN107211488B (zh) | 对业务数据应用安全的方法、wlan节点和无线设备 | |
| Namal et al. | Lightweight authentication and key management on 802.11 with Elliptic Curve Cryptography | |
| WO2015054853A1 (zh) | 分流方法、基站及用户设备 | |
| WO2016015750A1 (en) | Authentication in a communications network | |
| WO2024145946A1 (en) | Apparatus, method, and computer program | |
| de Araújo Marques | Security and Mobility in 802.11 Structured Networks | |
| Mukherjee et al. | WiMAX, LTE, and WiFi Interworking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |