CN108293183B - E-utran与wlan之间的切换 - Google Patents

Abstract

实施例提供一种用户设备(UE)装置，其包括处理器和收发机。处理器被配置为经由收发机将切换请求导向演进分组核心(EPC)接入节点。该接入节点例如可以是无线局域网(WLAN)接入点或E‑UTRAN接入点。切换请求可以发起UE装置从WLAN接入点到E‑UTRAN接入点或从E‑UTRAN接入点到WLAN接入点的连接性的转移。处理器被配置为接收来自当前接入节点的切换响应，其中该响应包括加密密钥标识符，以及从密钥标识符导出切换密钥。处理器然后可以操作UE装置以基于切换密钥而在UE装置与其它接入节点之间提供连接性。

Description

E-UTRAN与WLAN之间的切换

技术领域

本发明通常涉及无线通信领域，更具体但不排它地，涉及用于在无线蜂窝网络与无线局域网之间转移用户设备装置的方法和装置。

背景技术

此部分介绍可有助于更好地理解本发明的各方面。因此，此部分的陈述将以此为基础来阅读，而不应被理解为承认什么属于现有技术或什么不属于现有技术。在此描述的已有或可能已有的任何技术或方案作为本发明的背景示出，但并非因此承认这些技术和方案在此之前已商业化，或者对发明人还有其他人是已知的。

移动设备(诸如移动手机)或者更一般地，用户设备(UE)，可以经由蜂窝接入点与诸如演进分组核心(EPC)的因特网协议(IP)传输层相连接以与其它联网设备进行通信。为了减少诸如E-UTRAN节点(eNodeB)的蜂窝网络接入点的负载，这种设备可以将与蜂窝接入点的连接转换为与无线LAN(WLAN)接入点的连接，该WLAN接入点提供IP传输层与UE之间的数据路径。该转换要求UE与EPC基础设施中的服务器之间的若干通信步骤。这些步骤可能是耗时的，因此当许多UE的动作被视为一个整体时会需要数量相当大的系统资源。

发明内容

发明人公开了各种有益地应用于例如混合蜂窝/WLAN数据网络的装置和方法。虽然可以预期这样的实施例在这样的装置和方法的性能和/或成本的降低方面提供改进，但是特定结果不是本发明的要求，除非在特定的权利要求中明确陈述。

一个实施例提供装置，例如，诸如移动手机的用户设备(UE)装置，其包括处理器以及耦合到处理器的存储器和收发机。处理器被配置为执行存储在存储器中的指令，所述指令在被执行时配置处理器以执行改变UE装置从WLAN接入点到E-UTRAN接入点的连接性的步骤，反之亦然。因此，处理器被配置为经由收发机在包括处理器的用户设备(UE)装置与第一类型的第一演进分组核心(EPC)接入节点(例如，E-UTRAN接入点)之间提供初始连接性。处理器还被配置为检测第二类型的第二EPC接入节点(例如，WLAN接入点)的存在。处理器还被配置为将切换请求导向第一EPC接入节点，以及接收来自第一接入节点的切换响应，其中，该响应包括加密密钥标识符。处理器还被配置为从密钥标识符导出切换密钥，以及基于切换密钥，在UE装置与第二接入节点之间提供连接性。

在一些实施例中，例如，其中第一接入节点是E-UTRAN接入点。切换请求包括UE的标识和WLAN接入点的标识。在一些实施例中，基于切换密钥而提供连接性包括：基于切换密钥，导出主会话密钥集。在一些实施例中，切换密钥包括基于密钥标识符的成对主密钥。

另一个实施例提供装置，例如包括eNodeB的E-UTRAN,其包括处理器以及耦合到处理器的存储器和收发机。处理器被配置为执行存储在存储器中的指令，所述指令在被执行时配置处理器以执行支持改变UE装置从E-UTRAN接入点到WLAN接入点的连接性的步骤。处理器被配置为经由收发机接收来自UE装置的切换请求，以及将切换请求导向移动性管理实体(MME)。处理还被配置为接收来自MME的切换响应，其中，该响应包括加密密钥标识符，以及将切换响应导向UE。在一些实施例中，切换请求包括UE装置的标识和WLAN接入点的网络接入标识符。在一些实施例中，切换响应包括加密密钥标识符。

另一个实施例提供装置，例如包括eNodeB的E-UTRAN,其包括处理器以及耦合到处理器的存储器和收发机。处理器被配置为执行存储在存储器中的指令，所述指令在被执行时配置处理器以执行支持改变UE装置从WLAN接入点到E-UTRAN接入点的连接性的步骤。处理器被配置为经由收发机接收来自移动性管理实体(MME)的切换密钥协商请求，以及作为响应而将密钥协商响应导向MME。处理器还被配置为响应于接收密钥协商响应，从用户设备UE装置接收指示UE已经完成从无线局域网接入点到包括处理器的E-UTRAN的切换的消息。在一些实施例中，处理器还被配置为从与切换密钥协商请求一起接收的密钥导出一组切换密钥，以及将这些切换密钥与切换协商响应包括在一起。在一些实施例中，切换密钥协商请求包括UE装置的标识。

另一个实施例提供装置，例如WLAN接入点,其包括处理器以及耦合到处理器的存储器和收发机。处理器被配置为执行存储在存储器中的指令，所述指令在被执行时配置处理器以执行支持改变UE装置从E-UTRAN接入点到WLAN接入点的连接性的步骤。处理器被配置为接收来自AAA服务器的切换密钥协商请求，以及作为响应而将切换密钥协商消息导向所述AAA服务器。处理器还被配置为接收来自UE的切换完成消息，该消息是由切换密钥协商响应产生，以及随后在UE与演进分组核心网络之间提供连接性。在一些实施例中，切换密钥协商请求包括请求连接性从E-UTRAN接入点到包括处理器的无线局域网接入点的切换的用户设备装置的标识。在一些实施例中，切换密钥协商请求还包括主会话密钥(MSK)和扩展主会话密钥(EMSK)。在一些实施例中，处理器还被所述指令配置为将向AAA服务器通知包括处理器的WLAN接入点准备好在UE与演进分组核心网络之间提供连接性的消息导向AAA服务器。

另一个实施例提供装置，例如WLAN接入点,其包括处理器以及耦合到处理器的存储器和收发机。处理器被配置为执行存储在存储器中的指令，所述指令在被执行时配置处理器以执行支持改变UE装置从WLAN接入点到E-UTRAN接入点的连接性的步骤。处理器被配置为将切换请求导向AAA服务器，以及接收来自AAA服务器的切换响应。处理器还被配置为响应于接收切换响应，将切换响应导向UE装置，以及停止在UE装置与演进分组核心之间提供连接性。在一些实施例中，处理器还被配置为响应于接收来自UE装置的将UE装置与演进分组核心之间的连接性从包括处理器的WLAN接入点切换到E-UTRAN接入点的请求，将切换请求导向AAA服务器。在一些实施例中，切换响应包括定制密钥集索引，以及处理器被配置为将定制密钥和切换响应一起导向UE装置。

各种附加实施例包括制造符合上述实施例的WLAN接入点的方法。

各种附加实施例包括制造符合上述实施例的E-UTRAN接入点的方法。

各种附加实施例包括制造符合上述实施例的UE装置的方法。

附图说明

可以通过结合附图而参考以下详细描述来获得对本发明的更全面的理解，其中：

图1示出混合蜂窝无线和WLAN系统的实施例，其中，SDN控制器调节用户设备(UE)装置经由E-UTRAN和WLAN接入3GPP演进分组核心网络；

图2示出图1的UE、EUTRAN和WLAN的各方面的详细视图；

图3示出用于从图1的EPS E-UTRAN切换到WLAN的密钥协商的实施例；

图4示出用于从图1的WLAN切换到EPS E-UTRAN切换的密钥协商的实施例；

图5示意性地示出可能对理解在图3和4中示出的方法的各步骤是有用的各个密钥之间的关系。

具体实施方式

缩写：

在讨论中使用的以下缩写被汇集在这里以便于参考：

3GPP：第三代合作伙伴计划

AAA：认证、授权和计费服务器

ADSF：接入网发现和选择功能

CDN：内容分发网络

E-UTRAN：演进的UTRAN

EMASK：扩展主会话密钥

EPS：演进分组系统

GTP：GPRS隧道协议

HSS：归属用户服务器

IMEA：国际移动台设备标识

IMSI：国际移动用户标识

IPsec：因特网协议安全

K_ASME：移动性管理实体基础密钥；基础密钥

MAC：媒体访问控制

MME：移动性管理实体

MSK：主会话密钥

NAI：网络接入标识符

NFV：网络功能虚拟化

PCRF：策略和计费规则功能

PMK：成对主密钥

S/PGW(C)：服务/分组数据网络网关

SDN：软件定义网络

TLS：传输层安全

TSK：临时会话密钥

TWAN：可信WLAN

UE：用户设备

UMTS：通用移动通信系统

UTRAN：UTMS地面无线接入网

VNF：虚拟网络功能

WLAN：无线局域网

WLCP：WLAN控制协议

技术标准：

与以下描述相关的以下技术标准中的每一个对于相关领域的技术人员是已知的，并且通过引用将其全部内容并入本文。

●IEEE 802.11i-2004

●IETF RFC 3748

●IETF RFC 5448

●3GPP TS23.402

●3GPP TS33.210

●3GPP TS33.220

●3GPP TS33.401

●3GPP TS33.402

现在参照附图来描述各种实施例，其中，相似的参考标号始终用于指代相似的元件。在以下描述中，为了解释的目的，阐述了许多具体细节以提供对一个或多个实施例的透彻理解。然而，可显而易见地，这样的实施例可以在无需这些具体细节的情况下进行实践。在其它情况下，公知结构和设备以框图的形式示出以便于描述一个或多个实施例。

在本文中描述的实施例解决了常规技术的一些缺点，例如通过利用软件定义网络(SDN)和网络功能虚拟化(NFV)功能来提供用于3GPP与非3GPP接入之间的移动性的有效的认证和密钥协商过程，以节省无线资源并且减少切换延迟。例如，与传统的操作相比，这样的实施例的优势包括用于E-UTRAN与WLAN之间的切换的更有效的密钥协商过程。因此，UE与网络之间通过空中链路的通信显著减少。

相关3GPP标准要求在UE可在3GPP无线接入(例如，经由eNodeB)与非3GPP无线接入(例如，经由WLAN)之间切换之前，UE和演进分组核心(EPC)网络相互认证。参见例如，3GPPTS33.402。在成功的相互认证之后，相应的密钥将被获取并用于保护3GPP无线接入或非3GPP无线接入。例如，当UE从EPS E-UTRAN接入点转换到WLAN无线接入点时，可以完成如在IETF RFC5448中定义的EAP-AKA以用于UE与3GPP AAA服务器之间的相互认证。在成功的相互认证之后，如在IETF RFC5448中定义的两个密钥MSK和EMSK可被导出并用于生成如在3GPP TS23.402和TS33.402中定义的WLCP密钥以及如在3GPP TS33.402中定义的用于保护WLAN无线接入的相应的密钥。在另一个示例中，当UE从WLAN转换到EPS E-UTRAN时，可以完成如在3GPP TS33.401中定义的EPS AKA以用于UE与MME之间的相互认证。在此之后，相应的密钥将被导出以保护UE与eNodeB之间的通信。

该方法至少存在以下两个缺陷：

1)即使UE已经被源无线接入网络(RAN)认证，但UE与目标网络之间的相互认证还是必须再次完成以获取用于在切换之前保护空中链路的密钥，这将会增加切换延迟。

2)在UE与目标网络之间通过3GPP空中链路存在许多几乎不消耗无线资源的通信。

在本文中描述的实施例可以解决常规技术的这些和/或其它缺点，例如通过利用SDN和NFV能力来优化用于3GPP与非3GPP网络接入之间的移动性的认证和密钥协商过程，以减少无线资源的使用和/或减少切换延迟。有利地，一些实施例提供了比常规过程更优化的用于E-UTRAN与WLAN之间的切换的密钥协商过程。因此，在UE与网络之间通过3GPP空中链路的通信显著减少。此外，减少了切换延迟并且节省了无线接入资源。

在3GPP TS33.402中定义了用于3GPP与非3GPP接入(例如，WiMAX、WLAN和CDMA-2000HRPD)之间的移动性的认证和密钥协商。为了简化描述，只对用于具有非漫游的EPS E-UTRAN与WLAN之间的移动性的认证和密钥协商概述如下。此外，只描述了可信WLAN接入EPC或非无缝卸载。相关领域的技术人员将立即认识到所描述的原理可以扩展而超出E-UTRAN/WLAN移动性(例如，5G无线与WLAN互通)，而无需过多的实验。

图1示出了用于3GPP EPS E-UTRAN与WLAN互通的基于SDN/NFV的框架100的一个实施例。UE装置110(例如，移动手机、平板计算机、膝上型计算机或能够与WLAN接入点和E-UTRAN接入点进行通信的类似的设备)可能与WLAN接入点(AP)120和/或E-UTRAN AP 130在射频(RF)通信中。WLAN AP 120可以经由交换机150与SDN控制器140通信，而E-UTRAN AP130可以经由交换机160与SDN控制器140通信。网络包括在部署在“云”170中的控制层中的虚拟化网络功能(VNF)180。相关领域的技术人员将认识到，云170是经由因特网协议互连的潜在大量设备的抽象表示。具体而言，云170可以在EPS中实现，并且可以实现与万维网的更广泛的连接性。示出了若干VNF 180，其包括CDN 180a、HSS 180b、AAA服务器180c(简称AAA180c)、MME 180d、PCRF 180e、ANDSF 180f、RC 180g和S/PGW-C 180h。在其它实施例中，云170除了所示出的那些之外还可以包括其它VNF 180，而在另一些实施例中，可以不包括所示出的VNF 180中的一些。这些VNF与SDN控制器140一起可以进行操作以协商用于E-UTRANAP 130与WLAN AP 120之间的UE切换的密钥。这样的实现使得有可能有效地实现切换。

NFV实现提供了比那些替代方法(例如，固定网络功能服务器)更低的成本和更灵活的安全服务交付。VNF可以通过运行不同软件和进程的一个或多个虚拟机在标准高容量服务器、交换机和存储设备上，或者甚至云计算基础架构上实现，而不是为每个网络功能定制硬件设备。这样的功能可以低成本且快速地部署，而且该方法具有高度的可扩展性。此外，在硬件或网络故障的情况下，可以通过用另一个VNF替换一个VNF来快速重新建立功能，例如，通过重新配置可用的服务器。诸如SDN控制器140的SDN控制器可被提供有相关网络拓扑的知识。安全策略可以同时且一致地配置用于所有与VNF的互操作性相关的网络设备。此外，SDN控制器140可被配置为与如自动安全管理的一些安全功能一起实时自动检测并缓解网络攻击。参见例如，Z.Hu等，“一种用于SDN的综合安全体系结构(A ComprehensiveSecurity Architecture for SDN)”，第18届下一代网络智能国际会议，IEEE，2015，第30-37页，其通过引用并入本文。

图2示出了框架100的一些组件，例如，UE 110、WLAN AP 120和具有相关联的eNodeB 135的E-UTRAN AP 130的特征。UE 110包括处理器110a，其被配置为在本地与存储器110b和收发机110c通信。“在本地通信”意思是处理器110a被配置为通过直接的欧姆连接(例如，电线、电路板等而没有气隙)与存储器110b和收发机110c进行通信。收发机110c还耦合到天线110d。存储器110b包括指令(例如，程序)，这些指令在由处理器110a执行时配置处理器110a以执行如在本文的实施例中描述的各种动作。处理器110a与收发机110c通信以向WLAN AP 120和eNodeB 135发送消息和/或分组数据，和/或从WLAN AP 120和eNodeB 135接收消息和/或分组数据。UE 110可以使用射频信号经由天线110d与WLAN AP 120和E-UTRANAP 130无线通信。

WLAN AP 120包括处理器120a，其被配置为在本地与存储器120b、收发机120c和网络接口120e通信。收发机120c还耦合到天线120d。存储器120b包括指令(例如，程序)，这些指令在由处理器120b执行时配置处理器120b以执行如在本文的实施例中描述的各种动作。处理器120a与收发机120c通信以经由天线120d向UE 110发送消息和/或分组数据、和/或从UE 110接收消息和/或分组数据，并且经由网络接口120e向SDN控制器140发送消息和/或分组数据、和/或从SDN控制器140接收消息和/或分组数据。

eNodeB 135包括处理器135a，其被配置为在本地与存储器135b、收发机135c和网络接口135e通信。收发机135c还耦合到天线135d。存储器135b包括指令(例如，程序)，这些指令在由处理器135a执行时配置处理器135a以执行如在本文的实施例中描述的各种动作。处理器135a与收发机135c通信以经由天线135d向UE 110发送消息和/或分组数据、和/或从UE 110接收消息和/或分组数据，并且经由网络接口135e向SDN控制器140发送消息和/或分组数据、和/或从SDN控制器140接收消息和/或分组数据。

下面的图3和图4示出了分别描述用于在E-UTRAN AP 130与WLAN AP 120之间进行切换的过程的两个实施例。在各种实施例中，用于这些切换的密钥协商以更有效的方式来实现，例如，比常规方法，例如诸如那些符合3GPP TS33.402和3GPP TS23.402技术标准的方法，消耗更少的无线资源。以下实施例基于以下为了简化陈述而作出的假设，而并不限制本公开或权利要求的范围。

●WLAN AP 120和EPS E-UTRAN AP 130相互信任，例如，如在3GPP TS23.402中所定义的。

●EPS E-UTRAN AP 130与WLAN AP 120之间的切换在没有漫游的单连接模式下执行。

●WLAN AP 120与交换机150之间以及E-UTRAN AP 130与交换机160之间的通信通过TLS/IPsec或物理安全来保证。

●每个交换机150、160与SDN控制器140之间的通信通过TLS/IPsec或物理安全来保证。

E-UTRAN AP 130和WLAN AP 120接入节点两者都具有支持密钥协商的能力。基于SDN控制器140，诸如MME 180d、AAA 180c和HSS 180b的网络功能可以有效且安全地彼此通信。因此，通过利用SDN/NFV能力以用于3GPP EPS E-UTRAN与WLAN互通，UE 110与网络之间的用于认证和密钥协商的通信预计会急剧减少。因此，减少了切换延迟并且节省了无线接入资源。

图3示出了例如协商从EPS E-UTRAN到WLAN的切换的方法300的实施例。方法300包括六个参与者，UE 110、WLAN AP 120、E-UTRAN AP 130、MME 180d、AAA 180c和HSS 180b。在方法300中，各种消息和加密密钥可以包括前缀“HO”，将该消息或密钥指定为“切换”消息或密钥。在此陈述中，UE 110最初(“步骤0”)经由E-UTRAN AP 130与EPC相连接。以下步骤以列表的形式方便地示出：

步骤3-1：UE 110发现WLAN接入经由WLAN AP 120可用。

步骤3-2：响应于该发现，UE 110通过将切换(HO)请求消息HO_Request导向E-UTRAN AP 130来发起从E-UTRAN AP 130到WLAN AP 120的切换。该请求例如可以是响应于检测来自WLAN AP 120的足够的信号强度而作出的。该请求包括UE 110的Identity参数，例如，IMEA码、IMSI码或MAC地址，以及WLAN AP 120的标识，例如，网络接入标识符参数NAI_WLAN。Identity和NAI_WLAN参数可以如在3GPP TS23.402和3GPP TS33.402中所定义的。

步骤3-3：响应于接收HO_Request消息，E-UTRAN AP 130将该消息重定向到MME180d。

步骤3-4：MME 180d确定相应的标识符，例如，与UE 110对应的IMSI和密钥集标识符KSI_ASME。该确定例如可以基于包含在步骤2的请求中的Identity参数而作出。MME 180d可以基于与KSI_ASME对应的基础密钥K_ASME而导出切换密钥HO_K_ASME。本领域的技术人员熟悉密钥K_ASME和密钥集标识符KSI_ASME。参见例如，3GPP TS33.401。在一些实施例中，MME 180d不导出密钥HO_K_ASME，而是直接向AAA 180c发送密钥K_ASME。然而，由于可能的潜在安全威胁，在一些情况下，这样的实施例可能不是优选的，因为WLAN AP 120可能够确定用于保护UE 110与E-UTRAN AP 130之间的无线通信的密钥。

步骤3-5：MME 180d根据最初由UE 110提供的参数NAI_WLAN来识别AAA 180c，然后将消息HO_Request(Identity，NAI_WLAN，HO_K_ASME)导向所识别的AAA 180c。

步骤3-6：AAA 180c从密钥HO_K_ASME导出密钥MSK和EMSK。推导的细节例如通过IETFRFC5448来提供。该标准定义了用于MSK和EMSK的密钥导出函数(KDF)，其假定用于函数PRF'的输入密钥“IK'|CK'”。在本实施例中，密钥HO_K_ASME替换IK'|CK'用作PRF'函数的输入密钥。

步骤3-7：AAA 180c将切换密钥协商请求导向WLAN AP 120，例如，消息HO_Key_Negotiate_Request(Identity，MSK，EMSK)。

步骤3-8：WLAN AP 120存储密钥MSK和EMSK，其将用于保护UE 110与WLAN AP 120之间的通信。WLAN AP 120将切换密钥协商响应导向AAA 180c，例如，消息HO_Key_Negotiate_Response。

步骤3-9：AAA 180c向MME 180d发送消息HO_Response。

步骤3-10：MME 180d向E-UTRAN AP 130发送消息HO_Response(KSI_ASME)。

步骤3-11：E-UTRAN AP 130向UE 110发送消息HO_Response(KSI_ASME)。

步骤3-12：UE 110以与MME 180d所用的相同方式(例如，如在TS33.210中所规定的)导出密钥HO_K_ASME。该推导在附录中进行描述，其中K_ASME作为输入密钥。UE 110以与步骤6中的AAA 180c所用的相同方式生成主会话密钥MSK和扩展主会话密钥EMSK。密钥MSK和EMSK在本文以及权利要求中统称为主会话密钥集。相关领域的技术人员将认识到，密钥HO_K_ASME直接与密钥K_ASME类似，密钥K_ASME是通常在UE与MME之间共享的中间密钥。

步骤3-13：UE 110导出密钥以保护空中链路，例如，从MSK导出PMK和TSK以及从EMSK导出WLCP密钥。参见例如，3GPP TS33.402、IETF RFC3748和IEEE 802.11i-2004。UE110然后使用所导出的密钥连接WLAN AP 120。UE 110然后向WLAN AP 120发送消息HO_Completed。

步骤3-14：WLAN AP 120向AAA 180c发送向AAA 180c通知WLAN AP 120已经建立UE110与EPC之间的连接性的消息HO_Notify。

步骤3-15：AAA 180c向HSS 180b发起用户简档获取和AAA服务器注册。

步骤3-16：在EPS E-UTRAN接入中资源被释放。

图4示出了例如协商从WLAN到EPS E-UTRAN的切换的方法400的实施例。方法400包括如关于图4所描述的六个参与者，UE 110、WLAN AP 120、E-UTRAN AP 130、MME 180d、AAA180c和HSS 180b。

如前所述，在方法400中，前缀“HO”将消息或密钥指定为切换消息或密钥。方法400中的各个参与者导出提供UE 110和eNodeB 135必需的所有密钥。这些切换密钥直接与在常规实践中用于提供各个参与者的密钥类似。相关领域的技术人员将立即认识到，这些密钥可以使用例如符合标准文件3GPP TS33.401的过程来导出。图5示意性地示出了(而并非限制)可能对理解以下步骤是有用的各个密钥之间的关系。MME 180d从所接收的(从AAA180c)成对主密钥HO_PMK导出密钥HO_K_ASME。MME 180d然后从HO_K_ASME导出密钥HO_K_eNB，并且将后一个密钥发送到E-UTRAN AP 130。E-UTRAN AP 130然后从HO_K_eNB密钥导出四个附加密钥：HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc。这后四个密钥在本文中统称为“切换密钥”。本领域技术人员将立即认识到，切换密钥HO_K_UPint和HO_K_UPenc直接与在TS33.401标准中描述的用户平面(UP)业务密钥K_UPenc和K_UPint类似，而密钥HO_K_RRCint、HO_K_RRCenc直接与在同一标准中描述的无线资源控制(RRC)业务密钥K_RRCint和K_RRCenc类似。

返回到图4，UE 110最初(“步骤0”)经由WLAN AP 120与EPC相连接。以下步骤以列表的形式方便地示出。

步骤4-1：UE 110发现E-UTRAN AP 130可用于接入，并发起切换请求。该请求例如可以是响应于检测与WLAN AP 120的连接的信号质量受损而作出的。

步骤4-2：UE 110将消息HO_Request(Identity，NAI_E-UTRAN)导向WLAN AP 120。参数Identity和NAI_E-UTRAN可以如在3GPP TS23.402和3GPP TS33.402标准中所定义的。

步骤4-3：WLAN AP 120向AAA 180c转发HO_Request(Identity，NAI_E-UTRAN)消息。

步骤4-4：根据Identity参数，AAA 180c获取与UE 110对应的PMK。在一些实施例中，AAA 180c然后从PMK密钥导出密钥HO_PMK。在这种情况下，密钥HO_PMK也可以用作切换密钥。在某些其它实施例中，AAA 180c不导出密钥HO_PMK，而是直接向MME 180d发送密钥PMK。然而，在这样的实施例中可能存在潜在的安全威胁，因为E-UTRAN AP 130可以获悉用于保护UE 110与WLAN AP 120之间的无线通信的密钥。因此，在一些实现中，前述实施例可能是更可取的。密钥HO_PMK的推导可以如在附录中所描述地执行。

步骤4-5：AAA 180c根据参数NAI_{E UTRAN}识别来MME 180d。AAA 180c向MME 180d发送HO_Request(Identity，NAI_E-UTRAN，HO_PMK)消息。

步骤4-6：MME 180d从密钥HO_PMK导出密钥HO_K_ASME。MME180d从密钥HO_K_ASME导出密钥HO_K_eNB。这些密钥推导可以如在附录中所描述地执行，其中用于推导方法的输入密钥分别为HO_PMK和HO_K_ASME。

步骤4-7：MME 180d向E-UTRAN AP 130发送HO_Key_Negotiate_Request(Identity，HO_K_eNB)消息。

步骤4-8：E-UTRAN AP 130存储密钥HO_K_eNB，并且从密钥HO_K_eNB导出四个附加密钥HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc，其在本文以及权利要求中统称为切换密钥。这些切换密钥将用于保护UE110与E-UTRAN AP 130之间的通信。这些密钥推导可以如在附录中所描述地执行，其中用于推导方法的输入密钥为HO_K_eNB。

步骤4-9：E-UTRAN AP 130向MME 180d发送HO_Key_Negotiate_Response消息。

步骤4-10：MME 180d向AAA 180c发送HO_Response消息。

步骤4-11：AAA 180c向WLAN AP 120发送HO_Response(KSI_HO)消息。注意，KSI_HO密钥未在常规实现中使用，而是在本公开中被引入以向UE 110发信号通知PMK将被用于生成WLAN接入中的HO_K_ASME。KSI_HO在本文和权利要求中通常被称为“定制密钥集索引”以反映其相对于常规实践的新颖性。当然，虽然定制密钥集索引可以使用不同的术语来引用，但在功能方面是等同的，在本文中使用的术语反映了KSI_HO的功能与常规密钥集索引KSI的相似性。定制密钥集索引从AAA 180c被传输到WLAN AP 120以用于配置WLAN AP 120以用作EPC接入点。定制密钥集索引被定义为未在当前已有的标准(例如，3GPP标准，或更具体地例如，3GPPTS23.402和3GPP TS33.402)中定义的密钥集索引。

步骤4-12：WLAN AP 120向UE 110转发HO_Response(KSI_HO)消息。

步骤4-13：UE 110以与AAA 180c所用的相同方式从PMK导出密钥HO_PMK。UE 110从密钥HO_PMK导出密钥HO_K_ASME，并且以与MME 180d所用的相同方式从密钥HO_K_ASME导出密钥HO_K_eNB。UE 110以与E-UTRAN AP 130所用的相同方式生成密钥HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc。密钥HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc的推导可以如在附录中所描述地执行，其中PMK、HO_PMK、HO_K_ASME和HO_K_eNB分别用作输入密钥。

步骤4-14：UE 110使用密钥HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc与E-UTRANAP 130相连接以保护链路。UE 110向E-UTRAN AP 130发送HO_Completed消息。

步骤4-15：E-UTRAN AP 130向MME 180d发送HO_Notify消息。

步骤4-16：MME 180d向HSS 180b发起用户简档获取和MME服务器注册。

步骤4-17：WLAN接入资源被所有实体释放。

除非另行明确说明，否则每个数值和范围应当被解释为是近似的，就如同词语“大约”或“近似”在值或范围的前面。

还应当理解，本领域技术人员可以在不背离如在所附权利要求中表述的本发明的范围的情况下，对已经描述和示出的部件的细节、材料和布置作出各种改变来解释本发明的性质。

在权利要求中使用附图标号和/或附图参考标记旨在标识要求保护的主题的一个或多个可能的实施例，以便于解释权利要求。这样的使用不应被解释为必然将这些权利要求的范围限制为对应的附图中示出的实施例。

尽管以下方法权利要求中的元素(如果有的话)以具有对应的标记的特定顺序而列出，但是除非权利要求隐含描述用于实现那些元素中的一些或全部的特定顺序，否则那些元素并非旨在被限制于以该特定的顺序来执行。

在本文中提到“一个实施例”或“实施例”意思是结合该实施例描述的特定特征、结构或特性可被包括在本发明的至少一个实施例中。在说明书中各处出现的短语“在一个实施例中”并非全部是指相同的实施例，单独或替代的实施例也并非与其它实施例相互排斥。这同样适用于术语“实现”。

同样为了说明的目的，术语“耦合”或“连接”是指本领域中已知或随后开发的任何方式，其中能量被允许在两个或更多个元件之间传递，并且可以设想插入一个或多个附加元件，尽管不是必需的。相反，术语“直接耦合”、“直接连接”等意味着不存在这样的附加元件。

由本申请的权利要求所涵盖的实施例限于如下的实施例：(1)由本说明书支持的，以及(2)与法定主题相对应的。非支持的实施例和与非法定主题对应的实施例被明确放弃，即使它们正式落入权利要求的范围内。

说明书和附图仅仅说明了本发明的原理。因此将理解，虽然没有在本文中明确地描述或示出，但是，本领域的技术人员能够设计出体现本发明的原理并落入其精神和范围内的各种布置。此外，在本文中描述的所有示例主要旨在明确仅用于教学目的，以帮助读者理解由发明人为了促进本领域而贡献的本发明的原理和概念，并且被解释为不限于这样的具体描述的示例和条件。此外，在本文中所有陈述本发明的原理、方面和实施例的声明以及其具体示例，旨在涵盖其等同物。

在附图中示出的各种元件的功能，包括标记为“处理器”的任何功能框，可通过使用专用硬件以及能够执行软件的硬件与适当的软件相关联来提供。当由处理器提供时，这些功能可由单个专用处理器、单个共享处理器、或多个单独的处理器(其中一些可共享)来提供。此外，术语“处理器”或“控制器”的明确使用不应被解释为仅仅是指能够执行软件的硬件，还可隐含地包括但不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储设备。还可以包括其它常规和/或定制硬件。类似地，在附图中示出的交换机仅仅是概念性的。它们的功能可通过程序逻辑的操作、通过专用逻辑、通过程序控制和专用逻辑的交互结合适当的计算机硬件来执行，如从上下文中更具体理解的，特定技术可由实施人员选择。

本领域的技术人员应当理解，在本文中的任何框图表示体现本发明原理的说明性电路的概念视图。类似地，应当理解，任何流程表、流程图、状态转换图、伪代码等表示可基本上在机器可读介质中体现并由计算机或处理器执行的各种过程，无论这种计算机或处理器是否明确示出。

尽管本发明的多个实施例已经在附图中示出并且在前面的详细描述中进行描述，但是应当理解，本发明不限于所公开的实施例，而是能够在不背离由所附权利要求阐述和限定的本发明的情况下，进行许多重布置、修改和替换。

附录：密钥推导

参考3GPP TS33.220的B.2，通用密钥导出函数定义如下:

●derivedKey＝HMAC-SHA-256(Key,S)

●S＝FC||P0||L0||P1||L1||P2||L2||P3||L3||…||Pn||Ln

其中：

-FC是单个八位字节，用于在算法的不同实例之间进行区分；

-P0是静态ASCII编码的字符串；

-L0是两个八位字节表示的P0的长度；

-P1…Pn是n个输入参数；

-L1…Ln是两个八位字节表示的对应输入参数P1…Pn的长度。

根据在3GPP TS33.220的条款B.2中定义的密钥导出函数(KDF)，所有的密钥HO_PMK、HO_K_ASME、HO_K_eNB、HO_K_RRCint、HO_K_RRCenc、HO_K_UPint和HO_K_UPenc定义如下:

●HO_PMK＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_pmk"

·L0＝P0的长度是8个八位字节

●HO_K_ASME＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_kasme"

·L0＝P0的长度是8个八位字节

●HO_K_eNB＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_kenb"

·L0＝P0的长度是8个八位字节

●HO_K_RRCint＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_krrcint"

·L0＝P0的长度是8个八位字节

●HO_K_RRCenc＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_krrcenc"

·L0＝P0的长度是8个八位字节

●HO_K_UPint＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_kupint"

·L0＝P0的长度是8个八位字节

●HO_K_UPenc＝HMAC-SHA-256(Key,S)

-S＝FC||P0||L0

·

·P0＝"ho_kupenc"

·L0＝P0的长度是8个八位字节

这些是在其它特定实现中可能不同的示例性值。

Claims (15)

1.一种用户设备UE，被配置为能够在演进的通用移动通信系统地面无线接入网E-UTRAN与无线局域网WLAN之间进行切换，所述UE包括：

收发机；

存储器；以及

处理器，其被配置为执行存储在所述存储器中的指令，所述指令在被执行时配置所述处理器以：

经由所述收发机在所述UE与第一类型的第一接入节点之间提供初始连接性，其中，所述第一接入节点是E-UTRAN接入点和WLAN接入点中的一个；

检测第二类型的第二接入节点的存在，其中，所述第二接入节点是E-UTRAN接入点和WLAN接入点中的另一个；

将切换请求导向所述第一接入节点；

接收来自所述第一接入节点的切换响应，所述切换响应包括密钥集标识符；

从所述密钥集标识符导出切换密钥；以及

基于所述切换密钥，在所述UE与所述第二接入节点之间提供连接性。

2.根据权利要求1所述的UE，其中，所述第一接入节点是E-UTRAN接入点，所述第二接入节点是WLAN接入点，并且其中，所述切换请求包括所述UE的标识和所述WLAN接入点的标识。

3.根据权利要求1所述的UE，其中，所述第一接入节点是WLAN接入点，所述第二接入节点是E-UTRAN接入点，并且其中，所述切换请求包括所述UE的标识和所述E-UTRAN接入点的标识。

4.根据权利要求1所述的UE，其中，基于所述切换密钥而提供连接性包括：基于所述切换密钥，导出主会话密钥集。

5.根据权利要求1所述的UE，其中，所述切换密钥包括基于所述密钥集标识符的成对主密钥。

6.一种演进的通用移动通信系统地面无线接入网E-UTRAN接入点，被配置为支持将用户设备UE的连接性从E-UTRAN切换到无线局域网WLAN，所述E-UTRAN接入点包括：

收发机；

存储器；以及

处理器，其被配置为执行存储在所述存储器中的指令，所述指令在被执行时配置所述处理器以：

经由所述收发机接收来自所述UE的从所述E-UTRAN接入点到WLAN接入点的切换请求；

将所述切换请求导向移动性管理实体MME；

接收来自所述MME的切换响应，所述切换响应包括密钥集标识符；以及

将所述切换响应导向所述UE，并停止在所述UE与演进分组核心之间提供连接性。

7.根据权利要求6所述的E-UTRAN接入点，其中，所述切换请求包括所述UE的标识和所述WLAN接入点的标识。

8.一种演进的通用移动通信系统地面无线接入网E-UTRAN接入点，被配置为支持将用户设备UE的连接性从无线局域网WLAN切换到E-UTRAN，所述E-UTRAN接入点包括：

收发机；

存储器；以及

处理器，其被配置为执行存储在所述存储器中的指令，所述指令在被执行时配置所述处理器以：

经由所述收发机接收来自移动性管理实体MME的切换密钥协商请求；

从与所述切换密钥协商请求一起接收的密钥导出一组切换密钥；

将切换密钥协商响应导向所述MME；

从所述UE接收响应于所述切换密钥协商响应而生成的指示所述UE已经完成从WLAN接入点到所述E-UTRAN接入点的切换的消息；以及

基于所述一组切换密钥，在所述UE与演进分组核心之间提供连接性。

9.根据权利要求8所述的E-UTRAN接入点，其中，所述切换密钥协商请求包括所述UE的标识。

10.一种无线局域网WLAN接入点，被配置为支持将用户设备UE的连接性从演进的通用移动通信系统地面无线接入网E-UTRAN切换到WLAN，所述WLAN接入点包括：

收发机；

存储器；以及

处理器，其被配置为执行存储在所述存储器中的指令，所述指令在被执行时配置所述处理器以：

经由所述收发机接收来自AAA服务器的切换密钥协商请求，所述切换密钥协商请求包括用于导出用于所述UE与所述WLAN接入点之间的通信的切换密钥的密钥；

将切换密钥协商响应导向所述AAA服务器；

接收来自所述UE的切换完成消息；以及

基于所述切换密钥，在所述UE与演进分组核心EPC之间提供连接性。

11.根据权利要求10所述的WLAN接入点，其中，所述切换密钥协商请求包括所述UE的标识。

12.根据权利要求10所述的WLAN接入点，其中，所述切换密钥包括主会话密钥(MSK)和扩展主会话密钥(EMSK)。

13.根据权利要求10所述的WLAN接入点，其中，所述处理器还被配置为：

将向所述AAA服务器通知所述WLAN接入点准备好在所述UE与所述EPC之间提供连接性的消息导向所述AAA服务器。

14.一种无线局域网WLAN接入点，被配置为支持将用户设备UE的连接性从WLAN切换到演进的通用移动通信系统地面无线接入网E-UTRAN，所述WLAN接入点包括：

收发机；

存储器；以及

处理器，其被配置为执行存储在所述存储器中的指令，所述指令在被执行时配置所述处理器以：

经由所述收发机接收来自所述UE的从所述WLAN接入点到所述E-UTRAN接入点的切换请求；

将所述切换请求导向AAA服务器；

接收来自所述AAA服务器的切换响应，所述切换响应包括密钥集标识符；以及

将所述切换响应导向所述UE，并停止在所述UE与演进分组核心之间提供连接性。

15.根据权利要求14所述的WLAN接入点，其中，所述密钥集标识符是定制密钥集索引。

Images