CN109661829B - 用于将无线设备与局域网之间的连接从源接入节点切换到目标接入节点的技术 - Google Patents

Abstract

描述了用于无线通信的方法、系统和设备。在一种方法中，无线设备可基于第一安全性密钥经由与源接入节点(AN)的第一连接来与局域网(LAN)安全地通信。无线设备可以执行从源AN到目标AN的切换。无线设备可以基于第一安全性密钥推导出第二安全性密钥，并且基于第二安全性密钥和用于第二安全性密钥的限制策略经由与目标AN的第二连接来与LAN安全地通信。无线设备可以执行认证规程以获得可以不受该限制策略约束的第三安全性密钥，并且基于第三安全性密钥经由与目标AN的第二连接来与LAN安全地通信。

Description

用于将无线设备与局域网之间的连接从源接入节点切换到目 标接入节点的技术

交叉引用

本专利申请要求由Hampel等人于2017年3月2日提交的题为“Techniques ForHandover of a Connection Between a Wireless Device and a Local Area Network,From a Source Access Node to a Target Access Node(用于将无线设备与局域网之间的连接从源接入节点切换到目标接入节点的技术)”的美国专利申请No.5/448,304、以及由Hampel等人于2016年8月5日提交的题为“Techniques For Establishing A SecureConnection Between A Wireless Device And A Local Area Network Via An AccessNode(用于经由接入节点在无线设备与局域网之间建立安全连接的技术)”的美国临时专利申请No.62/371,650、以及由Hampel等人于2016年8月5日提交的题为“Techniques ForHandover of a Connection Between a Wireless Device and a Local Area Network,From a Source Access Node to a Target Access Node(用于将无线设备与局域网之间的连接从源接入节点切换到目标接入节点的技术)”的美国临时专利申请No. 62/371,586、以及由Hampel等人于2016年8月5日提交的题为“Techniques For Fast Transition of aConnection Between a Wireless Device and a Local Area Network,From a SourceAccess Node to a Target Access Node(用于将无线设备与局域网之间的连接从源接入节点快速转变到目标接入节点的技术)”的美国临时专利申请No.62/371,593的优先权；以上每件申请皆被转让给本申请受让人。

背景

以下一般涉及无线通信，并且更具体地涉及与无线设备从局域网(LAN) 的源接入节点(AN)切换到LAN的目标AN相关联的操作。

无线通信系统被广泛部署以提供各种类型的通信内容，诸如语音、视频、分组数据、消息接发、广播等。这些系统可以能够通过共享可用的系统资源(例如，时间、频率和功率)来支持与多个用户的通信。此类多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、以及正交频分多址(OFDMA)系统。无线多址通信系统可包括数个基站，每个基站同时支持多个通信设备的通信，这些通信设备可各自被称为无线设备。

蜂窝分组接入系统允许移动设备连接到网际协议(IP)网络以及与IP网络交换IP分组。蜂窝分组接入系统主要是为移动网络运营商进行大规模部署而开发的。还有数种基于LAN的分组接入系统，其使用基于电气电子工程师协会(IEEE)802的协议。基于LAN的分组接入系统有时部署在较小规模的环境中，例如企业、工厂和其他类型的私人场所。随着蜂窝RAT的性能提高，可能期望在基于LAN的分组接入系统中采用这些蜂窝RAT的各方面。

概述

无线设备(例如，用户装备(UE))可以经由局域网(LAN)的接入节点(AN)(例如，LAN的无线电接入网(RAN)的节点)来与LAN建立安全连接。在一些情形中，可以使用蜂窝无线电接入技术(RAT)来与AN建立连接。LAN可包括认证器，并且认证器可以与AN共处一地或者主存在与AN 分开的LAN节点处。在一些情形中，AN可以与中央网络节点(诸如核心网 (CN))通信，并且中央网络节点可以包含第二认证器。当建立与AN的连接时，无线设备可以确定要使用哪个认证器进行认证，并且在与LAN建立连接时可以用LAN中所包括的认证器(例如，在AN处、或者与AN分开)进行认证。无线设备可以接收(例如，作为认证的一部分)用于认证的协议端点为非接入阶层(NAS)层或无线电资源控制(RRC)层的指示。无线设备可以建立无线电承载(例如，关联于与AN建立的连接)以执行认证。可以作为与 AN建立连接的一部分来建立无线电承载。在一些情形中，执行认证可包括通过该无线电承载与认证器交换认证信息，以及至少部分地基于所交换的认证信息来生成安全性密钥。然后可以至少部分地基于该安全性密钥来保护与LAN 的通信。

根据本公开的各方面，可以修改LAN协议以支持以网络为中心的切换操作以促进从源AN到目标AN的平顺转换，并且因此减少在使用LAN的传统切换过程时原本将经历的服务中断。例如，所描述的对LAN协议的修改可以支持使用临时安全性密钥，其可以用于根据限制策略启用与目标AN的无线连接。限制策略可包括例如使用临时安全性密钥的期满时间、使用临时安全性密钥时允许的数据量、和/或可以与临时安全性密钥一起使用的特定无线电承载。源AN可以向目标AN提供临时安全性密钥，这可以被经修改的LAN协议所允许，这是由于增强的安全性协议使AN能够被委托以交换此类安全性信息。这种信任级别可能不存在于传统LAN部署中(例如，根据Wi-Fi协议操作的那些)，因此将不允许在传统LAN的接入点之间进行这种安全性信息交换。

因此，根据本公开，在发起网络协调的切换规程之际，无线设备可以至少部分地基于由源AN提供给目标AN的临时安全性密钥以及用于临时安全性密钥的限制策略来与LAN安全地通信。随后，无线设备可以执行认证规程以获得不受该限制策略约束的另一密钥(例如，经由临时安全性密钥支持的连接)，并且至少部分地基于该另一安全性密钥与LAN安全地通信。相应地，无线设备可受益于由根据经修改协议操作的LAN设备协调的经修改切换规程，并且根据减少服务中断的临时安全性密钥进行通信，同时还与LAN执行更实质的认证，诸如根据可在LAN上部署的Wi-Fi协议或其他专有安全性解决方案的认证。

根据本公开的各方面，可以修改LAN协议以支持以网络为中心的切换操作以促进从源AN到目标AN的平顺转换，并且因此减少在使用LAN的传统切换过程时原本将经历的服务中断。例如，所描述的对LAN协议的修改可以支持对于以网络为中心的切换使用快速转换参数，这可以允许在向无线设备发出网络发起的切换命令之前发生认证，并且因此使得从源AN到目标AN的切换能更快速地发生。快速转换参数可以由无线设备传送到AN，并且AN(例如，源AN)可以被委托以缓存快速转换参数以用于在后续切换期间进行转发。在AN处委托无线设备的快速转换参数可以由经修改的LAN协议所允许，这是由于增强的安全性协议使AN能够被委托以缓存和交换此类安全性信息。这种信任级别可能不存在于传统LAN部署中(例如，根据Wi-Fi协议操作的那些)，因此将不允许在传统LAN的接入点之间进行这种快速转换参数交换。

因此，根据本公开，在发起用于无线设备的网络协调切换规程之际，源 AN可以将所缓存的该无线设备的快速转换参数转发给目标AN。目标AN可以至少部分地基于这些快速转换参数来执行后续认证(例如，与LAN的认证节点、或者与目标AN共处一地的认证器)。目标AN可以将与认证相关联的安全性参数转发给源AN，并且源AN可以向无线设备传送包括这些安全性参数的切换命令。因此，无线设备可受益于由根据经修改协议来操作(包括在各AN之间交换快速转换参数)的LAN设备协调的经修改切换规程。所描述的操作可以减少无线设备的服务中断，因为某些认证操作可以由LAN的设备根据经修改的LAN协议来协调而不涉及无线设备，并且还可以在无线设备终止与源AN的连接之前执行。

根据至少一种实现，一种用于在无线设备处进行无线通信的方法包括：至少部分地基于第一安全性密钥经由与LAN的源AN的第一连接来与LAN安全地通信；执行从LAN的源AN到LAN的目标AN的切换；至少部分地基于第一安全性密钥推导出第二安全性密钥；至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN的目标AN的第二连接来与LAN安全地通信；经由第二连接与LAN的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二安全性密钥的限制策略所约束的密钥)；以及至少部分地基于第三安全性密钥经由与LAN的目标AN的第二连接来与LAN安全地通信。

根据至少另一种实现，一种用于在无线设备处进行无线通信的装备包括：用于至少部分地基于第一安全性密钥经由与局域网LAN的源AN的第一连接来与LAN安全地通信的装置；用于执行从LAN的源AN到LAN的目标AN 的切换的装置；用于至少部分地基于第一安全性密钥推导出第二安全性密钥的装置；用于至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN的目标AN的第二连接来与LAN安全地通信的装置；用于经由第二连接与LAN的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二安全性密钥的限制策略所约束的密钥)的装置；以及用于至少部分地基于第三安全性密钥经由与LAN的目标AN的第二连接来与LAN安全地通信的装置。

根据至少另一种实现，一种用于在无线设备处进行无线通信的装置包括处理器和与处理器进行电子通信的存储器。指令被存储在存储器中，并且可操作用于在被处理器执行时使该装置：至少部分地基于第一安全性密钥经由与LAN 的源接入节点AN的第一连接来与LAN安全地通信；执行从LAN的源AN到 LAN的目标AN的切换；至少部分地基于第一安全性密钥推导出第二安全性密钥；至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与 LAN的目标AN的第二连接来与LAN安全地通信；经由第二连接与LAN的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二安全性密钥的限制策略所约束的密钥)；以及至少部分地基于第三安全性密钥经由与 LAN的目标AN的第二连接来与LAN安全地通信。

根据至少另一种实现，一种非瞬态计算机可读介质存储用于在无线设备处进行无线通信的计算机可执行代码。该代码可执行以：至少部分地基于第一安全性密钥经由与LAN的源AN的第一连接来与LAN安全地通信；执行从LAN 的源AN到LAN的目标AN的切换；至少部分地基于第一安全性密钥推导出第二安全性密钥；至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN的目标AN的第二连接来与LAN安全地通信；经由第二连接与LAN的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二安全性密钥的限制策略所约束的密钥)；以及至少部分地基于第三安全性密钥经由与LAN的目标AN的第二连接来与LAN安全地通信。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，用于第二安全性密钥的限制策略包括以下至少一者：第二安全性密钥有效以用于经由第二连接与LAN安全地通信的时间区间、第二安全性密钥有效以用于经由第二连接与LAN安全地通信的分组数量、第二安全性密钥有效以用于经由第二连接与LAN安全地通信的一个或多个无线电承载的集合、第二安全性密钥有效以用于经由第二连接与LAN安全地通信的无线电承载类型、或其组合。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，至少部分地基于第三安全性密钥与LAN安全地通信和至少部分地基于第二安全性密钥与LAN安全地通信发生在不同的时间。

用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：从至少部分地基于第二安全性密钥与LAN安全地通信切换到至少部分地基于第三安全性密钥与LAN安全地通信，该切换至少部分地基于：从目标AN接收的配置消息、第三安全性密钥的可用性、或其组合。

用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：在以下至少一者中接收用于第二安全性密钥的限制策略：从LAN接收的配置信息、从LAN的源AN接收的切换命令消息、从目标AN接收的配置信息、或其组合。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，该认证规程是在第一无线电承载上执行的，并且至少部分地基于第三安全性密钥与LAN安全地通信是在第二无线电承载上执行的，第二无线电承载与第一无线电承载不同。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，该认证节点包括认证服务器，并且该认证规程至少部分地基于可扩展认证协议(EAP)。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，该认证节点包括无线LAN控制器，并且该认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：从LAN 的源AN接收目标AN的配置信息；以及至少部分地基于所接收的关于LAN 的目标AN的配置信息来与LAN的目标AN建立第二连接。

用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：测量从 LAN的目标AN接收的至少一个信号；以及至少部分地基于该测量来接收切换命令。

在用于在无线设备处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，第一连接和第二连接至少部分地基于蜂窝RAT。

根据至少一种实现，一种在LAN的AN处进行无线通信的方法包括：与无线设备建立连接；从LAN的第一网络节点接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联；中继与在无线设备和LAN 的第二网络节点之间执行的认证规程相关联的认证信息；至少部分地基于所中继的认证信息来从LAN的第二网络节点接收第二安全性密钥；至少部分地基于第一安全性密钥经由该连接在无线设备和LAN之间传送安全通信，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定；以及至少部分地基于第二安全性密钥经由该连接在无线设备和LAN之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)。

根据至少另一种实现，一种用于在LAN的AN处进行无线通信的装备包括：用于与无线设备建立连接的装置；用于从LAN的第一网络节点接收第一安全性密钥的装置，第一安全性密钥与用于第一安全性密钥的限制策略相关联；用于中继与在无线设备和LAN的第二网络节点之间执行的认证规程相关联的认证信息的装置；用于至少部分地基于所中继的认证信息来从LAN的第二网络节点接收第二安全性密钥的装置；用于至少部分地基于第一安全性密钥经由该连接在无线设备和LAN之间传送安全通信的装置，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定；以及用于至少部分地基于第二安全性密钥经由该连接在无线设备和LAN之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)的装置。

根据至少另一种实现，一种用于在LAN的AN处进行无线通信的装置包括处理器和与处理器进行电子通信的存储器。指令被存储在存储器中，并且可操作用于在被处理器执行时使该装置：与无线设备建立连接；从LAN的第一网络节点接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联；中继与在无线设备和LAN的第二网络节点之间执行的认证规程相关联的认证信息；至少部分地基于所中继的认证信息来从LAN的第二网络节点接收第二安全性密钥；至少部分地基于第一安全性密钥经由该连接在无线设备和LAN之间传送安全通信，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定；以及至少部分地基于第二安全性密钥经由该连接在无线设备和LAN之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)。

根据至少另一种实现，一种非瞬态计算机可读介质存储用于在无线设备处进行无线通信的计算机可执行代码。该代码可执行以：与无线设备建立连接；从LAN的第一网络节点接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联；中继与在无线设备和LAN的第二网络节点之间执行的认证规程相关联的认证信息；至少部分地基于所中继的认证信息来从 LAN的第二网络节点接收第二安全性密钥；至少部分地基于第一安全性密钥经由该连接在无线设备和LAN之间传送安全通信，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定；以及至少部分地基于第二安全性密钥经由该连接在无线设备和LAN之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，用于第一安全性密钥的限制策略包括以下至少一者：第一安全性密钥有效以供无线设备经由该连接与LAN安全地通信的时间区间、第一安全性密钥有效以供无线设备经由该连接与LAN安全地通信的分组数量、第一安全性密钥有效以供无线设备经由该连接与LAN安全地通信的一个或多个无线电承载的集合、第一安全性密钥有效以供无线设备经由该连接与LAN安全地通信的无线电承载类型、或其组合。

用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例可包括用于以下动作的操作、特征、装置、或指令：从至少部分地基于第一安全性密钥经由该连接在无线设备和LAN之间传送安全通信切换到至少部分地基于第二安全性密钥经由该连接在无线设备和LAN 之间传送安全通信，该切换至少部分地基于：用于第一安全性密钥的限制策略、第二安全性密钥的可用性、或其组合。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，该认证规程是在与该连接相关联的第一无线电承载上执行的，并且该安全通信是在与该连接相关联的第二无线电承载上传送的，与该连接相关联的第二无线电承载不同于与该连接相关联的第一无线电承载。

用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：至少部分地基于第二安全性密钥来推导出第三安全性密钥(例如，不受用于第一安全性密钥的限制策略约束的另一安全性密钥)。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，与该连接相关联的第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例包括用于以下动作的操作、特征、装置、或指令：将用于第一安全性密钥的限制策略传送给以下至少一者：第一网络节点、该无线设备、或其组合。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，第二网络节点包括无线LAN控制器，并且该认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，第二网络节点包括认证服务器，并且该认证规程至少部分地基于可扩展认证协议(EAP)。

在用于在LAN的AN处进行无线通信的方法、装置(装备)、或非瞬态计算机可读介质的一些示例中，该连接至少部分地基于蜂窝无线电接入技术 (RAT)。

前述内容已较宽泛地勾勒出根据本公开的示例的特征和技术优势以力图使下面的详细描述可以被更好地理解。附加的特征和优势将在此后描述。所公开的概念和具体示例可容易地被用作修改或设计用于实施与本公开相同目的的其他结构的基础。此类等效构造并不背离所附权利要求书的范围。本文所公开的概念的特性在其组织和操作方法两方面以及相关联的优势将因结合附图来考虑以下描述而被更好地理解。每一附图是仅出于解说和描述目的来提供的，且并不定义对权利要求的限定。

附图简述

图1解说了根据本公开的各个方面的无线通信系统的示例；

图2示出了根据本公开的各个方面的用于经由蜂窝RAT连接到全球和本地IP网络的无线通信系统的示例；

图3示出了根据本公开的各个方面的用于对传统LAN的传统接入的架构；

图4示出了根据本公开的各个方面的用于对LAN的基于蜂窝RAT的接入的参考架构；

图5示出了根据本公开的各个方面的用于认证对传统LAN的基于Wi-Fi 的传统接入的参考架构；

图6示出了根据本公开的各个方面的用于切换对LAN的基于蜂窝RAT 的接入的参考架构；

图7示出了根据本公开的各个方面的用于使用FT技术对传统LAN的基于Wi-Fi的传统接入的参考架构；

图8示出了根据本公开的各个方面的使用FT技术的对LAN的基于蜂窝 RAT的接入的参考架构；

图9示出了根据本公开的各个方面的可用于支持用于基于蜂窝RAT的 LAN接入的C面功能性的协议栈的解说；

图10示出了根据本公开的各个方面的可用于支持用于对LAN的基于蜂窝 RAT的接入的U面功能性的协议栈的解说；

图11示出了根据本公开的各个方面的可用于经由C面上的EAP进行认证的协议栈的解说，其中认证服务器使用IEEE 802.1x；

图12示出了根据本公开的各个方面的可用于经由U面上的EAP进行认证的协议栈；

图13示出了根据本公开的各个方面的用于经由AN在无线设备和LAN之间建立安全连接的示例消息流；

图14示出了根据本公开的各个方面的用于执行具有与LAN的安全连接的无线设备从源AN切换到目标AN的示例消息流；

图15示出了根据本公开的各个方面的用于在无线设备和LAN之间建立安全连接的示例消息流；

图16示出了根据本公开的各个方面的用于执行与LAN的安全连接从源 AN到目标AN的快速转换的示例消息流；

图17示出了根据本公开的各个方面的设备的框图，其支持用于经由AN 在无线设备和LAN之间建立安全连接的经修改技术；

图18示出了根据本公开的各个方面的无线设备通信管理器的框图，其支持用于经由AN在无线设备和LAN之间建立安全连接的经修改技术；

图19示出了根据本公开的各个方面的包括设备的系统的示图，该设备支持用于经由AN在无线设备和LAN之间建立安全连接的经修改技术；

图20示出了根据本公开的各个方面的设备的框图，其支持用于经由AN 在无线设备和LAN之间建立安全连接的经修改技术；

图21示出了根据本公开的各个方面的AN通信管理器的框图，其支持用于经由AN在无线设备和LAN之间建立安全连接的经修改技术；

图22示出了根据本公开的各个方面的包括设备的系统的示图，该设备支持用于经由AN在无线设备和LAN之间建立安全连接的经修改技术；

图23至26示出了根据本公开的各个方面的解说支持经由AN在无线设备和LAN之间建立安全连接的方法的流程图；

图27至30示出了根据本公开的各个方面的解说支持无线设备从与LAN 的源AN的连接切换到与LAN的目标AN的连接的方法的流程图；以及

图31至34示出了根据本公开的各个方面的解说支持无线设备从与LAN 的源AN的连接快速转换到与LAN的目标AN的连接的方法的流程图。

详细描述

所公开的示例解说了使无线设备(例如，用户装备(UE))能够经由局域网(LAN)的接入节点(AN)来与LAN建立安全连接的技术。在一些示例中，可以使用蜂窝无线电接入技术(RAT)来建立连接。无线设备在与LAN 安全地通信之前可以使用与AN共处一地的认证器、或位于LAN中别处的认证器(例如，中央认证服务器、位于LAN的核心网处的认证器等)执行认证。一旦建立连接，就可以通过执行切换规程或快速转换规程来将该连接转移到目标AN。

本公开的各方面最初在用于使无线设备能够经由蜂窝RAT来建立到LAN 的连通性的无线通信系统的上下文中进行描述。本公开提供了用于无线通信系统的架构以及该架构内的各种设备之间的信令流的各种示例。本公开的各方面通过并且参照与经由蜂窝RAT来连接到LAN有关的装置示图、系统示图、以及流程图来进一步解说和描述。

图1解说了根据本公开的各个方面的无线通信系统100的示例。无线通信系统100包括基站105、无线设备115和核心网(CN)130。在一些示例中，无线通信系统100可以包括长期演进(LTE)/高级LTE(LTE-A)网络。

基站105可经由一个或多个基站天线与无线设备115进行无线通信。每个基站105可为各自相应的地理覆盖区域110提供通信覆盖。无线通信系统100 中示出的通信链路125可包括从无线设备115到基站105的上行链路(UL) 传输、或者从基站105到无线设备115的下行链路(DL)传输。无线设备115 可分散遍及无线通信系统100，并且每个无线设备115可以是驻定的或移动的。无线设备115也可被称为用户装备(UE)、移动站、订户站、订户单元、无线单元、远程单元、移动订户站、移动终端、无线终端、远程设备、接入终端 (AT)、手持机、用户代理、客户端、或类似术语。无线设备115也可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持式设备、平板计算机、膝上型计算机、无绳电话、无线本地环路(WLL)站、物联网(IoT)设备、万物联网(IoE)设备、机器类型通信(MTC)设备、电器、汽车等等。

各基站105可与CN 130通信并且彼此通信。例如，基站105可通过回程链路132(例如，S1等)与CN 130对接。基站105可直接或间接地(例如，通过CN 130)在回程链路134(例如，X2等)上彼此通信。基站105可执行无线电配置和调度以用于与无线设备115通信，或者可在基站控制器(未示出) 的控制下进行操作。在一些示例中，基站105可以是宏蜂窝小区、小型蜂窝小区、热点等。基站105也可被称为演进型B节点(eNB)105。

基站105可通过S1接口连接到CN 130。CN 130可以是演进型分组核心 (EPC)的示例，其可包括一个或多个网络节点。在一示例中，CN 130可包括至少一个移动性管理实体(MME)、至少一个服务网关(S-GW)、以及至少一个分组数据网络(PDN)网关(P-GW)。MME、S-GW、和/或P-GW可被实现为单个网络节点或可以是分开的网络节点。MME可以是处理无线设备115 与EPC之间的信令的控制节点。所有用户IP分组可通过S-GW来传递，S-GW 自身可连接到P-GW。P-GW可提供IP地址分配以及其他功能。P-GW可连接到网络运营商IP服务。运营商IP服务可包括因特网、内联网、IP多媒体子系统(IMS)、以及分组交换(PS)流送服务(PSS)。

在一些情形中，无线通信系统100可利用增强型分量载波(eCC)。eCC 可由一个或多个特征来表征，这些特征包括：较宽的带宽、较短的码元历时、较短历时的传输时间区间(TTI)、以及经修改的控制信道配置。在一些情形中，eCC可以与载波聚集配置或双连通性配置(例如，在多个服务蜂窝小区具有次优或非理想回程链路时)相关联。eCC还可被配置成在无执照频谱或共享频谱(其中一个以上运营商被允许使用该频谱)中使用。由宽带宽表征的eCC 可包括可由不能够监视整个带宽或者优选使用有限带宽(例如，以节省功率) 的无线设备115利用的一个或多个区段。

在一些情形中，eCC可利用不同于其他CC的码元历时，这可包括使用与其他CC的码元历时相比减小的码元历时。较短码元历时与增加的副载波间隔相关联。利用eCC的设备(诸如无线设备115或基站105)可以按减小的码元历时(例如，16.67微秒)来传送宽带信号(例如，20、40、60、80MHz等)。 eCC中的TTI可包括一个或多个码元。在一些情形中，TTI历时(例如，TTI 中的码元数目)可以是可变的。

无线通信系统100可以是广域网(WAN)的示例，其提供跨较大服务覆盖区域的无线分组接入系统接入。相应地，无线通信系统100的通信协议可以由RAT(例如，蜂窝RAT)以支持与WAN应用相关联的各种操作条件的方式提供。作为对比，传统局域网(LAN)可以跨相对较小的服务覆盖区域提供无线通信，且因此可以由RAT(例如，Wi-Fi RAT)以支持与LAN应用相关联的条件的方式提供。

根据本公开的各方面，无线通信设备(例如，无线设备115、LAN的AN) 可以实现示例无线通信系统100的各方面(诸如蜂窝RAT的各方面)以用于访问基于LAN的分组接入系统。例如，蜂窝RAT的各个方面可以集成到现有 LAN的设备中(例如，升级现有接入点(AP)、传统LAN的中央节点(诸如 LAN分发系统(DS))、LAN的认证服务器(诸如认证、授权和计费(AAA) 服务器(例如，简称“AAA”))等)，其可以支持部署蜂窝通信协议，而无需部署整个蜂窝网络。此类实现可以允许LAN利用诸如与蜂窝RAT相关的高级技术，同时重用现有LAN基础设施并且还维持可以现成用于LAN的安全性策略。此类实现还可以允许多个RAT(例如，蜂窝RAT和Wi-Fi RAT)的同时操作以接入相同的LAN。

LAN部署的各种示例可以受益于所描述的将高级接入技术(诸如，蜂窝 RAT的各方面)集成到依赖于传统LAN技术的现有LAN基础设施中。例如，根据本公开所描述的特征可以为企业中的高QoS应用中的LAN应用和工厂自动化中的关键任务应用提供益处。在工厂自动化中，例如，闭环控制应用可能要求以高可靠性(低至10^-9)跨越空中接口的短往返时间(小于1ms)。无执照技术(诸如与传统LAN应用相关联的那些无执照技术)可能在达成这些性能目标方面存在问题，因为它们在共享频谱中操作，其中站(STA)(例如，根据Wi-Fi协议)在检测到繁忙信道之际必须退避。由于隐藏节点问题，无执照频带也可能受到不受控制的干扰。这些缺点可能不适用于例如在有执照频带中操作的蜂窝RAT。此外，蜂窝RAT的性能预期将随着蜂窝RAT例如从4G 演变到5G而提高。根据本公开所描述的方法的另一个用例是固定无线接入 (FWA)，其可以为最后一英里跳跃利用5G毫米波(mmWave)技术。

虽然可以通过部署包括无线电接入网(RAN)和核心网(CN)的整个蜂窝RAT系统来解决一些用例，但是此类解决方案可能与已经存在的现有基于 LAN的基础设施冲突。因此，通过将蜂窝连通性的某些方面集成到现有LAN 基础设施中，同时在不需要蜂窝CN的情况下重用现有LAN基础设施(诸如认证服务器(例如，AAA)和DS)，可以实现独特的益处。

图2示出了根据本公开的各个方面的用于经由蜂窝RAT连接到全球和本地IP网络的无线通信系统200的示例。例如，无线通信系统200可以解说参考图1描述的无线通信系统100的各方面。无线通信系统200可包括RAN 204，其具有基站105-a(例如，eNB)、无线设备115-a和CN 130-a，它们可以是参考图1描述的相应设备的示例。

在一个示例中，无线通信系统200可以根据第三代合作伙伴计划(3GPP) 架构进行操作，并且根据蜂窝RAT提供对一个或多个PDN的接入。例如，无线通信系统200可以实现到一个或多个基于IP的网络(例如，因特网)(诸如全球IP网络208)的连通性，并且可以由移动网络运营商(MNO)操作以进行大规模部署(例如，在广泛的覆盖区域上提供IP分组接入)。

RAN 204可包括一个或多个基站105(例如，B节点、演进型B节点等)，包括基站105-a，其支持一个或多个蜂窝RAT以向一个或多个无线设备(诸如无线设备115-a)提供无线连通性。蜂窝RAT的示例包括W-CDMA、LTE、 5G RAT、使用有执照或无执照频谱的RAT、及其衍生物和/或组合。RAN 204 还可包括本地网关(L-GW)214，其可以与基站105-a共处一地。L-GW214 可以提供基站105-a与本地IP网络210之间的接口。

CN 130-a可以支持控制面(C面)任务(例如，认证、授权、会话管理、策略控制和计费)以及用户面(U面)任务(例如，无线设备115-a和全球IP 网络208之间的IP话务转发)。CN130-a可包括用于执行C面和U面任务的一个或多个网络节点，包括归属订户服务器(HSS)、分组数据网络网关(PGW)、 S-GW、和移动性管理实体(MME)。

图3示出了根据本公开的各个方面的使用Wi-Fi接入作为示例的用于对传统LAN340的传统接入的架构300。与3GPP相反，Wi-Fi协议(诸如IEEE 802.11)仅指定无线电空中接口和STA(例如，STA 242)上的相应功能、以及用于支持架构300的无线电空中接口的AP244。经由AP 244将数据传输到传统LAN 340可以归功于传统LAN DS 346，其具有例如IEEE802.11未指定的协议栈和转发机制，并且可包括各种专有安全性解决方案。虽然IEEE802.11i 引入了稳健安全网络(RSN)概念，其引入了STA 242与AP 244之间的相互认证以及安全连接的建立，但是它仅指定了STA 242与AP 244上的认证器之间的安全性相关消息。同时，它创建了供认证器创建隧道的手段，以支持STA 242与网络中的认证器服务器(例如，AAA 248)之间的扩展安全性握手。该隧道可以在空中接口上使用EAP-over-LAN(EAPOL)，尽管该标准没有在网络侧进一步指定该隧道。

IEEE 802.11i例如依赖于接入链路上的4路握手以从成对主密钥(PMK) 创建新的密钥材料，以确保在STA 242和AP 244上使用的密钥是相同的，并断言STA 242和AP 244明确同意密码套件。它进一步将密钥材料绑定到STA 242的凭证(例如，媒体接入控制(MAC)地址)和AP 244的凭证(例如，基本服务集标识符(BSS ID))。因此，从一个AP 244到另一个AP244(未示出)的移动性需要重新认证，这可能——例如取决于LAN安全性解决方案——是漫长的过程。

IEEE 802.11r例如进一步引入了快速BSS转换(FT)的概念，以针对利用与AAA的EAP的部署减少与移动性相关的等待时间。此概念建立了附加的密钥层次级别和相关联的密钥持有者。使用802.1lr，集中式无线LAN控制器 (WLC)可以用作两个层次实体中的较高者(例如，R0密钥持有者(R0KH))，而AP 244可以用作这两个层次实体中的较低者(例如，R1密钥持有者 (R1KH))。由于STA 242的初始认证在STA 242与(集中式)R0KH之间建立了安全性关联，因此STA 242可以更快地从源AP 244切换到目标AP 244，并且经由目标AP(R1KH)与WLC(R0KH)重新建立新的密钥材料，而无需与AAA进行新的EAP握手。然而，建立新的密钥材料需要4路握手，其目的与802.11i相似。

根据本公开的一些技术适用于将蜂窝RAT的一些方面集成到LAN基础设施中。对于此类集成，在LAN基础设施上进行了一些与IEEE为802.11建立的类似的假设。与图2中所示的3GPP架构相反，可以假设集成到或附连至LAN 基础设施的蜂窝RAT不具有经由3GPP CN的强制支持(例如，可具有可选支持)。

本公开的一些方面涉及使用蜂窝RAT的一些方面来建立到LAN基础设施的连接的技术。这些技术经由蜂窝RAT提供对LAN基础设施的安全接入。这可以在应用于LAN基础设施时利用蜂窝RAT的性能优势。例如，这还可以允许重用现有LAN基础设施来支持蜂窝RAT。此外，基于IEEE 802的RAT可以与蜂窝RAT一起使用以接入相同的LAN，因为可以共享基础设施。

图4示出了根据本公开的各个方面的用于对LAN 440的基于蜂窝RAT的接入的参考架构400。与LAN 440相关联的无线电接入节点一般称为AN 405，并且寻求接入LAN 440的无线设备115-b可以是参考图1和2描述的无线设备 115的示例。尽管在参考架构400中仅示出了一个AN 405，但是附加的AN 405 (未示出)可以提供对LAN 440的无线接入，并且与LAN440相关联的多个 AN 405可以统称为LAN 440的RAN。

可以采用蜂窝RAT的一些方面来经由AN 405将无线设备115-b连接到 LAN 440。在一些示例中，AN 405可包括认证器(例如，与AN 405共处一地的认证器)，以用于认证与无线设备(例如，无线设备115-b)的连接。附加地或替换地，LAN 440可以支持与AN 405不共处一地的另一认证节点，诸如认证服务器410，其可以与LAN DS 446进行通信。在各种示例中，认证节点可以是LAN 440的独立设备，或者与LAN 440的其他设备共处一地或以其他方式集成。例如，在一些示例中，认证服务器410可以与LAN DS 446集成、被包含在LAN 440的CN130(未示出)或LAN 440的某个其他中心节点中。在一些示例中，认证服务器410可以与LAN440分开，诸如是单独的蜂窝运营商网络(例如，参考图1描述的无线通信系统100)的CN130，其可以与 LAN 440进行通信(例如，经由与LAN DS 446的回程链路)。在一些示例中，根据本公开的各方面，认证服务器410可以由多个AN 405访问以经由EAP对无线设备115进行认证(例如，通过控制面的EAP、通过用户面的EAP、通过 RRC的EAP、通过NAS的EAP等)。在一些示例中，认证服务器410可以是 LAN基础设施的AAA 248的示例，其已经根据本公开的各方面进行了修改，以支持使用诸如与蜂窝RAT相关联的高级技术来接入LAN 440。因此，LAN440可包括用于与无线设备115-b执行认证的一组认证器，其可包括与相应的 AN 405共处一地的多个认证器、以及与AN 405不共处一地的一个或多个认证节点(例如，一个或多个认证服务器410)。

根据本公开的各方面，无线设备115-b可确定要与特定认证端点执行认证以建立与LAN 440的安全通信。所描述的特征可以与传统系统形成对比，传统系统可以预配置设备以根据特定通信协议执行认证。例如，当根据3GPP协议操作时，参考图1描述的无线通信系统100的无线设备115可被配置成与由特定蜂窝网络运营商配置的CN 130执行认证。在另一示例中，当根据传统LAN 协议(例如，Wi-Fi协议)进行操作时，参考图3描述的传统LAN 340的STA 242可被配置成与AP 244执行认证。在任一种情形中，无线通信系统100和传统LAN340可能不支持设备与不同协议端点执行认证的灵活性。因此，通过支持如本文所描述的确定要与特定认证端点执行认证，LAN 440可以支持更灵活的认证以使无线设备115-b与LAN440建立安全通信。

例如，无线设备115-b可以接收对用于与LAN 440进行认证的端点的指示，其可包括对与AN 405共处一地的认证器、认证服务器410处的认证器、 LAN DS 346处的认证器、或者某个其他网络节点处的认证器(例如，在LAN 440的CN 130-a处和/或在不属于LAN 440的一部分的蜂窝运营商网络(未示出)的CN 130-a处)的一个或多个指示。在一些示例中，无线设备115-b可以接收用于认证的协议端点为RRC层或NAS层的指示。RRC层可以用于用与 AN405共处一地的认证器执行认证，而NAS层可以用于用与AN 405不共处一地(诸如在LAN上的别处、或在由蜂窝网络运营商操作(例如，与LAN分开)的CN处)的认证器执行认证。RRC层可以与通过信令无线电承载(SRB) (例如，用与AN 405共处一地的认证器)执行认证相关联。一个此类示例是用与AN 405共处一地的认证器的EAP认证，其是通过RRC层经由SRB执行的。另一示例可以是AN 405根据3GPP协议执行通常与CN 130相关联的功能。附加地或替换地，无线设备115-b可以接收到用于认证的协议端点为NAS层的指示，NAS层可以与通过数据无线电承载(DRB)(例如，用与AN 405不共处一地的认证器，其可以是或可以不是作为LAN 440的一部分的认证器，或者用AN 405的使用通过NAS层的信令执行认证的认证器)执行认证相关联。一个此类示例是用LAN DS 346的认证器的EAP认证，其是使用NAS层上的 EAPOL经由DRB执行的。另一示例是使用NAS层上的信令用蜂窝运营商网络的CN 130的认证器进行的认证。在一些示例中，可以用多个相应的认证器执行多个认证，使得无线设备115-b可以利用基于蜂窝RAT的认证的各方面，同时还遵守LAN 440的基础设施安全性策略(例如，根据Wi-Fi协议或根据其他专有解决方案)。因此，根据本公开，可以至少部分地基于可以向无线设备 115-b指示的各种认证器和/或认证协议或规程来与LAN 440建立安全通信。

本公开的一些方面描述了使用例如蜂窝RAT的各方面(例如，4G、LTE、 LTE-A、5G等的各方面)来切换与LAN 440的连接的技术。这些技术可以对集成到LAN 440(例如，5G企业部署)中的蜂窝RAT利用基于3GPP的移动性协议。以此方式，可以在LAN 440的现有架构中支持3GPP切换的益处，诸如无缝和无损会话迁移，LAN 440还可以实现其他协议(例如，Wi-Fi协议、专有安全性解决方案等)。同时，可以遵守LAN的安全性策略(例如，与蜂窝RAT无关的那些)(例如，可以与传统LAN 340相关联的安全性策略，诸如Wi-Fi协议或专有安全性协议)，其通常要求在切换之后经由目标AN 405 与认证服务器(例如，AAA 248)的认证。LAN440可以同时使用其他协议(诸如Wi-Fi协议)来支持经由AN 405的通信，以支持后向兼容性和/或提高与LAN 440连接的灵活性。此外，所描述的技术还可以经由与LAN 440无关联的蜂窝 CN(例如，参考图1描述的无线通信系统100的CN 130)(诸如，蜂窝服务提供商的CN 130-a)支持无线设备115-b与LAN 440和PDN(例如，图2的全球IP网络208)的并发连接。其他技术(诸如切换和快速转换技术)可以建立在已经如本文所述通过蜂窝RAT的各方面建立的到LAN 440的安全连接上。

图5示出了根据本公开的各个方面的用于认证对传统LAN 340-a的基于 Wi-Fi的传统接入的参考架构500。STA 242-a可以与第一AP 244-a(例如，源 AP 244)建立连接，与第一AP 244-a和/或AAA 248-b(例如，使用EAP)执行认证，以及至少部分地基于该认证来与传统LAN 340-a(例如，与传统LAN DS 346-a)安全地通信。当移动到第二AP 244-b(例如，目标AP 244)的覆盖区域中时，STA 242-a可以与第二AP 244-b建立连接并且与第二AP 244-b和/ 或AAA 248-b执行另一认证，然后经由AP2 244-b与传统LAN 340-a(例如，传统LAN DS346-a)安全地通信。因此，参考架构500解说了传统LAN 340-a 的基于STA的移动性的示例，其中STA 242-a执行切换操作而无需传统LAN 340-a协调第一AP 244-a与第二AP 244-b之间的切换的操作。

图6示出了根据本公开的各个方面的用于切换对LAN 440-a的基于蜂窝 RAT的接入的参考架构600。参考架构600解说了无线设备115-c的基于网络的LAN移动性的示例，其中切换操作由LAN 440-a的操作来协调。

例如，无线设备115-c可以与LAN 440-a的源AN 405-a建立连接，与位于源AN 405-a处的认证器和/或在认证服务器410-a处的认证器执行认证(例如，使用EAP)，并且至少部分地基于该(些)认证来与LAN 440-a(例如， LAN DS 446-a)安全地通信。在与LAN 440-a连接时，无线设备115-c可以对从源AN 405-a以及一个或多个目标AN 405(例如，目标AN 405-b)接收的信号执行测量，并将测量转发到LAN 440-a(例如，转发到源AN 405-a，转发到目标AN 405-b，转发到认证服务器410-a，和/或转发到LAN DS 446-a)。至少部分地基于所转发的测量，LAN 440-a的设备可以作出将无线设备115-c从源AN 405-a切换到目标AN 405-b的决定。例如，源AN 405-a可以从无线设备115-c接收通信测量，至少部分地基于确定与目标AN 405-b的通信条件可能更好来作出切换决定，并且至少部分地基于该切换决定来向目标AN 405-b 发送切换请求。如果目标AN 405-b确认该请求，则源AN 405-a可以将切换参数转发到无线设备115-c和/或目标AN 405-b。

因此，根据本公开的各方面，当移动到LAN 440-a的目标AN 405-b的覆盖区域中时，无线设备115-c可以至少部分地基于由LAN 440-a(例如，源AN 405-a、目标AN 405-b、认证服务器410-a、LAN DS 446-a等)执行的切换操作来建立与目标AN 405-b的连接。在一些示例中，无线设备115-c在经由目标AN 405-b与LAN 440-a(例如，LAN DS 446-a)安全地通信之前可以用位于目标AN 405-b处的认证器和/或在认证服务器410-a处的认证器执行认证。在一些示例中，将无线设备的上下文和临时安全性密钥(例如，受制于限制策略的安全性密钥)从源AN 405-a切换到目标AN 405-b(例如，通过X2接口，要么经由LAN DS 446-a要么直接从源AN 405-a到目标AN 405-b)可以减少原本可能与LAN的传统切换和认证规程相关联的服务中断。

本公开的一些方面涉及使用蜂窝RAT将连接快速转换到LAN 440-a的目标AN 405-b的技术。这些技术应用两级密钥层次，其可包括与IEEE 802.11r 引入的技术类似的方面，以支持集成了蜂窝RAT的各方面的LAN 440-a的AN 405-b之间的快速转换。以此方式，蜂窝移动性可以利用所开发或部署的LAN 440-a的现有安全性基础设施和协议(例如，传统LAN340-a的基础设施)来进行快速BSS转换。例如，这些技术可以构建在已经如本文所述通过蜂窝RAT 的各方面建立的到LAN 440-a的安全连接上。

因此，根据本公开的各方面，由LAN 440-a支持的基于网络的移动性克服了依赖于无线设备作出切换决定的传统LAN 340-a(例如，参考图5描述的传统LAN 340-a，其根据传统LAN协议(诸如与Wi-Fi协议相关联的协议)进行操作)的各种限制。例如，根据本文描述的经修改技术，LAN 440-a支持由 AN 405-a作出的切换决定，交换临时网络密钥以用于经由目标AN 405-b对 LAN 440-a的受限接入，以及缓存和交换FT参数以促进源AN 405-a与目标AN 405-b之间的切换。

图7示出了根据本公开的各个方面的用于使用FT技术对传统LAN 340-b 的基于Wi-Fi的传统接入的参考架构。STA 242-b可以与传统LAN 340-b的第一AP 244-c(例如，R1KH)建立连接，经由第一AP 244-c与AAA 248-d执行认证(例如，使用EAP)，与第一AP 244-c建立安全性关联，并至少部分地基于该安全性关联来与传统LAN 340-b(例如，传统LAN DS346-b)安全地通信。在与第一AP 244-c建立连接时，STA 242-b可以传送FT参数。当移动到传统LAN 340-b的第二AP 244-d的覆盖区域中时，STA 242-b可以与第二 AP 244-d建立连接，并且第二AP 244-d可以从WLC 705获得FT参数。第二 AP 244-d可以至少部分地基于FT参数推导出安全性密钥(例如，会话密钥)，并且比没有FT参数的认证更快地用FT参数来认证STA 242-b。

图8示出了根据本公开的各个方面的使用FT技术的对LAN 440-b的基于蜂窝RAT的接入的参考架构。无线设备115-d可以与LAN 440-b的源AN 405-c (R1KH)建立连接，与位于源AN 405-c处的认证器和/或位于认证服务器410-b 处的认证器执行认证(例如，使用EAP)，并且至少部分地基于该(些)认证来与LAN 440-b(例如，LAN DS 446-b)安全地通信。

根据本公开的各方面，LAN 440-b的源AN 405-c可以缓存FT参数以在后续切换期间进行转发。此类转发可以由LAN 440-b支持，因为AN 405可以实现安全性协议，其中各AN405彼此信任以交换此类参数。LAN 440-b的这种信任与传统LAN 340(例如，参考图7描述的传统LAN 340-b)形成对比，在传统LAN 340中，在各AP 244之间(例如，在AP 244-c和244-d之间，如参考图7所述)尚未建立此类安全性协议。换言之，传统LAN 340-b的AP 244 尚未建立支持各AP 244之间的FT参数交换的信任。因此，根据本公开的各方面，LAN 440-b可以在AN 405处实现高级安全性协议，以促进无线设备115-d 从源AN 405-c到目标AN 405-d的快速切换。

当移动到LAN 440-b的目标AN 405-d(例如，另一个R1KH)的覆盖区域中时，无线设备115-d可以与目标AN 405-d建立连接，并且目标AN 405-d 可以从源AN 405-d获得FT参数。在一些示例中，FT参数可以由目标AN 405-d 直接从源AN 405-c接收(例如，通过X2接口，要么经由LAN DS 446-b接收要么直接从源AN 405-d接收)，这在传统LAN协议下可能是不可接受的，因为在传统协议下，各AP 244之间的直接通信可能是不安全的或以其他方式不可信。目标AN 405-d可以至少部分地基于FT参数推导出安全性密钥(例如，会话密钥)，并且比没有FT参数的认证更快地用FT参数来认证无线设备115-d，同时还利用根据本公开可在源AN 405-c与目标AN 405-d之间提供的附加信任。

图9示出了根据本公开的各个方面的无线设备115-e处的协议栈905-a和 AN 405-e处的协议栈910-a的解说900，其可用于支持对LAN 440的基于蜂窝 RAT的接入的C面功能性。作为示例，解说900示出了4G蜂窝RAT的较低层级协议(例如，L1/L2栈)为包括PHY/MAC/RLC/PDCP层。其他L1/L2栈也是可能的。使用4G协议作为示例，C面可以支持在无线设备115-e和AN 405-e处终接的无线电资源控制(RRC)。

图10示出了根据本公开的各个方面的无线设备115-f处的协议栈905-b 和AN405-f处的协议栈910-b的解说1000，其可用于支持对LAN的基于蜂窝 RAT的接入的U面功能性。作为示例，解说1000示出了4G蜂窝RAT的较低层级协议(例如，L1/L2栈)为包括PHY/MAC/RLC/PDCP层。其他L1/L2栈也是可能的。使用4G作为示例，U面可以支持无线设备115-f与AN405-f之间的IEEE 802.3。AN 405-f可以在无线设备115-f与LAN DS 446-c之间中继分组。未指定AN 105-h与LAN DS 446-c之间的U面协议栈。

例如，IEEE 802.11r未定义R0KH与R1KH之间的特定协议和协议栈，而是仅定义了必须传输的参数。当所描述的技术采纳双层安全性层次时，可以应用相同的规范。

图11示出了根据本公开的各个方面的无线设备115-g处的协议栈905-c、 AN 405-g处的协议栈910-c、以及认证服务器410-c处的协议栈915-c的解说 1100，其可用于使用IEEE 802.11x的各方面与认证服务器410-c经由C面上的 EAP进行认证。在蜂窝链路上，在无线设备115-g与AN 405-g之间，EAP交换可以封装在RRC中(例如，使用信令无线电承载(SRB))。在AN 405-g 与认证服务器410-c之间，未指定协议栈。解说1100示出了RADIUS/Diameter 作为可以在AN 405-g和认证服务器410-c之间使用的协议的示例。

图12示出了根据本公开的各个方面的无线设备115-h处的协议栈905-d、 AN 405-h处的协议栈910-d、以及认证服务器410-d处的协议栈915-d的解说 1200，其可用于经由U面上的EAP进行认证。在解说1200中，认证服务器 410-d可以使用例如IEEE 802.11x的各方面。在蜂窝链路上，在无线设备115-h 与AN 405-h之间，EAP交换可以搭载在使用数据无线电承载(DRB)在数据面之上。在AN 405-h与认证服务器410-d之间，未指定协议栈。解说1200示出了RADIUS/Diameter作为可以在AN 405-h和认证服务器410-d之间使用的协议的示例。

EAP的使用不是强制性的，例如，在无线设备115-h和AN 405配备有预共享密钥(PSK)的情况下。

对于源AN 405和目标AN 405之间的X2接口，可以使用支持X2专用信令消息和X2话务的任何协议栈。在一个实施例中，X2可以在用户数据报协议 (UDP)/IP/DS协议栈之上运行，其中X2/UDP/IP协议栈符合3GPP技术规范(TS)36.423和3GPP S 36.424。例如，针对基于平面以太网的DS可以支持 IP/DS协议层的分层，其中IPv4的EtherType(以太网类型)＝0x0800，IPv6 的EtherType＝0x86DD。

图13示出了根据本公开的各个方面的用于经由AN 405-i在无线设备115-j 与LAN440-c之间建立安全连接的示例消息流1300。消息流1300解说了无线设备115-j、AN 405-i、和LAN 440-c的可选认证服务器410-e之间的消息。无线设备115-i可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备 115的各方面的示例。AN 405-i可以是参考图4、6、8、9、10、11和12描述的AN 405的各方面的示例。认证服务器410-e可以是参考图4、6、8、11和 12描述的认证服务器410的各方面的示例。

在消息流1300中，在无线设备115-i与AN 410-i之间传送的消息可以在至少部分地基于蜂窝RAT(例如，LTE/LTE-A RAT)(例如，实现蜂窝RAT 的各方面)的连接上传送。在使用所描述技术中的一些或全部的替换消息流中，可以在无线设备115-i与AN 405-i之间在至少部分地基于另一类型RAT的连接上传送消息。在一些示例中，在无线设备115-i与AN405-i之间传送的消息可以是3GPP TS 36.300、TS 36.331或TS 33.401中描述的消息，或者是至少部分地以3GPP TS 36.300、TS 36.331或TS 33.401中描述的消息为基础的消息。本公开描述了在无线设备115-i、AN 405-i和可选的认证服务器410-e之间传送的消息的参数，这些参数与所描述的技术相关。在一些示例中，这些消息可包括其他参数，诸如3GPP TS36.300、TS 36.331或TS 33.401中描述的其他参数。

在1305，AN 405-i可以广播系统信息(例如，传送系统信息块(SIB))。系统信息可包括用于配置接口(例如，蜂窝接口或LTE/LTE-A接口)以与AN 405-i通信的参数。在一些示例中，系统信息可包括关于AN 405-i支持用于与 LAN 440-c通信(例如，经由AN 405-i与LAN 440-c的LAN DS 446通信)的认证的指示。该指示可以指示通过RRC层或NAS层(例如，经由以太网、EAPOL 等)支持认证，或者用LAN 440-c中的认证器(例如，与AN 405-i共处一地的认证器和/或认证服务器410-e的认证器)支持认证。在一些示例中，该指示还可以指示用不位于LAN 440-c中的认证器支持的认证，诸如在蜂窝运营商网络的CN 130(例如，参考图1描述的无线通信系统100的CN 130)处的认证器。关于支持用于与LAN 440-c通信的认证的指示可以是显式的或隐式的。隐式指示可包括例如无线设备115-i可以用来索引存储在无线设备115-i处的关于 AN 405-i的配置的网络标识符或运营商标识符(例如，指示AN 405-i通过RRC 层、NAS层、以太网、与AN 405-i相关联(例如，共处一地)的认证器、与认证服务器410-e相关联的认证器等支持用于与LAN 440-c通信的认证的信息)。

在一些示例中，在1305处广播的系统信息可包括对所支持的认证类型的指定，诸如使用PSK的认证、与认证服务器410-e的认证、或预认证。在预认证的情形中，无线设备115-i可以至少部分地基于作为与认证服务器410-e的先前认证的一部分(例如，作为经由LAN 440-c的不同AN 405(未示出)执行的认证规程的一部分)而建立的PMK来执行认证规程。

在一些示例中，在1305处广播的系统信息可包括诸如因蜂窝小区而异的参数等参数，诸如LAN 440-c上的AN 405-i的物理蜂窝小区身份(PCI)、蜂窝小区全球身份(CGI)、封闭订户群ID(CSG ID)、用于下行链路的演进绝对射频信道号(EARFCN-DL)、MAC地址、或其任何组合。该(些)参数可以被包括在1360处执行的密钥推导中，或者可以被无线设备115-i用于检索用于AN 405-i的PSK或PMK(例如，当支持预认证时)。

在1310，无线设备115-i可以发起与AN 405-i的随机接入规程(例如， RACH规程)，以与AN 405-i建立蜂窝小区无线电网络临时标识符(C-RNTI)，以及从AN 405-i获得定时对准信息。随机接入规程可以至少部分地基于在1305 处接收的参数，或者基于存储在无线设备115-i处的关于AN 405-i的配置。

在1315，无线设备115-i可以向AN 405-i传送RRC连接请求消息。RRC 连接请求消息可包括在1310处建立的C-RNTI。RRC连接请求消息还可以指示无线设备115-i期望什么类型的操作以用于建立连接，例如，执行本地LAN 接入、或接入LAN 440-c的中央网络节点(例如，CN)以获得运营商提供的服务等。

在1320，AN 405-i可以通过向无线设备115-i传送RRC连接设立消息来响应在1315处接收的RRC连接请求消息。RRC连接设立消息可以标识或建立用于认证消息的至少一个无线电承载(RB)。该至少一个RB可包括SRB或 DRB。AN 405-i可以至少部分地基于LAN 440-c的本地策略或者RRC连接请求消息中的指示来决定是否应该设立SRB或DRB或这两者。在一些示例中，可以根据参考图11描述的C面协议栈905-c、910-c和915-c来建立SRB，并且SRB可以支持传输被封装在RRC中的认证数据(例如，EAP认证数据)。在一些示例中，可以根据参考图12描述的U面协议栈905-d、910-d和915-d 来建立DRB，并且DRB可以支持传输被封装在以太网中的认证数据(例如，EAP认证数据)，以用于经由LAN DS 446通过NAS层传输到认证服务器410-e。 RRC连接设立消息可包括例如：被指示成要被包括在系统信息广播中的信息中的一些或全部；在1360处的安全性密钥推导中将包括的随机参数，诸如一次性数(例如，Nonce-AN)；LAN 440-c上的AN 405-i的MAC地址(例如，以准备用于经由DRB上的EAPOL(LAN上的可扩展认证协议(EAP))的认证)；或者无线设备MAC地址的配置。

在1325，无线设备115-i可以通过向AN 405-i传送RRC连接设立完成消息来响应在1320处接收的RRC连接设立消息。在一些示例中，在1325处的通信还可包括对FT认证的请求，其中FT认证可包括确定、交换和/或缓存FT 参数，如本文所述。在一些示例中，对FT认证的请求可以至少部分地基于从 AN 405-i接收到对支持基于网络的FT的指示。这种支持指示可以由AN 405-i 提供，例如，在1305处的SIB中、在1310处的RACH消息期间、在1325处的RRC连接设立消息期间、或者在无线设备115-i与AN 405-i之间的任何其他通信期间。在一些示例中，来自AN 405-i的对支持基于网络的FT的指示可以响应于1325处的FT认证请求而提供，并且可以在安全通信中提供(例如，作为1370处的AS安全性模式命令的一部分、在1380处的RRC连接重配置消息期间、或者在认证规程之后在无线设备115-i与AN 405-i之间的一些其他通信期间)。在一些示例中，无线设备115-i可以至少部分地基于接收到对支持基于网络的FT的指示来相应地将FT参数集传送给AN 405-i。

因此，1305到1325可以解说与在无线设备115-i和AN 405-i之间建立连接相对应的操作的示例，并且无线设备115-i可以随后确定要经由所建立的连接来执行认证。根据本公开的各方面，这些操作可进一步包括对用于无线设备 115-i与LAN 440-c之间的认证的端点的指示。例如，这些指示可以标识出认证器与AN 405-i共处一地、或者以其他方式与AN405-i集成，和/或认证器是认证服务器410-e的一部分，认证服务器410-e可能不与AN 405-i共处一地。在一些示例中，对认证端点的指示可被包括在从AN 405-i到无线设备115-i的消息中(例如，在1305处的SIB或1320处的RRC连接响应中)。此类消息可包括以下指示：用于认证的协议端点是NAS层(其可对应于使用认证服务器410-e处的认证器、LAN 440-c的另一节点、或不是LAN 440-c一部分的认证器的认证)或RRC层(其可对应于使用AN 405-i处的认证器的认证)。在一些示例中，对用于认证的协议端点的指示可以由AN 405-i响应于由无线设备115-i发送的查询而传送(例如，在1305-1325的连接建立期间、或者某个其他时间)。因此，无线设备115-i可以至少部分地基于所接收的对用于认证的协议端点的指示、和/或可以存储在无线设备115-i处并且至少部分地基于接收到与AN 405-i相关联的标识符(例如，在1305-1325的连接建立操作期间) 来检索的关于AN 405-i的任何其他配置信息来确定要执行认证。

在一些示例中，(例如，至少部分地基于所接收的对用于认证的协议端点的指示)，无线设备115-i可以确定要用于认证的一个或多个认证器(例如，确定要使用与AN 405-i共处一地的认证器或在认证服务器410-e处的认证器中的一者或两者)，并且传送关于无线设备115-i已经确定要执行认证的指示，其可以进一步包括关于将用在AN 405-i处的认证器和/或在认证服务器410-e 处的认证器执行认证的指示。此类指示可以由无线设备115-i在1315或1325 处作为RRC连接建立消息的一部分的显式指示来传送。在一些示例中，无线设备115-i可以选择用于在1310处执行RACH规程的某些资源(例如，与RACH 规程相关联的特定前置码)，并且关于将在特定认证器处执行认证的指示可以是至少部分地基于所选资源的隐式指示。换言之，无线设备115-i可以确定要在1310处的RACH规程期间使用特定前置码作为将哪个协议端点用于认证的隐式指示。

在1325处的RRC连接设立完成消息可以确认可用于认证消息的(诸) RB的建立，并且可包括例如无线设备115-i的能力的指示，包括所支持的密码套件。在1325处的RRC连接设立完成消息还可包括PSK或PMK的标识符(如果可用的话)以及无线设备115-i的标识符，这允许AN 405-i检索为无线设备 115-i缓存的PSK或PMK。无线设备115-i可以至少部分地基于在1305或1320 处获得的AN 405-i的PCI、CGI、或MAC地址来检索这些密钥标识符。RRC连接设立完成消息还可包括随机参数，诸如将被包括在1360处的安全密钥推导中的一次性数(例如，Nonce-UE)，或者无线设备115-i的MAC地址(例如，如果无线设备115-i的MAC地址未由AN 405-i置备并且在1320处配置)。无线设备115-i的MAC地址可以用于准备经由DRB上的EAPOL进行认证，以及用于无线设备115-i与LAN 440-c之间的话务转发(例如，无线设备115-i 与LAN 440-c的LAN DS 446之间的话务转发)。

在1330，AN 405-i可以可任选地触发无线设备115-i与认证服务器410-e 之间的认证规程。例如，当AN 405-i处的认证器不能至少部分地基于由无线设备115-i提供的信息来分配PSK或PMK时，或者当AN 405-i处的认证器不支持使用PSK的认证或预认证时，可以触发无线设备115-i与认证服务器410-e 之间的认证规程。在一些示例中，无线设备115-i与认证服务器410-e之间的认证规程可以至少部分地基于从无线设备115-i接收的要用认证服务器410-e 处的认证器执行认证的指示。

根据在无线设备115-i与认证服务器410-e之间执行的认证规程，无线设备115-i和认证服务器410-e中的每一者可以在1335或1340处推导出主会话密钥(MSK)。根据MSK，无线设备115-i和认证服务器410-e中的每一者可以在1345或1350处推导出PMK。例如，无线设备115-i与认证服务器410-e 之间的认证规程可以使用EAP。可以用各种方式(包括例如原生地通过在1320 处标识出的RB)经由AN 405-i在无线设备115-i和认证服务器410-e之间交换 EAP消息。在该示例中，RB的分组数据汇聚协议(PDCP)层可以携带关于 EAP分组被封装在蜂窝链路上的指示符(例如，分组可以在与该分组相关联的 PDCP PDU报头中被标记为涉及认证)。在另一示例中，可以通过专用于认证信息交换的RB来在无线设备115-i与认证服务器410-e之间交换EAP消息。在该示例中，该专用RB的逻辑信道ID可以将在该专用RB上传送的分组标记为涉及EAP。在另一示例中，参考图11，可以在无线设备115-i和认证服务器410-e之间在被标记为涉及认证的RRC消息(例如，被封装成用于通过NAS 层经由LAN DS446传输到认证服务器410-e)中交换EAP消息(例如，在用 EAP指示符标注的RRC容器中)。在另一示例中，参考图12，可以在无线设备115-i和认证服务器410-e之间经由携带Ethertype＝EAP的话务的NAS层在通过DRB传送的以太网分组(EAPOL)中交换EAP消息。

当执行无线设备115-i与认证服务器410-e之间的认证规程时，并且当认证服务器410-e成功推导出PMK时，认证服务器410-e可以在1355将PMK 转发给AN 405-i。在一些示例中，PMK可以被转发给AN 405-i。此后，并且无论是否在1330执行无线设备115-i与认证服务器410-e之间的可选认证规程，无线设备115-i和AN 405-i两者都应当在1360或1365之前拥有PMK。

在1360或1365，无线设备115-i和AN 405-i中的每一者可以使用密钥推导函数(KDF)从PMK推导出新的会话密钥K_AN(即，安全性密钥)。KDF 的一个示例是IEEE 802.11i中用于从PMK推导出成对瞬态密钥(PTK)的KDF。 KDF可以至少部分地基于在无线设备115-i和AN 405-i之间交换的随机参数 (例如，Nonce-UE和Nonce-AN)、以及因AN而异的ID，诸如AN405-i的 PCI、CGI、CGS-ID、EARFCN-DL、MAC地址、或其任何组合。可以从会话密钥K_AN推导出其他安全性密钥以用于与LAN 440-c安全地通信(例如，用于经由AN 405-i与LAN 440-c的LAN DS 446安全地通信)。这些其他安全性密钥(诸如用户面安全性密钥K_UPenc或K_UPint、或RRC安全性密钥K_RRCenc或K_RRCint) 可分别用于保护在无线设备115-i和LAN 440-c之间(例如，与LAN 440-c的 LAN DS 446)通过DRB或SRB传送的话务，例如，如3GPP TS 33.401中所定义的，该DRB或SRB可以至少部分地基于这些其他安全性密钥来建立。

因此，1330-1365的操作可以解说与可任选地与协议端点执行认证相关联的操作的示例，该协议端点是位于不与AN 405-i共处一地的认证服务器410-e 处的认证器，该认证器可对应于在1305接收的标识协议端点为NAS层的指示。在此类示例中，AN 405-i可以经由LAN DS 446通信地耦合到认证服务器410-e (参见图4)，并且认证消息可以被封装在以太网分组中，例如，用于经由LAN DS 446在AN 405-i与认证服务器410-e之间传输。相反，如果认证服务器410-e 与AN 405-i共处一地，则在1305对用于认证的协议端点的指示将标识RRC 层，并且共处一地的认证服务器410-e将经由RRC层与无线设备115-i通信。尽管关于认证服务器410-e作为LAN 440-c的一部分来描述了示例消息流1300 的认证规程，但是在各种示例中，所描述的认证规程可以替换地或附加地由与 AN 405-i共处一地的认证器、或在位于LAN 440-c外部的认证器(例如，蜂窝运营商网络的CN 130的认证器)处执行。

在1370，AN 405-i可以向无线设备115-i传送接入阶层(AS)安全性模式命令消息。AS安全性模式命令消息可以指示将由无线设备115-i用于与LAN 440-c安全地通信(例如，用于经由AN 405-i与LAN 440-c的LAN DS 446安全地通信)的特定密码套件，并且可包括使用K_AN来证明AN知晓K_AN的消息完整码。

在1375，无线设备115-i可以通过向AN 405-i传送AS安全性模式命令完成消息来响应在1370接收的AS安全性模式命令消息。AS安全性模式命令完成消息可包括使用K_AN来证明无线设备知晓K_AN的消息完整码。

在1380，AN 405-i可以向无线设备115-i传送RRC连接重配置消息，以确立至少部分地基于K_AN来保护哪些DRB和SRB。

在1385，无线设备115-i可以配置在1380标识出的RB，并且可以通过向 AN 405-i传送RRC连接重配置完成消息来响应在1380接收的RRC连接重配置消息。此后，无线设备115-i可以通过在受保护的DRB上传送具有其MAC 地址的以太网分组来与LAN 440-c安全地通信(例如，经由AN 405-i与LAN 440-c的LAN DS 446安全地通信)。

图14示出了根据本公开的各个方面的用于执行具有与LAN 440-d的安全连接的无线设备115-j从源AN 405-j切换到目标AN 405-k的示例消息流1400。消息流1400解说了无线设备115-j、源AN 405-j、目标AN 405-k和LAN 440-d 的可选认证节点(例如，认证服务器410-f)之间的消息。无线设备115-j可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备115的各方面的示例。源AN 405-j和目标AN 405-k可以是参考图1、2、4、6、8、9、10、11 和12描述的AN 405的各方面的示例。认证服务器410-f可以是参考图4、6、 8、11和12描述的认证服务器410的各方面的示例。

在消息流1400中，在无线设备115-j与源AN 405-j之间、或者在无线设备115-j与目标AN 405-k之间传送的消息可以在至少部分地基于蜂窝RAT (例如，LTE/LTE-A RAT)(例如，实现蜂窝RAT的各方面)的连接上传送。在使用所描述技术中的一些或全部的替换消息流中，可以在无线设备115-j与源AN 405-j之间、或者在无线设备115-j与目标AN 405-k之间在至少部分地基于另一类型RAT的连接上传送消息。在一些示例中，在无线设备115-j 与源AN 405-j之间、或者在无线设备115-j与目标AN 405-k之间传送的消息可以是3GPP TS36.300、TS 36.331或TS 33.401中描述的消息，或者是至少部分地以3GPP TS 36.300、TS36.331或TS 33.401中描述的消息为基础的消息。本公开描述了在无线设备115-j、源AN405-j、目标AN 405-k、和可选认证服务器410-f之间传送的消息的参数，这些参数与所描述的技术相关。在一些示例中，这些消息可包括其他参数，诸如3GPP TS 36.300、TS 36.331或TS 33.401 中描述的其他参数。

在1405，无线设备115-j可以经由源AN 405-j通过根据如参考图13所描述的消息流1300的各种操作建立的连接来连接到LAN 440-d。源AN 405-j可以向无线设备115-j传送RRC连接重配置消息，以确立至少部分地基于第一安全性密钥K_AN来保护哪些DRB和SRB。在一些示例中，RRC连接重配置消息可以为无线设备115-j提供测量配置。测量配置可以使无线设备115-j能够测量与源AN 405-j和潜在目标AN 405(例如，包括目标AN 405-k)的通信的参数。响应于接收到RRC连接重配置消息，无线设备115-j可以配置所标识出的RB，并且通过向源AN 405-j传送RRC连接重配置完成消息(未示出)来响应RRC 连接重配置消息。在一些示例中，RRC连接重配置消息和RRC连接重配置完成消息可以是在参考图13描述的消息流1300的1375和1380传送的RRC连接重配置消息和RRC连接重配置完成消息的示例。

在1410，无线设备115-j可以经由与源AN 405-j的连接来安全地与LAN 440-d通信(例如，与LAN 440-d的LAN DS 446安全地传达UL和DL数据)。在1405的通信可包括通过无线设备115-j与源AN 405-j之间的受保护DRB传送具有无线设备115-j的MAC地址的以太网分组。

在1415，无线设备115-j可以使用在1405接收的测量配置来测量从目标 AN 405-k接收的通信。例如，无线设备115-j可以测量从目标AN 405-k接收的通信的信号强度。

在1420，无线设备115-j可以接收由目标AN 405-k广播的系统信息(例如，SIB)。系统信息可包括参考关于图13所述的消息流1300的1305处的操作描述的任何信息。在一些示例中，无线设备115-j可以仅解码所接收的系统信息的一部分，例如足够的系统信息以获得目标AN 405-k的PCI或CGI。

在1425，无线设备115-j可以将测量报告传送给源AN 405-j。除了标识信息(诸如目标AN 405-k的PCI或CGI)之外，测量报告还可包括关于与目标AN 405-k的通信的测量的信息。当无线设备115-j由于与目标AN 405-k的预认证而持有PMK时，无线设备115-j可以在测量报告中包括PMK的PMK_ID。测量还可包括随机参数，诸如一次性数(例如，Nonce-UE)、或Nonce-UE-ID，该Nonce-UE-ID可以被源AN 405-j用于在消息流1400的稍后阶段标识特定Nonce-UE。

在1427，源AN 405-j可以至少部分地基于该测量报告来确定要发起无线设备115-j从源AN 405-j到目标AN 405-k的切换。这与传统LAN 340(例如，参考图5描述的传统LAN340-a)的操作形成对比，其中移动性决策由STA 242 (例如，参考图5描述的STA 242-a)作出。通过提供如本文所述的基于网络的移动性，LAN 440-d的设备可以有利地协调在源AN405-j和目标AN 405-k 之间切换无线设备115-j的各方面，这可以减少由于无线电条件恶化和/或在源 AN 405-j和目标AN 405-k的覆盖区域之间的移动造成的停机时间，减少在无线设备115-j和LAN 440-d之间执行认证的时间量，以及减少无线设备115-j 与LAN 440-d之间的通信等待时间。

在1430，源AN 405-j可以向目标AN 405-k传送切换(HO)请求消息(例如，至少部分地基于在1425接收的测量报告)。切换请求消息可包括无线设备115-j的上下文。在一些示例中，切换请求消息可以是经由LAN 440-d路由的X2消息。在一些示例中，源AN可以通过至少部分地基于来自无线设备115-j 的测量报告中所包括的PCI或CGI对查找表进行索引来检索目标AN 405-k的传输地址。切换请求消息还可包括临时安全性密钥，其可以被称为K_AN*，其是从(例如，至少部分地基于)第一安全性密钥K_AN推导出的。临时安全性密钥可以使用KDF(例如，如3GPP TS 33.401中描述的用于从K_eNB推导K_eNB* 的KDF)推导出。除了在测量报告中提供的PMK_ID(如果有的话)之外，切换请求消息还可包括在测量报告中从无线设备115-j接收的Nonce-UE或 Nonce-UE-ID。

在1432，在接受切换请求之际，目标AN 405-k可以用切换请求确认(ACK) 消息来响应源AN 405-j。目标AN 405-k可以在切换请求ACK消息中包括保持 RRC配置的容器，其使得无线设备115-j能够连接到目标AN 405-k。除了在切换请求消息中接收的Nonce-UE-ID(如果有的话)之外，RRC配置还可包括随机参数，诸如一次性数(例如，Nonce-AN)。该容器还可以保持临时安全性密钥使用策略，其指示临时安全性密钥K_AN*可以如何用于经由目标AN405-k 与LAN 440-d(例如，LAN 440-d的LAN DS 446)安全地通信。切换请求ACK 消息还可以指示从由源AN 405-j传送到目标AN 405-k的无线设备115-j安全性能力中选择的密码套件。切换请求ACK消息可进一步包括关于在与目标AN 405-k安全地通信之前无线设备115-j是否需要与认证服务器(例如，可选认证服务器410-f)执行认证握手的指示。当源AN 405-j将PMK_ID转发给目标 AN 405-k并且目标AN 405-k能够检索到相应的PMK时，关于无线设备115-j 是否需要与认证服务器410执行认证握手的指示可以不是必需的。

临时安全性密钥使用策略(例如，临时安全性密钥的限制策略)可包括以下至少一者：临时安全性密钥有效以用于经由目标AN 405-k安全地与LAN 440-d通信的时间区间(例如，期满时间)的指示、临时安全性密钥有效以用于经由目标AN 405-k安全地与LAN 440-d通信的分组数量的指示、临时安全性密钥有效以用于经由目标AN 405-k安全地与LAN 440-d通信的一个或多个承载的集合的指示、临时安全性密钥有效以用于经由目标AN 405-k安全地与 LAN 440-d通信的承载类型的指示、或其组合。

在1435，源AN 405-j可以在RRC连接重配置消息中将从目标AN 405-k 接收的RRC配置转发给无线设备115-j。在一些示例中，源AN 405-j还可以将临时安全性密钥K_AN*转发给无线设备115-j。然而，在一些示例中，无线设备 115-j可以在无线设备115-j处单独地推导出K_AN*(例如，至少部分地基于与如参考1430所述的由源AN 405-j用来推导K_AN*的规程类似的至少部分地基于 K_AN的规程)。此时，无线设备115-j和目标AN 405-k保持用于直接蜂窝连接的RRC配置、以及随机参数Nonce-UE和Nonce-AN。

在1440，源AN 405-j可以在序列号(SN)传输消息中将当前PDCP SN 传送给目标AN405-k；并且在1445，源AN 405-j可以经由X2接口将为无线设备115-j缓冲的DL数据传送给目标AN 405-k。

在1450，无线设备115-j可以与目标AN 405-k执行RACH握手。

在1455，无线设备115-j可以向目标AN 405-k传送RRC连接重配置完成消息，从而在无线设备115-j与目标AN 405-k之间建立连接。所建立的连接可包括受保护的DRB，其中该保护至少部分地基于临时安全性密钥K_AN*(例如，至少部分地基于无线设备115-j所知的K_AN*与目标AN 405-k所知的K_AN*的比较)，并且其中受保护DRB的使用至少部分地基于临时安全性密钥的使用策略。无线设备可以例如在从LAN 440-d接收的配置信息中、在从源AN405-j 接收的切换命令消息中、和/或在从目标AN 405-k接收的配置信息中接收使用策略。该受保护的DRB可以用于与LAN 440-d(例如，与LAN 440-d的LAN DS 446)交换以太网话务。作为该连接的一部分，RRC配置还可以建立用于 RRC消息的SRB，并且可以建立可用于与认证服务器(例如，可选的认证服务器410-f)执行认证规程的第二DRB，如由关于无线设备115-j是否需要与认证服务器执行认证握手的指示所指明的。因此，1427到1455的操作可以解说执行无线设备115-j从源AN 405-j到目标AN 405-k的切换的示例。

在1460，无线设备115-j可以使用受保护的DRB经由目标AN 405-k与 LAN 440-d交换UL和DL以太网话务。受保护的DRB可以至少部分地基于临时安全性密钥K_AN*来受到保护，该临时安全性密钥的使用受到无线设备115-j 在1435接收的RRC连接重配置消息中所包含的策略的约束。

在1465，并且至少部分地基于无线设备115-j需要与认证服务器执行认证握手的指示，无线设备115-j可以经由与目标AN 405-k相关联的第二DRB(例如，与临时安全性密钥K_AN*相关联的DRB)与认证服务器410-f执行认证规程。因此，目标AN 405-k可以充当目标AN405-l和认证服务器410-f之间的认证规程的中继。在一些示例中，认证规程可以至少部分地基于与认证服务器 410-f的EAP握手。根据该认证规程，无线设备115-j和认证服务器可以推导出MSK(分别在1470和1472)，然后从MSK推导出PMK(分别在1475和 1477)。

因此，1465到1477的操作解说了与认证服务器410执行认证的示例，其中该认证至少部分地基于EAP。例如，可以通过经由目标AN 405-k的连接来实现认证，该连接至少部分地基于临时安全性密钥K_AN*。在一些示例中，可以与LAN 440-d的另一节点执行认证，诸如中央密钥生成节点805(未示出)，并且认证规程可以至少部分地基于请求方密钥持有者标识符(ID)、认证方密钥持有者ID、PMK ID、PMK名称、或其组合。其他安全性解决方案可在LAN440-d处是可能的，诸如各种专有安全性解决方案。

根据本公开的各方面，在1460和/或1465的通信可以涉及至少部分地基于临时安全性密钥K_AN*、以及用于临时安全性密钥K_AN*的使用策略(例如，限制策略)的通信。例如，至少部分地基于临时安全性密钥的通信可包括固定历时(例如，固定时间量或固定数据量(例如，固定数量的数据分组))的数据通信、和/或经由专用通信链路的通信(例如，用于1460的UL和DL数据通信的专用无线电承载和/或用于1465的用于建立更实质的重新认证的通信的专用无线电承载)。这些操作可以促进无线设备115-j的各种通信比传统LAN 340(例如，参考图5描述的传统LAN 340-a)原本所允许的切换更平顺和/或更快速的切换。例如，传统LAN340的安全性策略可能不允许在各AP 244之间如此转发安全性信息，并且可能需要对STA242的更实质的认证(例如，与目标AP的新的重新认证和/或与AAA 248的完整认证)，因此不允许交换临时安全性密钥。

作为对比，可在(例如，与认证服务器410-f)执行更实质的认证之前在 LAN 440-d中允许至少部分地基于临时安全性密钥K_AN*的通信，因为采用了某些协议(例如，蜂窝RAT的各方面)来支持源AN 405-j和目标AN 405-k 之间的安全性级别，其允许在各AN 405之间提供此类临时安全性密钥。因此，通过限制或避免与传统LAN 340的切换规程(诸如以STA为中心的切换规程) 相关联的通信中断，在1460和/或1465至少部分地基于临时安全性密钥K_AN*的通信可以提供无线设备115-j从源AN 405-j到目标AN 405-k的更平顺的切换。然而，通过根据相关联的使用策略来限制至少部分地基于临时安全性密钥 K_AN*的通信，LAN 440-d的各种安全性策略(例如，根据Wi-Fi协议的安全性策略、或其他专有安全性策略)仍然可以得到支持(例如，至少部分地基于临时安全性密钥K_AN*的期满、至少部分地基于限制将临时安全性K_AN*用于某些类型的通信或某些无线电承载、对于不支持临时安全性密钥的设备115等)。

在1480，认证服务器410-f可以将PMK传送给目标AN 405-k。分别在1485 和1487，无线设备115-j和目标AN 405-k可以各自至少部分地基于PMK、 Nonce-UE和Nonce-AN推导出第二安全性密钥。第二安全性密钥可以用作新的K_AN以用于经由无线设备115-j与目标AN405-k之间的可以实现蜂窝RAT 的各方面的连接在无线设备115-j与LAN 440-d之间的安全通信。

在1490，目标AN 405-k可以向无线设备115-j传送RRC连接重配置消息，以配置受保护的DRB，其中该保护至少部分地基于第二安全性密钥。RRC连接重配置消息可包括消息完整性码，其使用第二安全性密钥来向无线设备115-j 验证目标AN 405-k知晓第二安全性密钥。

在1495，无线设备115-j可以通过传送RRC连接重配置完成消息来响应在1490处接收的RRC连接重配置消息。RRC连接重配置完成消息可包括消息完整性码，其使用第二安全性密钥来向目标AN 405-k验证无线设备115-j知晓第二安全性密钥。

在1497，无线设备115-j可以通过在无线设备115-j和目标AN 405-k之间建立的连接的新配置的DRB来与LAN 440-d(例如，LAN 440-d的LAN DS 446) 交换以太网话务。

因此，根据本公开的各方面，无线设备115-j可以经由在无线设备115-j 与目标AN405-k之间建立的连接，根据临时安全性密钥K_AN*和临时安全性密钥K_AN*的使用策略，并且还根据1480的第二安全性密钥(其不受与临时安全性密钥K_AN*相关联的使用策略的约束)来安全地与LAN 440-d通信。在一些示例中，这可以包括在不同时间发生的至少部分地基于临时安全性密钥的安全通信和至少部分地基于第二安全性密钥的通信。在一些示例中，这些安全通信可包括从至少部分地基于临时安全性密钥与LAN 440-d安全地通信切换到至少部分地基于第二安全性密钥与LAN 440-d安全地通信，并且该切换可以至少部分地基于从目标AN 405-k接收的配置消息(例如，在1490处传送的RRC 连接重配置消息)、第二安全性密钥的可用性、或其组合。

如本文所使用的，至少部分地基于被描述为“不受”另一安全性密钥的限制策略所约束的安全性密钥的安全通信可以是指其中完全不应用该另一安全性密钥的限制策略的通信、其中应用该另一安全性密钥的限制策略的某个子集的通信、其中应用完全不同的限制策略的通信、其中不应用限制策略的通信、等等。换言之，至少部分地基于两个不同安全性密钥的安全通信可以基于不同的限制策略。

在消息流1400的变型中，认证服务器410-f可以是或者以其他方式集成到中央密钥生成节点805(例如，无线LAN控制器)，并且与中央密钥生成节点805执行的认证规程可以至少部分地基于：请求方密钥持有者ID、认证方密钥持有者ID、PMK ID、PMK名称、或其组合。

图15示出了根据本公开的各个方面的用于在无线设备115-k和LAN 440-e 之间建立安全连接的示例消息流1500。消息流1500解说了无线设备115-k、 LAN 440-e的AN 405-l、LAN 440-e的中央密钥生成节点805-a、和LAN 440-e 的认证服务器410-g之间的消息。无线设备115-k可以是参考图1、2、4、6、 8、9、10、11和12描述的无线设备115的各方面的示例。AN 405-l可以是参考图4、6、8、9、10、11和12描述的AN 405的各方面的示例。中央密钥生成节点805-a可以是参考图8描述的中央密钥生成节点805的各方面的示例。认证服务器410-g可以是参考图4、6、8、11和12描述的认证服务器410的各方面的示例。

在消息流1500中，在无线设备115-k与AN之间传送的消息可以在至少部分地基于蜂窝RAT(例如，LTE/LTE-A RAT)(例如，实现蜂窝RAT的各方面)的连接上传送。在使用所描述技术中的一些或全部的替换消息流中，可以在无线设备115-k与AN 405-l之间在至少部分地基于另一类型RAT的连接上传送消息。在一些示例中，在无线设备115-k与AN 405-l之间传送的消息可以是3GPP TS 36.300、TS 36.331或TS 33.401中描述的消息，或者是至少部分地以3GPP TS 36.300、TS 36.331或TS 33.401中描述的消息为基础的消息。本公开描述了在无线设备115-k、AN 405-l和认证服务器410-g之间传送的消息的参数，这些参数与所描述的技术相关。在一些示例中，这些消息可包括其他参数，诸如3GPP TS 36.300、TS36.331或TS 33.401中描述的其他参数。

在一些示例中，作为消息流1500的一部分传送的消息可以是作为参考图 13描述的消息流1300的一部分传送的消息的示例，并且可包括作为消息流 1300的一部分传送的对应消息的各方面(包括对应消息的全部)。

在1505，AN 405-l可以广播系统信息(例如，传送SIB)。系统信息可包括用于配置接口(例如，蜂窝接口或LTE/LTE-A接口)以与AN 405-l通信的参数。在一些示例中，系统信息可包括快速转换移动域ID(MDID)。至少部分地基于MDID，无线设备115-k可以标识R0KH(例如，中央密钥生成节点 805-a)的改变(如果有的话)。

在1510，无线设备115-k可以发起与AN 405-l的随机接入规程(例如， RACH规程)，以与AN 405-l建立C-RNTI，以及从AN 405-l获得定时对准信息。随机接入规程可以至少部分地基于在1505处接收的参数，或者基于存储在无线设备115-k处的关于AN 405-l的配置。

在1515，无线设备115-k可以向AN 405-l传送RRC连接请求消息。RRC 连接请求消息可包括在1510建立的C-RNTI。

在1520，AN 405-l可以通过向无线设备115-k传送RRC连接设立消息来响应在1515接收的RRC连接请求消息。RRC连接设立消息可以标识(或建立) 用于认证消息的至少一个RB。该至少一个RB可包括SRB或DRB。RRC连接设立消息可包括：例如，被指示成要被包括在系统信息广播中的信息中的一些或全部(包括MDID，如果它不在系统信息广播中传送的话)；随机参数，诸如将被包括在1575或1577的安全性密钥推导中的一次性数(例如， Nonce-AN)；R1密钥持有者ID(R1KH-ID)和R0密钥持有者ID(R0KH-ID)；或者LAN 440-e上的无线设备115-k的MAC地址(其可以用作请求方密钥持有者ID，诸如S1密钥持有者ID(S1KH-ID))。在一些示例中，R1KH-ID 可以是LAN 440-e上的AN 405-l的MAC地址。在一些示例中，R0KH-ID可以是被称为WLC(例如，中央密钥生成节点805-a)的网络节点的标识符。

在1525，无线设备115-k可以通过向AN 405-l传送RRC连接设立完成消息来响应在1520接收的RRC连接设立消息。RRC连接设立完成消息可以确认用于认证消息的RB的建立，并且可包括例如S1KH-ID，其在一些示例中可以是无线设备115-k的MAC地址。当无线设备115-k的MAC地址用作S1KH-ID 并且在RRC连接设立消息中从AN 405-l接收到时(在1520)，S1KH-ID可以不被包括在RRC连接设立消息中。RRC连接设立完成消息还可包括随机参数，诸如将被包括在1575或1577的安全性密钥推导中的一次性数(例如， Nonce-UE)。

在一些示例中，在1525处的通信还可包括对FT认证的请求，其中FT认证可包括确定、交换和/或缓存FT参数，如本文所述。在一些示例中，对FT 认证的请求可以至少部分地基于从AN 405-l接收到对支持基于网络的FT的指示。这种支持指示可以由AN 405-l提供，例如，在1505的SIB中、在1510 的RACH消息期间、在1525的RRC连接设立消息期间、或者在无线设备115-k 与AN 405-l之间的任何其他通信期间。在一些示例中，来自AN 405-l的对支持基于网络的FT的指示可以响应于1525的FT认证请求而提供，并且可以在安全通信中提供(例如，作为1580的AS安全性模式命令的一部分、在1590 的RRC连接重配置消息期间、或者在认证规程之后在无线设备115-k与AN 405-l之间的一些其他通信期间)。在一些示例中，无线设备115-k可以至少部分地基于接收到对支持基于网络的FT的指示来相应地将FT参数集传送给AN 405-l。

在1530，AN 405-l可以触发无线设备115-k与认证服务器410-g之间的认证规程。根据在无线设备115-k与认证服务器410-g之间执行的认证规程，无线设备115-k和认证服务器410-g中的每一者可以在1535或1540推导出MSK。根据MSK，无线设备115-k和认证服务器410-g中的每一者可以在1545或1550 推导出PMKR0。例如，无线设备115-k与认证服务器410-g之间的认证规程可以使用EAP。可以用各种方式(包括例如原生地在1520标识出的RB上)在无线设备115-k和认证服务器410-g之间(例如，经由AN 405-l)交换EAP消息。EAP传输可以经由中央密钥生成节点805-a来路由。

在1555，认证服务器410-g可以在安全信道上将PMKR0转发给中央密钥生成节点805-a。在1560和1565，中央密钥生成节点805-a和无线设备115-k 可以分别使用KDF(例如，使用IEEE 802.11r中定义的KDF)从PMKR0推导出PMKR1。该KDF可以部分地基于AN 405-l和无线设备115-k的MAC地址。在1570，中央密钥生成节点805-a可以将PMKR1传送给AN 405-l。

在1575和1577，无线设备115-k和AN 405-l中的每一者可以使用KDF 从PMKR1推导出新的会话密钥K_AN(例如，安全性密钥)。KDF的一个示例是IEEE 802.11i中用于从PMK推导出成PTK的KDF。KDF可以至少部分地基于在无线设备115-k和AN 405-l之间交换的随机参数(例如，Nonce-UE和 Nonce-AN)、以及因AN而异的ID，诸如AN 405-l的PCI、CGI、或MAC地址。可以从会话密钥K_AN推导出其他安全性密钥以用于与LAN 440-e(例如，与LAN 440-e的LANDS 446)安全地通信。这些其他安全性密钥(诸如K_UP和K_RRC)可以分别用于保护通过DRB或SRB传送的话务，如例如在3GPP TS 33.401中定义的。

在1580，AN 405-l可以向无线设备115-k传送AS安全性模式命令消息。 AS安全性模式命令消息可以指示将由无线设备115-k用于与LAN 440-e安全地通信的特定密码套件，并且可包括使用K_AN来证明AN知晓K_AN的消息完整码。

在1585，无线设备115-k可以通过向AN 405-l传送AS安全性模式命令完成消息来响应在1580接收的AS安全性模式命令消息。AS安全性模式命令完成消息可包括使用K_AN来证明无线设备知晓K_AN的消息完整码。

在1590，AN 405-l可以向无线设备115-k传送RRC连接重配置消息，以确立至少部分地基于K_AN来保护哪些DRB和SRB。

在1595，无线设备115-k可以配置在1590标识出的RB，并且可以通过向AN 405-l传送RRC连接重配置完成消息来响应在1590接收的RRC连接重配置消息。此后，无线设备115-k可以通过在受保护的DRB上传送具有其MAC 地址的以太网分组来与LAN 440-e(例如，与LAN440-e的LAN DS 446)安全地通信。

图16示出了根据本公开的各个方面的用于执行与LAN 440-f的安全连接从源AN405-m到目标AN 405-n的快速转换的示例消息流1600。消息流1600 解说了无线设备115-l、源AN 405-m、目标AN 405-n、和中央密钥生成节点 805-b之间的消息。无线设备115-l可以是参考图1、2、4、6、8、9、10、11 和12描述的无线设备115的各方面的示例。源AN 405-m和目标AN 405-n可以是参考图4、6、8、9、10、11和12描述的AN 405的各方面的示例。中央密钥生成节点805-b可以是参考图8和15描述的中央密钥生成节点805的各方面的示例。

在消息流1600中，在无线设备115-l与源AN 405-m之间、或者在无线设备115-l与目标AN 405-n之间传送的消息可以在至少部分地基于蜂窝RAT(例如，LTE/LTE-A RAT)(例如，实现蜂窝RAT的各方面)的连接上传送。在使用所描述技术中的一些或全部的替换消息流中，可以在无线设备115-l与源 AN 405-m之间、或者在无线设备115-l与目标AN 405-n之间在至少部分地基于另一类型RAT的连接上传送消息。在一些示例中，在无线设备115-l与源AN 405-m之间、或者在无线设备115-l与目标AN 405-n之间传送的消息可以是3GPP TS36.300、TS 36.331或TS 33.401中描述的消息，或者是至少部分地以3GPP TS 36.300、TS36.331或TS 33.401中描述的消息为基础的消息。本公开描述了在无线设备115-l、源AN405-m、目标AN 405-n、和中央密钥生成节点805-b之间传送的消息的参数，这些参数与所描述的技术相关。在一些示例中，这些消息可包括其他参数，诸如3GPP TS 36.300、TS 36.331或TS 33.401 中描述的其他参数。

在1605，无线设备115-l可以连接到源AN 405-m(例如，经由第一连接，其可以例如根据参考图13和15描述的消息流1300和/或1500的操作来建立)，并且源AN 405-m可以向无线设备115-l传送RRC连接重配置消息，以确立至少部分地基于第一安全性密钥K_AN来保护哪些DRB和SRB。在一些示例中， RRC连接重配置消息可以为无线设备115-l提供测量配置。测量配置可以使无线设备115-l能够测量与源AN 405-m和潜在目标AN(例如，包括目标AN405-n)的通信的参数。这些测量出的参数随后可以被提供给LAN 440-f以支持基于网络的移动性操作，如根据本公开所描述的。LAN 440-f的基于网络的移动性操作与传统LAN 340(例如，参考图7描述的传统LAN 340-b)形成对比，传统LAN 340可以根据以STA为中心的移动性操作来操作。因此，如本文所述，与传统LAN 340相比，支持LAN 440-f的基于网络的移动性操作的修改可以改进切换操作，包括与FT参数交换有关的切换操作。

响应于接收到RRC连接重配置消息，无线设备115-l可以配置所标识出的 RB，并且通过向源AN 405-m传送RRC连接重配置完成消息(未示出)来响应RRC连接重配置消息。在一些示例中，RRC连接重配置消息和RRC连接重配置完成消息可以是在参考图13描述的消息流1300中的1380和1385传送的 RRC连接重配置消息和RRC连接重配置完成消息的各方面的示例。

在1610，无线设备115-l可以经由与源AN 405-m的第一连接通过在受保护的DRB上传送具有其MAC地址的以太网分组来与LAN 440-f(例如，与 LAN 440-f的LAN DS 446)安全地通信。

在1615，无线设备115-l可以使用在1605接收的测量配置来测量从目标 AN 405-n接收的通信。例如，无线设备115-l可以测量从目标AN 405-n接收的通信的信号强度。

在1620，无线设备115-l可以接收由目标AN 405-n广播的系统信息(例如，SIB)。系统信息可包括例如参考图13描述的消息流1300的1305处的 SIB、参考图14描述的消息流1400的1420处的SIB、和/或参考图15描述的消息流1500的1505处的SIB的任何信息。在一些示例中，无线设备115-l可以仅解码所接收的系统信息的一部分，例如足够的系统信息以获得目标AN 405-n的PCI或CGI。

在1625，无线设备115-l可以将测量报告传送给源AN 405-m。除了标识信息(诸如目标AN 405-n的PCI或CGI)之外，测量报告还可包括与来自目标AN 405-n的通信的测量有关的信息。测量报告可包括随机参数，诸如一次性数(例如，Nonce-UE)、或Nonce-UE-ID，该Nonce-UE-ID可以由源AN 405-m 用于在消息流1600的稍后阶段标识特定Nonce-UE。

根据本公开的各方面，无线设备115-l可以向源AN 405-m传送与认证有关的FT参数集以缓存在源AN 405-m处，从而将用于后续切换的FT参数委托给源AN 405-m。FT参数可包括密钥材料和/或与无线设备115-l的身份有关的信息，包括例如与请求方密钥持有者标识符(例如，S1KH-ID)有关的信息、与第一认证方密钥持有者ID有关的信息、与安全性密钥有关的信息、快速基本服务集(BSS)转换参数集、或其组合。FT参数可以在各种消息中提供给源 AN 405-m，包括在1610处的UL数据中、与1625处的测量报告一起、或者与在无线设备115-l和源AN 405-m之间的连接建立期间交换的其他消息(例如，如参考图13和15描述的消息流1300和1500所描述的)一起。在一些示例中，无线设备115-l传送FT参数可以至少部分地基于接收到对支持基于网络的FT 的指示，如参考图13和15所述。随后，源AN 405-m可以缓存FT参数集以在切换期间进行转发。

在1630，源AN 405-m可以至少部分地基于该测量报告来确定要发起无线设备115-l从源AN 405-m到目标AN 405-n的切换。

在1635，源AN 405-m可以向目标AN 405-n传送HO请求消息。HO请求消息可包括无线设备的上下文。在一些示例中，HO请求消息可以是经由LAN 440-f路由的X2消息(例如，经由LAN 440-f的LAN DS 446)。在一些示例中，源AN 405-m可以通过至少部分地基于来自无线设备115-l的测量报告中所包括的PCI或CGI对查找表进行索引来检索目标AN 405-n的传输地址。HO 请求消息还可包括例如FT参数，诸如S1KH-ID(例如，无线设备115-l的MAC 地址)、R0KH-ID(例如，中央密钥生成节点805-b的ID)、从PMKR0推导出的PMKR0Name(如例如由IEEE 802.11r定义的)、Nonce-UE(以及最终的 Nonce-UE-ID)、无线设备115-l的能力信息(例如，无线设备115-l支持的密码套件)、或其组合。

通过在源AN 405-m处缓存无线设备115-l的FT参数，并且在切换期间从源AN 405-m向目标AN 405-n提供FT参数，与不支持此类操作的传统LAN 340 相比，LAN 440-f可以提供改进的切换操作。例如，由于LAN 440-f已被修改成支持各AN 405之间的FT参数交换，因此源AN 405-m和目标AN 405-n可以已经建立了支持在各AN 405之间直接交换此类安全性参数的安全性协议。另一方面，在传统协议下操作的传统LAN 340(例如，参考图7描述的传统 LAN 340-b)可能在各AP 244之间不具有这种所建立的信任，因此将不支持此类交换(例如，在R1密钥持有者之间)。

此外，因为LAN 440-f利用基于网络的移动性操作进行操作，所以切换决定和操作可以由LAN 440-f中的各种设备来协调，如本文所述。相应地，虽然切换操作由LAN 440-f的设备发起和执行，但是无线设备115-l可以与源AN 405-m并发地连接并且经由源AN 405-m进行通信，并且此类切换决定和操作对无线设备115-l而言可以是透明的。另一方面，传统LAN 340(例如，参考图7描述的传统LAN 340-b)执行以STA为中心的移动性操作，并且相应地可能不支持这种并发连接。确切而言，在传统LAN 340的以STA为中心的移动性协议下，STA 242可以执行与源AP 244的通信，确定要与目标AP 244连接，并且在执行切换操作以与目标AP 244建立连接时可能经历显著的通信中断。在1640，在使用中央密钥生成节点805-b来提供使用FT参数的经更新安全性密钥的示例中，代表新R1KH的目标AN 405-n可以至少部分地基于R0KH-ID 来标识中央密钥生成节点805-b，并将FT信息(例如，从无线设备115-l接收的FT参数的至少一部分)转发给中央密钥生成节点805-b。所转发的信息可包括例如S1KH-ID(例如，无线设备115-l的MAC地址)、R1KH-ID(例如，目标AN 405-n的MAC地址)、PMKR0Name、和R0KH-ID。

在1645，中央密钥生成节点805-b可以至少部分地基于S1KH-ID和 PMKR0Name来检索PMKR0。在1650，中央密钥生成节点805-b可以使用KDF (例如，由IEEE 802.1i用于从PMK推导PTK的KDF)至少部分地基于 S1KH-ID和目标AN 405-n的R1KH-ID来推导出PMKR1。在1655，中央密钥生成节点805-b可以使用安全连接将PMKR1传送给目标AN 405-n。

在1660，目标AN 405-n可以选择随机参数(例如，Nonce-AN)并从 PMKR1、Nonce-AN、和Nonce-UE推导出新的会话密钥K_AN。目标AN 405-n 可以在1665用HO请求ACK消息来响应来自源AN 405-m的HO请求。HO 请求ACK消息可包括保持供无线设备115-l连接到目标AN405-n的RRC配置的容器。RRC配置可包括至少部分地基于FT参数的安全性参数集。该安全性参数集可包括例如Nonce-AN、Nonce-UE-ID、R1KH-ID(例如，目标AN 405-n 的MAC地址)、密钥生存期区间、重新连接期限区间、密码套件选择器、以及使用K_AN来证明知晓该安全性密钥的消息完整性码(MIC)。因为K_AN是在 1660至少部分地基于1650的PMKR1推导出的，并且PMKR1是在1650至少部分地基于无线设备115-l的S1KH-ID(FT参数的示例)推导出的，那么至少因该安全性参数集包括使用K_AN来证明知晓该安全性密钥的MIC，该安全性参数集因此可以至少部分地基于FT参数。然而，存在其他示例，其中所交换的 FT参数可以用于生成安全性参数集，其可以由源AN 405从目标AN 405转发给无线设备115，以促进网络协调的无线设备115从源AN 405到目标AN 405 的切换。

在1670，源AN 405-n可以在RRC连接重配置消息中将从目标AN 405-n 获得的RRC配置转发给无线设备115-l。此时，无线设备115-l和目标AN 405-n 保持用于无线设备115-l和目标AN 405-n之间的直接蜂窝连接的RRC配置(包括目标AN 405-n的R1KH-ID)、以及随机参数Nonce-UE和Nonce-AN。在 1675和1680，无线设备115-l可以推导出PMKR1和会话密钥K_AN，并且可以验证随RRC连接重配置消息所包括的安全性参数集中包含的MIC。

在1685，无线设备115-l可以与目标AN 405-n执行RACH握手。

在1690，无线设备115-l可以向目标AN 405-n传送RRC连接重配置完成消息，从而建立受保护的DRB，其中该保护至少部分地基于安全性密钥K_AN。 RRC连接重配置完成消息可包括使用K_AN来证明知晓该密钥的MIC。目标AN 405-n可以验证MIC。受保护的DRB可以用于与LAN 440-f(例如，与LAN 440-f 的LAN DS 446)交换以太网话务。RRC配置还可以建立用于RRC消息的SRB，并且可以建立可用于与认证服务器410(未示出)执行认证规程的第二DRB，如由关于无线设备115-l是否需要与认证服务器410执行认证握手的指示所指明的。

在1695，无线设备115-l可以使用受保护的DRB与LAN 440-f(例如，与LAN 440-f的LAN DS 446)交换UL和DL以太网话务。受保护的DRB可以至少部分地基于安全性密钥K_AN来保护。

因此，如本文所述，用于无线设备115-l和LAN 440-f之间的通信的消息流1600有利地支持其中LAN 440-f提供基于网络的移动性操作的经修改办法，其中无线设备115-l可以提供FT参数，该FT参数被委托以在LAN 440-f的各 AN 405(例如，源AN 405-m和目标AN405-n)之间直接进行交换。这些FT 参数可以由LAN 440-f的设备(例如，源AN 405-m、目标AN 405-n、和中央密钥生成节点805-b)用来促进各AN 405之间更平顺的切换，以及执行对无线设备115-l而言透明的切换操作，并且在此类切换操作发生时支持无线设备 115-l与LAN 440-f之间的并发通信，从而与在根据传统LAN 340的协议(例如，Wi-Fi协议)进行操作时可能经历的通信中断相比减少切换期间的通信中断。

图17示出了根据本公开的各个方面的设备1705的框图1700，其支持用于经由AN405在无线设备115和LAN 440之间建立安全连接的经修改技术。设备1705可以是如参考图1、2、4、6、8和9-16描述的无线设备115的各方面的示例。设备1705可包括接收机1710、无线设备通信管理器1715、和发射机1720。设备1705还可包括处理器。这些组件中的每一者可彼此处于通信(例如，经由一条或多条总线)。

接收机1710可接收信息，诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如，控制信道、数据信道、以及与用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术相关的信息等)。所接收的信息可被传递到设备1705的其他组件。接收机1710可以是参照图19描述的收发机1935的各方面的示例。接收机1710可包括或关联于单个天线或多个天线。

发射机1720可传送由设备1705的其他组件生成的信号。在一些示例中，发射机1720可以与接收机1710共处于收发机模块中。例如，发射机1720可以是参照图19描述的收发机1935的各方面的示例。发射机1720可包括或关联于单个天线或多个天线。

无线设备通信管理器1715和/或其各种子组件中的至少一些子组件可用硬件、由处理器执行的软件、固件、或其任何组合来实现。如果在由处理器执行的软件中实现，则无线设备通信管理器1715和/或其各种子组件中的至少一些子组件的功能可由设计成执行本公开中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来执行。无线设备通信管理器1715和/或其各种子组件中的至少一些子组件可物理地位于各种位置(包括被分布)，以使得功能的各部分在不同物理位置处由一个或多个物理设备来实现。在一些示例中，根据本公开的各个方面，无线设备通信管理器1715和/或其各种子组件中的至少一些子组件可以是单独和不同的组件。在其他示例中，根据本公开的各方面，无线设备通信管理器1715和/ 或其各种子组件中的至少一些子组件可以与一个或多个其他硬件组件(包括但不限于I/O组件、收发机、网络服务器、另一计算设备、本公开中所描述的一个或多个其他组件、或其组合)进行组合。无线设备通信管理器1715还可以是参照图19描述的无线设备通信管理器1915的各方面的示例。

在无线设备通信管理器1715支持如本文所述的用于经由AN 405与LAN 440建立安全连接的经修改技术的示例中，无线设备通信管理器1715可以(例如，与接收机1710和/或发射机1720协作)与LAN 440的AN 405建立连接，确定要执行认证，接收用于认证的协议端点为NAS层或RRC层的指示，并基于所接收的指示经由与AN 405建立的连接来与该协议端点执行认证。

在无线设备通信管理器1715支持如本文所述的用于将与LAN 440的连接从源AN405切换到目标AN 405的经修改技术的示例中，无线设备通信管理器1715可以(例如，与接收机1710和/或发射机1720协作)基于第一安全性密钥经由与LAN 440的源AN 405的第一连接来与LAN 440安全地通信，执行从LAN 440的源AN 405到LAN 440的目标AN 405的切换，基于第一安全性密钥推导出第二安全性密钥，基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN 440的目标AN 405的第二连接来与LAN 440安全地通信，经由第二连接与关联于LAN 440的目标AN 405的认证节点执行认证规程以获得第三安全性密钥，第三安全性密钥不受该限制策略的约束，并且基于第三安全性密钥经由与LAN 440的目标AN 405的第二连接来与该LAN 440安全地通信。

在无线设备通信管理器1715支持用于将与LAN 440的连接从源AN 405 快速转换到目标AN 405的经修改技术的示例中，无线设备通信管理器1715 可以(例如，与接收机1710和/或发射机1720协作)通过第一连接向LAN 440 的源AN 405传送与认证有关的FT参数集以缓存在源AN 405处以供切换，通过第一连接从源AN 405接收用于确定用于切换的AN405的配置，通过第一连接从源AN 405接收要执行到LAN 440的目标AN 405的切换的命令，该命令包括与无线设备115和目标AN 405之间的安全通信相关联的安全性参数集，该安全性参数集基于该FT参数集，以及基于该安全性参数集经由与目标AN 405的第二连接来与LAN 440安全地通信。

图18示出了根据本公开的各个方面的无线设备通信管理器1815的框图 1800，其支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术。无线设备通信管理器1815可以是参考图17和19描述的无线设备通信管理器1715或无线设备通信管理器1915的各方面的示例。无线设备通信管理器1815可包括无线设备连接管理器1820、无线设备认证管理器1825、无线设备LAN通信管理器1830、无线设备切换管理器1835、无线设备密钥管理器1840、无线设备FT管理器1845、以及无线设备承载管理器 1850。这些模块中的每一者可彼此直接或间接通信(例如，经由一条或多条总线)。无线设备通信管理器1815还可以与发射机和接收机(未示出) 通信，发射机和接收机可以是参考图17描述的接收机1710和/或发射机 1720的各方面的示例。无线设备通信管理器1815可以与发射机和/或接收机协作地操作，以支持本文描述的各种操作。

无线设备连接管理器1820可以与LAN 440的AN 405建立连接，如本文所述的。在一些示例中，无线设备连接管理器1820可以接收与AN 405相关联的标识符，基于所接收的标识符来检索AN 405的配置，并且基于所接收的AN 405的配置信息来与之建立连接。在一些示例中，由无线设备连接管理器1820 建立的连接可以是使用蜂窝RAT来建立的。在一些示例中，无线设备连接管理器1820可以选择用于执行随机接入规程的至少一个资源，并且使用所选择的至少一个资源与AN 405执行随机接入规程，其中所选择的用于执行随机接入规程的至少一个资源包括将与认证器执行认证的指示。

无线设备认证管理器1825可以管理在无线设备115和LAN 440之间执行的认证的各方面，如本文所述的。例如，无线设备认证管理器1825可以确定要执行认证，接收用于认证的协议端点为NAS层或RRC层的指示，并且基于所接收的指示经由与AN 405建立的连接来与该协议端点执行认证。在一些情形中，确定要执行认证可包括选择与AN 405共处一地的认证器、或者主存在 LAN 440的与AN 405分开的节点处的认证器(第二认证器)、或这两者来执行认证。在一些情形中，无线设备认证管理器1825可以基于存储在无线设备 115处的关于AN 405的配置来确定要执行认证。

在一些示例中，无线设备认证管理器1825可以接收关于AN 405使用认证器执行认证的指示，并且确定要执行认证可以基于接收到关于AN 405使用认证器执行认证的指示。在一些情形中，关于AN 405使用认证器执行认证的指示是在以下至少一者中接收的：系统信息、对无线设备115的查询的响应、 RACH建立消息、或其组合。在一些示例中，无线设备认证管理器1825可以向AN 405传送将与该认证器执行认证的指示。在一些情形中，所传送的将与该认证器执行认证的指示是在RRC连接建立消息中传送的。

在各种示例中，可以在RRC层和/或NAS层上执行认证。在一些情形中，通过RRC层或以太网执行认证(例如，将认证消息封装在以太网分组中，以便通过NAS层经由AN和LAN从无线设备传输到认证器)。在一些情形中，可以与认证节点(诸如无线LAN控制器)执行认证，并且认证规程可以基于：请求方密钥持有者ID、认证方密钥持有者ID、PMK ID、PMK名称、或其组合。在一些情形中，认证节点包括认证服务器，并且认证规程可以基于EAP。在一些情形中，用于认证的协议端点包括认证器，并且执行认证包括无线设备认证管理器1825通过与同AN 405建立的连接相关联的无线电承载来与认证器交换认证信息。在一些情形中，认证可以基于通过在与同AN 405建立的连接相关联的无线电承载上执行的可扩展认证协议(EAP)。

在一些示例中，无线设备认证管理器1825可以接收AN 405使用第二认证器执行认证的指示，其中第二认证器被包含在与AN 405相关联的CN(例如，包括AN 405的LAN 440的CN 130、单独的蜂窝运营商网络的CN 130等) 中。在此类示例中，无线设备认证管理器1825可以确定要经由AN 405与第二认证器执行第二认证。在一些情形中，第二认证是在NAS层上执行的。

在一些示例中，无线设备认证管理器1825可以支持用于将与LAN 440的连接从源AN 405切换到目标AN 405的经修改技术。例如，无线设备认证管理器1825可以经由与LAN440的目标AN 405建立的连接来执行认证规程。该认证规程可以经由至少部分地基于临时安全性密钥(例如，受限制策略约束的密钥)的通信来执行。可以与同目标AN 405相关联的认证节点来执行经由目标AN 405的认证，并且与认证节点的认证可以提供不受安全性密钥限制策略约束的安全性密钥。

无线设备LAN通信管理器1830可以管理由无线设备115执行以支持与 LAN 440的安全通信的操作，如本文所述的。例如，无线设备LAN通信管理器1830可以支持基于安全性密钥经由与LAN 440的AN 405的连接来与LAN 440安全地通信。在一些示例中，无线设备LAN通信管理器1830可以基于所生成的安全性密钥经由与同AN 405建立的连接相关联的无线电承载通过该连接来安全地与LAN 440通信。

在一些示例中，由无线设备LAN通信管理器1830执行的安全通信可以基于不同的安全性密钥，并且基于不同安全性密钥的通信可以在不同时间发生。在一些示例中，无线设备LAN通信管理器1830可以从基于第一安全性密钥与 LAN 440安全地通信切换到基于第二安全性密钥与LAN 440安全地通信，并且该切换可以基于：从目标AN 405接收的配置消息、第二安全性密钥的可用性、或其组合。

在一些示例中，无线设备LAN通信管理器1830可以基于安全性密钥和用于该安全性密钥的限制策略来与LAN 440安全地通信。在一些情形中，用于安全性密钥的限制策略包括以下至少一者：安全性密钥有效以用于经由第二连接与LAN 440安全地通信的时间区间、安全性密钥有效以用于经由第二连接与LAN 440安全地通信的分组数量、安全性密钥有效以用于经由第二连接与 LAN 440安全地通信的一个或多个无线电承载的集合、安全性密钥有效以用于经由第二连接与LAN 440安全地通信的无线电承载类型、或其组合。无线设备LAN通信管理器1830可以在以下至少一者中接收用于安全性密钥的限制策略：从LAN 440接收的配置信息、从LAN 440的源AN 405接收的切换命令消息、从目标AN 405接收的配置信息、或其组合。

无线设备切换管理器1835可以管理由无线设备115执行以支持从源AN 405切换到目标AN 405的操作，如本文所述的。例如，无线设备切换管理器 1835可以从LAN 440的源AN405接收用于确定用于切换的AN 405的配置。该配置可以与无线设备115的测量配置相关联，并且无线设备切换管理器1835 可以随后测量从LAN 440的目标AN 405接收的至少一个信号。

无线设备切换管理器1835随后可以向源AN 405传送包括与目标AN 405 有关的信息的测量报告，与目标AN 405有关的该信息基于该配置，然后从源 AN 405接收要执行到LAN 440的目标AN 405的切换的命令。要执行切换的命令可包括用于目标AN 405的配置信息、和/或基于由无线设备115提供的FT 参数集的与无线设备115和目标AN 405之间的安全通信相关联的安全性参数集。在一些情形中，该安全性参数集包括以下至少一者：与密钥持有者标识符 (ID)有关的信息、密码套件选择参数、安全性密钥有效的时间区间、随机参数、随机参数标识符、知晓安全性密钥的证明、或其组合。无线设备切换管理器1835可以接收切换命令(例如，基于测量来自目标AN 405的信号)，并且执行从LAN 440的源AN 405到LAN440的目标AN 405的切换。

无线设备密钥管理器1840可以执行与无线设备115处的密钥生成和管理相关联的操作，如本文所述的。例如，无线设备密钥管理器1840可以基于所交换的认证信息和/或随机参数来生成安全性密钥，如本文所述的。在一些示例中，无线设备密钥管理器1840可以基于另一安全性密钥推导出安全性密钥(例如，受使用策略约束的临时安全性)。在一些示例中，无线设备密钥管理器1840 可以向目标AN 405传送知晓基于FT参数集、安全性参数集、或其组合的安全性密钥的证明。

无线设备FT管理器1845可以管理由无线设备115执行的与从源AN 405 到目标AN405的快速转换相关联的操作，如本文所述的。例如，无线设备FT 管理器1845可以通过第一连接向LAN 440的源AN 405传送与认证有关的FT 参数集以缓存在源AN 405处以用于切换。在一些示例中，无线设备FT管理器1845可以从源AN 405接收对支持基于网络的FT的指示，可以基于接收到对支持基于网络的FT的指示而将该FT参数集传送给源AN 405。在一些情形中，该FT参数集包括以下至少一者：与请求方密钥持有者ID有关的信息、与第一认证方密钥持有者ID有关的信息、与安全性密钥有关的信息、快速基本服务集(BSS)转换参数集、或其组合。

无线设备承载管理器1850可以管理无线设备115处与无线电承载(例如，关联于与AN 405建立的连接)相关联的操作，如本文所述的。例如，无线设备承载管理器1850可以基于安全性密钥建立一个或多个无线电承载。在一些情形中，可以在与同AN 405建立的连接相关联的无线电承载上执行认证。在一些情形中，由无线设备承载管理器1850管理的一个或多个无线电承载可包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

图19示出了根据本公开的各个方面的包括设备1905的系统1900的示图，设备1905支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术。设备1905可以是参考图1、2、4、6、8和9-18描述的无线设备115或设备1705的示例或包括其组件。设备1905可包括用于双向语音和数据通信的组件，包括用于传送和接收通信的组件，包括无线设备通信管理器 1915、处理器1920、存储器1925、软件1930、收发机1935、天线1940、以及I/O控制器1945。这些组件可以经由一条或多条总线(例如，总线1910)处于电子通信。

处理器1920可包括智能硬件设备(例如，通用处理器、DSP、中央处理单元(CPU)、微控制器、ASIC、FPGA、可编程逻辑器件、分立的门或晶体管逻辑组件、分立的硬件组件，或其任何组合)。在一些情形中，处理器1920 可被配置成使用存储器控制器来操作存储器阵列。在其他情形中，存储器控制器可被集成到处理器1920中。处理器1920可以被配置成执行存储在存储器中的计算机可读指令以执行各种功能(例如，支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术的功能或任务)。

存储器1925可包括随机存取存储器(RAM)和只读存储器(ROM)。存储器1925可存储包括指令的计算机可读、计算机可执行软件1930，这些指令在被(例如，处理器1920)执行时使得设备1905执行本文所描述的各种功能。在一些情形中，存储器1925可尤其包含基本输入/输出系统(BIOS)，该BIOS 可控制基本硬件和/或软件操作，诸如与外围组件或设备的交互。

软件1930可包括用于实现本公开的各方面的代码，包括用于支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术的代码。软件1930可被存储在非瞬态计算机可读介质(诸如系统存储器或其他存储器) 中。在一些情形中，软件1930可以不由处理器直接执行，但可使得计算机(例如，在被编译和执行时)执行本文中所描述的功能。

收发机1935可经由一个或多个天线、有线或无线链路进行双向通信，如上所述。例如，收发机1935可表示无线收发机并且可与另一无线收发机进行双向通信。收发机1935还可包括调制解调器以调制分组并将经调制的分组提供给天线以供传输、以及解调从天线接收到的分组。在一些情形中，设备1905 可包括单个天线1940。然而，在一些情形中，设备1905可具有一个以上天线 1940，这些天线可以能够并发地传送或接收多个无线传输。

I/O控制器1945可管理设备1905的输入和输出信号。I/O控制器1945还可管理未被集成到设备1905中的外围设备。在一些情形中，I/O控制器1945 可代表至外部外围设备的物理连接或端口。在一些情形中，I/O控制器1945可以利用操作系统，诸如

或另一已知操作系统。在其他情形中，I/O控制器1945可表示调制解调器、键盘、鼠标、触摸屏或类似设备或者与其交互。在一些情形中，I/O控制器1945可被实现为处理器的一部分。在一些情形中，用户可经由I/O控制器1945或者经由I/O控制器1945所控制的硬件组件来与设备1905交互。

无线设备通信管理器1915可以是参考图17和18描述的无线设备通信管理器1715和1815的各方面的示例。无线设备通信管理器1915可以执行与本文所述的经由AN 405与LAN 440建立安全连接有关的各种操作，和/或可以管理至少部分地由设备1905的其他部分执行的此类操作的各方面。例如，无线设备通信管理器1915可以与收发机1935和天线1940和/或I/O控制器1945协作地执行通信操作。在一些示例中，无线设备通信管理器1915可以实施在独立处理器中，并且可以与处理器1920协调地执行操作。在一些示例中，无线设备通信管理器1915可以实施为软件/固件代码(例如，存储在存储器1925 中或无线设备1905上的其他地方)，并由处理器1920执行。

图20示出了根据本公开的各个方面的设备2005的框图2000，其支持用于经由AN405在无线设备115和LAN 440之间建立安全连接的经修改技术。设备2005可以是参考图1所描述的AN 405的各方面的示例。设备2005可包括接收机2010、AN通信管理器2015、以及发射机2020。设备2005还可包括处理器。这些组件中的每一者可彼此处于通信(例如，经由一条或多条总线)。

接收机2010可接收信息，诸如分组、用户数据、或与各种信息信道相关联的控制信息(例如，控制信道、数据信道、以及与用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术相关的信息等)。所接收的信息可被传递到设备2005的其他组件。接收机2010可以是参照图22描述的收发机2235的各方面的示例。接收机2010可包括或关联于单个天线或多个天线。

发射机2020可传送由设备2005的其他组件生成的信号。在一些示例中，发射机2020可以与接收机2010共处于收发机模块中。例如，发射机2020可以是参照图23描述的收发机2235 的各方面的示例。发射机2020可包括单个天线，或者它可包括天线集合。

AN通信管理器2015和/或其各种子组件中的至少一些子组件可用硬件、由处理器执行的软件、固件、或其任何组合来实现。如果在由处理器执行的软件中实现，则AN通信管理器2015和/或其各个子组件中的至少一些的功能可以由设计成执行本公开中描述的功能的通用处理器、DSP、ASIC、FPGA或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来执行。AN通信管理器2015和/或其各种子组件中的至少一些子组件可物理地位于各种位置(包括被分布)，以使得功能的各部分在不同物理位置处由一个或多个物理设备来实现。在一些示例中，根据本公开的各个方面，AN通信管理器2015和/或其各种子组件中的至少一些子组件可以是单独和不同的组件。在其他示例中，根据本公开的各方面，AN通信管理器2015和/或其各种子组件中的至少一些子组件可以与一个或多个其他硬件组件(包括但不限于 I/O组件、收发机、网络服务器、另一计算设备、本公开中所描述的一个或多个其他组件、或其组合)进行组合。AN通信管理器2015也可以是参照图22 描述的AN通信管理器2215的各方面的示例。

在AN通信管理器2015支持如本文所述的用于经由AN 405与LAN 440 建立安全连接的经修改技术的示例中，AN通信管理器2015可以建立与无线设备115的连接，确定无线设备115已确定要执行认证，传送用于认证的协议端点为非接入阶层(NAS)层或RRC层的指示，以及提供用于无线设备115和该协议端点之间的认证的通信。

在AN通信管理器2015支持如本文所述的用于将与LAN 440的连接从源 AN 405切换到目标AN 405的经修改技术的示例中，目标AN 405处的AN通信管理器2015可以与无线设备115建立连接，从LAN 440的第一网络节点(例如，源AN 405)接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联，中继与在无线设备115和LAN 440的第二网络节点(例如认证节点，诸如认证服务器410)之间执行的认证规程相关联的认证信息，基于经中继的认证信息从LAN 440的第二网络节点接收第二安全性密钥，基于第一安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信，其中第一安全性密钥的使用是由用于第一安全性密钥的限制策略确定的，以及基于第二安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信，其中第二安全性密钥的使用不受该限制政策约束。

在AN通信管理器2015支持用于将与LAN 440的连接从源AN 405快速转换到目标AN405的经修改技术的示例中，源AN 405处的AN通信管理器 2015可以通过第一连接从无线设备115接收与认证有关的FT参数集，缓存该 FT参数集以用于在切换期间进行转发，在切换期间将该FT参数集传送给LAN 440的目标AN 405，从目标AN 405接收与无线设备115和目标AN 405之间的安全通信相关联的安全性参数集，该安全性参数集基于该FT参数集，以及通过第一连接向无线设备115传送执行到目标AN 405的切换的命令，该命令包括该安全性参数集。

图21示出了根据本公开的各个方面的AN通信管理器2115的框图2100，其支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术。AN通信管理器2115可以是参考图20和23描述的AN通信管理器 2015或AN通信管理器2315的各方面的示例。AN通信管理器2115可包括 AN连接管理器2120、AN认证管理器2125、AN认证通信管理器2130、AN 密钥管理器2135、AN LAN通信管理器2140、AN FT管理器2145、AN切换管理器2150、AN承载管理器2155、和AN认证器2160。这些模块中的每一者可彼此直接或间接通信(例如，经由一条或多条总线)。AN通信管理器 2115还可以与发射机和接收机(未示出)通信，发射机和接收机可以是参考图20描述的接收机2010和/或发射机2020的各方面的示例。AN通信管理器2115可以与发射机和/或接收机协作地操作，以支持本文描述的各种操作。

AN连接管理器2120可以与无线设备115建立连接。在一些情形中，可以使用蜂窝RAT、或者至少部分地基于蜂窝RAT来建立连接。

AN认证管理器2125可以管理由AN 405执行的认证操作。例如，AN认证管理器2125可以传送关于AN 405使用认证器执行认证的指示。在一些情形中，关于AN 405使用认证器执行认证的指示是在以下至少一者中传送的：系统信息、对无线设备115的查询的响应、RACH建立消息、或其组合。在一些情形中，该安全性参数集基于至少一个随机参数。

响应于所传送的认证端点为认证器的指示，AN认证管理器2125可以从无线设备115接收将与该认证器执行与无线设备115的认证的指示。在一些情形中，将与该认证器执行认证的指示是在RRC连接建立消息中接收的。在一些情形中，将与该认证器执行认证的指示是在至少一个资源上来自无线设备 115的随机接入消息中接收的。

在一些示例中，AN认证管理器2125可以确定无线设备115已经确定要执行认证，并且传送用于认证的协议端点为NAS层或RRC层的指示。AN认证管理器2125还可以传送关于AN405使用被包含在与AN 405相关联的CN (例如，包括AN 405的LAN 440的CN 130、单独的蜂窝运营商网络的CN 130 等)中的认证器来执行认证的指示。在一些示例中，AN认证管理器2125可以确定无线设备115已经确定要与另一认证器执行后续认证，其中该另一认证器被包含在与AN 405通信的CN中。

在一些示例中，AN认证管理器2125可以通过在AN 405和无线设备115 之间建立的连接来交换至少一个随机参数，将该至少一个随机参数传送给目标 AN 405。AN认证管理器2125还可以将与安全性密钥相关联的限制策略传送到以下至少一者：目标AN 405、无线设备115、或其组合。

在一些情形中，用于执行认证的认证节点包括无线LAN控制器，并且认证规程基于：请求方密钥持有者ID、认证方密钥持有者ID、PMK ID、PMK 名称、或其组合。在一些情形中，用于执行认证的认证节点包括认证服务器，并且认证规程基于EAP。

AN认证通信管理器2130可以管理AN 405的与认证通信有关的通信操作。例如，AN认证通信管理器2130可以提供用于无线设备115和被指示用于认证的协议端点之间的认证的通信。在一些情形中，提供用于认证的通信包括通过与无线设备115建立的连接来传送与认证规程有关的消息，并且认证规程可以基于EAP。AN认证通信管理器2130还可以传送与第二认证相关联的消息，并且中继与在无线设备115和LAN 440的另一网络节点之间执行的认证规程相关联的认证信息。在各种示例中，可以在RRC层、NAS层、或以太网上执行认证规程。

在一些情形中，在与连接相关联的第一无线电承载上执行认证规程，并且提供用于认证的通信包括：通过与同无线设备115建立的连接相关联的无线电承载来传送与认证相关联的消息。例如，AN认证通信管理器2130可以通过该无线电承载与无线设备115交换认证信息和/或随机参数。在一些示例中，在与该连接相关联的第二无线电承载上传送安全通信，与该连接相关联的第二无线电承载不同于与该连接相关联的第一无线电承载。在一些情形中，这些消息是通过RRC层传送的。

AN密钥管理器2135可以执行与AN 405处的密钥生成和管理相关联的操作，如本文所述的。例如，AN密钥管理器2135可以基于所交换的认证信息和 /或随机参数来生成安全性密钥。在一些示例中，AN密钥管理器2135可以从 LAN 440的第一网络节点(例如，源AN405)接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联，并且基于经中继的认证信息从LAN 440的第二网络节点(例如认证节点，诸如认证服务器)接收第二安全性密钥。在一些示例中，AN密钥管理器可以基于第二安全性密钥推导出第三安全性密钥，其中第三安全性密钥不受该限制策略的约束。

AN LAN通信管理器2140可以与无线设备115建立连接，如本文所述的。例如，ANLAN通信管理器2140可以基于安全性密钥经由所建立的连接在无线设备115和LAN 440之间传送安全通信。在一些示例中，AN LAN通信管理器2140可以通过连接经由与该连接相关联的无线电承载来与LAN 440安全地通信。

在各种示例中，安全性密钥的使用可以或可以不由用于该安全性密钥的限制策略来确定。在一些情形中，用于安全性密钥的限制策略包括以下至少一者：安全性密钥有效以供无线设备115经由该连接与LAN 440安全地通信的时间区间、安全性密钥有效以供无线设备115经由该连接与LAN 440安全地通信的分组数量、安全性密钥有效以供无线设备115经由该连接与LAN 440安全地通信的一个或多个无线电承载的集合、安全性密钥有效以供无线设备115 经由该连接与LAN 440安全地通信的无线电承载类型、或其组合。在一些示例中，AN LAN通信管理器2140可以从基于第一安全性密钥在无线设备115 和LAN 440之间传送安全通信切换到基于第二安全性密钥在无线设备115和 LAN 440之间传送安全通信，其中该切换基于用于第一安全性密钥的限制策略、第二安全性密钥的可用性、或其组合。

AN FT管理器2145可以管理由AN 405执行的与从源AN 405到目标AN 405的快速转换相关联的操作，如本文所述的。例如，AN FT管理器2145可以通过与无线设备115建立的连接从无线设备115接收与认证有关的FT参数集，并且缓存该FT参数集以用于在切换期间进行转发。AN FT管理器2145 可以在切换期间将该FT参数集传送给LAN 440的目标AN 405。在一些示例中，AN FT管理器2145可以向无线设备115传送对支持基于网络的FT的指示。在一些情形中，该FT参数集包括以下至少一者：与请求方密钥持有者ID有关的信息、与第一认证方密钥持有者ID有关的信息、与安全性密钥有关的信息、快速基本服务集(BSS)转换参数集、或其组合。

AN切换管理器2150可以管理由AN 405执行以支持从源AN 405切换到目标AN 405的操作，如本文所述的。例如，AN切换管理器2150可以通过与无线设备115建立的连接向无线设备115传送用于确定用于切换的AN 405的配置。在一些示例中，AN切换管理器2150可以经由该连接从无线设备115 接收包括关于目标AN 405的信息的测量报告，与目标AN 405有关的该信息基于该配置。

在一些示例中，AN切换管理器2150可以从目标AN 405接收与无线设备 115和目标AN 405之间的安全通信相关联的安全性参数集，该安全性参数集基于该FT参数集，通过第一连接向无线设备115传送要执行到目标AN 405 的切换的命令，该命令包括该安全性参数集。在一些情形中，该安全性参数集包括以下至少一者：与密钥持有者ID有关的信息、密码套件选择参数、安全性密钥有效的时间区间、随机参数、随机参数标识符、知晓安全性密钥的证明、或其组合。

AN承载管理器2155可以管理AN 405处与无线电承载(例如，关联于与无线设备115建立的连接)相关联的操作，如本文所述的。在一些示例中， AN承载管理器2155可以基于安全性密钥建立一个或多个无线电承载。在一些情形中，由AN承载管理器2155管理的一个或多个无线电承载可包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

在一些示例中，AN认证器2160可以是与AN 405共处一地的认证器，并且AN认证器可以在AN 405处执行认证操作，如本文所述的。

图22示出了根据本公开的各个方面的包括设备2205的系统2200的示图，设备2205支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术。设备2205可以是参考图4、6、8、9-16和20描述的AN 405 或设备2005的示例或包括其组件。设备2205可包括用于双向语音和数据通信的组件，包括用于传送和接收通信的组件，包括AN通信管理器2215、处理器2220、存储器2225、软件2230、收发机2235、以及I/O控制器2240。这些组件可以经由一条或多条总线(例如，总线2210)处于电子通信。

处理器2220可包括智能硬件设备(例如，通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立的门或晶体管逻辑组件、分立的硬件组件，或者其任何组合)。在一些情形中，处理器2220可被配置成使用存储器控制器来操作存储器阵列。在其他情形中，存储器控制器可被集成到处理器2220中。处理器2220可以被配置成执行存储在存储器中的计算机可读指令以执行各种功能(例如，支持用于经由AN 405在无线设备115和LAN440 之间建立安全连接的经修改技术的功能或任务)。

存储器2225可包括RAM和ROM。存储器2225可存储包括指令的计算机可读、计算机可执行软件2230，这些指令在被(例如，处理器2220)执行时使设备2205执行本文所描述的各种功能。在一些情形中，存储器2225可尤其包含BIOS，其可以控制基本硬件和/或软件操作，诸如与外围组件或设备的交互。

软件2230可包括用于实现本公开的各方面的代码，包括用于支持用于经由AN 405在无线设备115和LAN 440之间建立安全连接的经修改技术的代码。软件2230可被存储在非瞬态计算机可读介质(诸如系统存储器或其他存储器) 中。在一些情形中，软件2230可以不由处理器直接执行，但可使得计算机(例如，在被编译和执行时)执行本文中所描述的功能。

收发机2235可经由一个或多个天线、有线或无线链路进行双向通信，如上所述。例如，收发机2235可表示无线收发机并且可与另一无线收发机进行双向通信。收发机2235还可包括调制解调器以调制分组并将经调制的分组提供给天线以供传输、以及解调从天线接收到的分组。在一些情形中，设备2205 可包括单个天线2237。然而，在一些情形中，设备2205可具有一个以上天线 2237，这些天线可以能够并发地传送或接收多个无线传输。

I/O控制器2240可管理设备2205的输入和输出信号。I/O控制器2240还可管理未被集成到设备2205中的外围设备。在一些情形中，I/O控制器2240 可代表至外部外围设备的物理连接或端口。在一些情形中，I/O控制器2240可以利用操作系统，诸如

或另一已知操作系统。在其他情形中，I/O控制器2240可表示调制解调器、键盘、鼠标、触摸屏或类似设备或者与其交互。在一些情形中，I/O控制器2240可被实现为处理器的一部分。在一些情形中，用户可经由I/O控制器2240或者经由I/O控制器2240所控制的硬件组件来与设备2205交互。

AN通信管理器2215可以是参考图20和21描述的AN设备通信管理器 2015和2115的各方面的示例。AN通信管理器2215可以执行与本文所述的与接入LAN 440的无线设备115建立安全连接有关的各种操作，和/或可以管理至少部分地由设备2205的其他部分执行的此类操作的各方面。例如，AN通信管理器2215可以与收发机2235和天线2237和/或I/O控制器2240协作地执行通信操作。在一些示例中，AN通信管理器2215可以实施在独立处理器中，并且可以与处理器2220协调地执行操作。在一些示例中，AN通信管理器2215 可以实施为软件/固件代码(例如，存储在存储器2225中或设备2205上的其他地方)，并由处理器2220执行。

图23示出了根据本公开的各个方面的解说支持经由AN 405在无线设备 115和LAN440之间建立安全连接的方法2300的流程图。方法2300的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法2300的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框2305，无线设备115可以与LAN 440的AN 405建立连接。框2305 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2305的操作的各方面可由如参照图18所描述的无线设备连接管理器1820来执行。

在框2310，无线设备115可以确定要执行认证。框2310的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2305的操作的各方面可由如参照图18所描述的无线设备认证管理器1825来执行。

在框2315，无线设备115可以接收用于认证的协议端点为NAS层或RRC 层的指示。框2315的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2315的操作的各方面可由如参照图18所描述的无线设备认证管理器 1825来执行。

在框2320，无线设备115可以至少部分地基于所接收的指示经由与AN 405建立的连接来与该协议端点执行认证。框2320的操作可根据参照图1到 16描述的方法来执行。在某些示例中，框2320的操作的各方面可由如参照图 18所描述的无线设备认证管理器1825来执行。

图24示出了根据本公开的各个方面的解说支持经由AN 405在无线设备 115和LAN440之间建立安全连接的方法2400的流程图。方法2400的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法2400的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框2410，无线设备115可以与LAN 440的AN 405建立连接。框2410 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2410的操作的各方面可由如参照图18所描述的无线设备连接管理器1820来执行。

在框2415，无线设备115可以确定要执行认证。框2415的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2415的操作的各方面可由如参照图18所描述的无线设备认证管理器1825来执行。

在框2420，无线设备115可以接收用于认证的协议端点为NAS层或RRC 层的指示。框2420的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2420的操作的各方面可由如参照图18所描述的无线设备认证管理器 1825来执行。

在框2425，无线设备115可以至少部分地基于所接收的指示经由与同AN 405建立的连接相关联的无线电承载来与该协议端点执行认证，其中该认证包括在该无线电承载上与该认证器交换认证信息。框2425的操作可根据参照图1 到16描述的方法来执行。在某些示例中，框2425的操作的各方面可由如参照图18所描述的无线设备认证管理器1825(例如，与无线设备承载管理器1850 协作地)来执行。

在框2430，无线设备115可以通过该无线电承载与AN 405交换至少一个随机参数。框2430的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2430的操作的各方面可由如参照图18所描述的无线设备认证管理器 1825来执行。

在框2435，无线设备115可以至少部分地基于所交换的认证信息和该至少一个随机参数来生成安全性密钥。框2435的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2435的操作的各方面可由如参照图18所描述的无线设备密钥管理器1840来执行。

在框2440，无线设备115可以至少部分地基于安全性密钥来建立一个或多个附加无线电承载。框2440的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2440的操作的各方面可由如参照图18所描述的无线设备承载管理器1850来执行。

在框2445，无线设备115可以至少部分地基于所生成的安全性密钥经由该无线电承载、该一个或多个附加无线电承载、或这两者通过该连接来与LAN 440安全地通信。框2445的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2445的操作的各方面可由如参照图18所描述的无线设备LAN 通信管理器1830(例如，与无线设备承载管理器1850协作地)来执行。

图25示出了根据本公开的各个方面的解说支持经由AN 405在无线设备 115和LAN440之间建立安全连接的方法2500的流程图。方法2500的操作可由如本文所描述的AN 405或其组件来实现。例如，方法2500的操作可以由如参考图20到22所述的AN通信管理器2015、2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框2505，AN 405可以与无线设备115建立连接。框2505的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2505的操作的各方面可由如参照图21所描述的AN连接管理器2120来执行。

在框2510，AN 405可以确定无线设备115已经确定要执行认证。框2510 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2510的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框2515，AN 405可以传送用于认证的协议端点为NAS层或RRC层的指示。框2515的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2515的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框2520，AN 405可以提供用于无线设备115与该协议端点之间的认证的通信。框2520的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2520的操作的各方面可由如参照图21所描述的AN认证通信管理器 2130来执行。

图26示出了根据本公开的各个方面的解说支持经由AN 405在无线设备 115和LAN440之间建立安全连接的方法2600的流程图。方法2600的操作可由如本文所描述的AN 405或其组件来实现。例如，方法2600的操作可以由如参考图20到22所述的AN通信管理器2015、2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框2605，AN 405可以与无线设备115建立连接。框2605的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2605的操作的各方面可由如参照图21所描述的AN连接管理器2120来执行。

在框2610，AN 405可以确定无线设备115已经确定要执行认证。框2610 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2610的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框2615，AN 405可以传送用于认证的协议端点为NAS层或RRC层的指示。框2615的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2615的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框2620，AN 405可以提供用于无线设备115与该协议端点之间的认证的通信。框2620的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2620的操作的各方面可由如参照图21所描述的AN认证通信管理器2130来执行。

在框2625，AN 405可以确定无线设备115已经确定要与第二认证器执行第二认证，其中第二认证器被包含在与AN 405通信的CN(例如，包括AN 405 的LAN 440的CN 130、单独的蜂窝运营商网络的CN 130等)中。框2625的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2625的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框2630，AN 405可以传送与第二认证相关联的消息。框2630的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2630的操作的各方面可由如参照图21所描述的AN认证通信管理器2130来执行。

图27示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接切换到与LAN 440的目标AN 405的连接的方法2700 的流程图。方法2700的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法2700的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框2705，无线设备115可以至少部分地基于第一安全性密钥经由与LAN 440的源AN 405的第一连接来与LAN 440安全地通信。框2705的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2705的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

在框2710，无线设备115可以执行从LAN 440的源AN 405到LAN 440 的目标AN 405的切换。框2710的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2710的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框2715，无线设备115可以至少部分地基于第一安全性密钥推导出第二安全性密钥。框2715的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2715的操作的各方面可由如参照图18所描述的无线设备密钥管理器1840来执行。

在框2720，无线设备115可以至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN 440的目标AN 405的第二连接来与 LAN 440安全地通信。框2720的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2720的操作的各方面可由如参照图18所描述的无线设备 LAN通信管理器1830来执行。

在框2725，无线设备115可以经由第二连接与LAN 440的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二密钥的限制策略所约束的安全性密钥)。框2725的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2725的操作的各方面可由如参照图18所描述的无线设备认证管理器1825来执行。

在框2730，无线设备115可以至少部分地基于第三安全性密钥经由与LAN 440的目标AN 405的第二连接来与LAN 440安全地通信。框2730的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2730的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

图28示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接切换到与LAN 440的目标AN 405的连接的方法2800 的流程图。方法2800的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法2800的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框2805，无线设备115可以至少部分地基于第一安全性密钥经由与LAN 440的源AN 405的第一连接来与LAN 440安全地通信。框2805的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2805的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

在框2810，无线设备115可以测量从LAN 440的目标AN 405接收的至少一个信号。框2810的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2810的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框2815，无线设备115可以至少部分地基于该测量来接收切换命令。框2815的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2815 的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框2820，无线设备115可以执行从LAN 440的源AN 405到LAN 440 的目标AN 405的切换。框2820的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2820的操作的各方面可由如参照图18所描述的无线设备切换管理器1830来执行。

在框2825，无线设备115可以至少部分地基于第一安全性密钥推导出第二安全性密钥。框2825的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2825的操作的各方面可由如参照图18所描述的无线设备密钥管理器1840来执行。

在框2830，无线设备115可以至少部分地基于第二安全性密钥和用于第二安全性密钥的限制策略经由与LAN 440的目标AN 405的第二连接来与LAN 440安全地通信。框2830的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2830的操作的各方面可由如参照图18所描述的无线设备LAN 通信管理器1830来执行。

在框2835，无线设备115可以经由第二连接与LAN 440的认证节点执行认证规程以获得第三安全性密钥(例如，不受用于第二密钥的限制策略所约束的安全性密钥)。框2835的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2835的操作的各方面可由如参照图18所描述的无线设备认证管理器1825来执行。

在框2840，无线设备115可以至少部分地基于第三安全性密钥经由与LAN 440的目标AN 405的第二连接来与LAN 440安全地通信。框2840的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2840的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

图29示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接切换到与LAN 440的目标AN 405的连接的方法2900 的流程图。方法2900的操作可由如本文所描述的AN 405或其组件来实现。例如，方法2900的操作可以由如参考图20到22所述的AN通信管理器2015、 2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框2905，AN 405可以与无线设备115建立连接。框2905的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2905的操作的各方面可由如参照图21所描述的AN连接管理器2120来执行。

在框2910，AN 405可以从LAN 440的第一网络节点接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联。框2910的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2910的操作的各方面可由如参照图21所描述的AN密钥管理器2135来执行。

在框2915，AN 405可以中继与在无线设备115和LAN 440的第二网络节点之间执行的认证规程相关联的认证信息。框2915的操作可根据参照图1到 16描述的方法来执行。在某些示例中，框2915的操作的各方面可由如参照图 21所描述的AN认证通信管理器2130来执行。

在框2920，AN 405可以至少部分地基于所中继的认证信息来从LAN 440 的第二网络节点接收第二安全性密钥。框2920的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2920的操作的各方面可由如参照图21所描述的AN密钥管理器2135来执行。

在框2925，AN 405可以至少部分地基于第一安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定。框2925的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2925的操作的各方面可由如参照图21所描述的AN LAN通信管理器2140来执行。

在框2930，AN 405可以至少部分地基于第二安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)。框2930的操作可根据参照图1到16描述的方法来执行。在某些示例中，框2930的操作的各方面可由如参照图21所描述的AN LAN通信管理器2140来执行。

图30示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接切换到与LAN 440的目标AN 405的连接的方法3000 的流程图。方法3000的操作可由如本文所描述的AN 405或其组件来实现。例如，方法3000的操作可以由如参考图20到22所述的AN通信管理器2015、 2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框3005，AN 405可以与无线设备115建立连接。框3005的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3005的操作的各方面可由如参照图21所描述的AN连接管理器2120来执行。

在框3010，AN 405可以从LAN 440的第一网络节点接收第一安全性密钥，第一安全性密钥与用于第一安全性密钥的限制策略相关联。框3010的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3010的操作的各方面可由如参照图21所描述的AN密钥管理器2135来执行。

在框3015，AN 405可以中继与在无线设备115和LAN 440的第二网络节点之间执行的认证规程相关联的认证信息。框3015的操作可根据参照图1到 16描述的方法来执行。在某些示例中，框3015的操作的各方面可由如参照图 21所描述的AN认证通信管理器2130来执行。

在框3020，AN 405可以至少部分地基于所中继的认证信息来从LAN 440 的第二网络节点接收第二安全性密钥。框3020的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3020的操作的各方面可由如参照图21所描述的AN密钥管理器2135来执行。

在框3025，AN 405可以至少部分地基于第一安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信，其中第一安全性密钥的使用由用于第一安全性密钥的限制策略确定。框3025的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3025的操作的各方面可由如参照图21所描述的AN LAN通信管理器2140来执行。

在框3030，AN 405可以至少部分地基于第二安全性密钥来推导出第三安全性密钥(例如，不受用于第一安全性密钥的限制策略约束的另一安全性密钥)。框3035的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3035的操作的各方面可由如参照图21所描述的AN密钥管理器2135来执行。

在框3035，AN 405可以至少部分地基于第三安全性密钥经由该连接在无线设备115和LAN 440之间传送安全通信(例如，不受用于第一安全性密钥的限制策略所约束的安全通信)。框3030的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3030的操作的各方面可由如参照图21所描述的AN LAN通信管理器2140来执行。

图31示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接快速转换到与LAN 440的目标AN 405的连接的方法 3100的流程图。方法3100的操作可由如本文所描述的AN 405或其组件来实现。例如，方法3100的操作可以由如参考图20到22所述的AN通信管理器 2015、2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框3105，AN 405可以通过第一连接从无线设备115接收与认证有关的 FT参数集。框3105的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3105的操作的各方面可由如参照图21所描述的AN FT管理器2145 来执行。

在框3110，AN 405可以缓存该FT参数集以在切换期间进行转发。框3110 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3110的操作的各方面可由如参照图21所描述的AN FT管理器2145来执行。

在框3115，AN 405可以在切换期间将该FT参数集传送给LAN 440的目标AN 405。框3115的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3115的操作的各方面可由如参照图21所描述的AN FT管理器2145 来执行。

在框3120，AN 405可以从目标AN 405接收与无线设备115和目标AN 405 之间的安全通信相关联的安全性参数集，该安全性参数集至少部分地基于该 FT参数集。框3120的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3120的操作的各方面可由如参照图21所描述的AN切换管理器 2150来执行。

在框3125，AN 405可以通过第一连接向无线设备115传送要执行到目标 AN 405的切换的命令，该命令包括该安全性参数集。框3125的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3125的操作的各方面可由如参照图21所描述的AN切换管理器2150来执行。

图32示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接快速转换到与LAN 440的目标AN 405的连接的方法 3200的流程图。方法3200的操作可由如本文所描述的AN 405或其组件来实现。例如，方法3200的操作可以由如参考图20到22所述的AN通信管理器 2015、2115或2215(例如，与发射机和/或接收机协作地)执行。在一些示例中，AN 405可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，AN 405可以使用专用硬件来执行以下描述的功能的各方面。

在框3205，AN 405可以通过第一连接从无线设备115接收与认证有关的 FT参数集。框3205的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3205的操作的各方面可由如参照图21所描述的AN FT管理器2145 来执行。

在框3210，AN 405可以缓存该FT参数集以在切换期间进行转发。框3210 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3210的操作的各方面可由如参照图21所描述的AN FT管理器2145来执行。

在框3215，AN 405可以在第一连接上交换至少一个随机参数。框3215 的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3215的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框3220，AN 405可以在切换期间将该FT参数集传送给LAN 440的目标AN 405。框3220的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3220的操作的各方面可由如参照图21所描述的AN FT管理器2145 来执行。

在框3225，AN 405可以将该至少一个随机参数传送给目标AN 405。框 3225的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3225 的操作的各方面可由如参照图21所描述的AN认证管理器2125来执行。

在框3230，AN 405可以从目标AN 405接收与无线设备115和目标AN 405 之间的安全通信相关联的安全性参数集，该安全性参数集至少部分地基于该 FT参数集和该至少一个随机参数。框3230的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3230的操作的各方面可由如参照图21所描述的AN切换管理器2150来执行。

在框3235，AN 405可以通过第一连接向无线设备115传送要执行到目标 AN 405的切换的命令，该命令包括该安全性参数集。框3240的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3240的操作的各方面可由如参照图21所描述的AN切换管理器2150来执行。

图33示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接快速转换到与LAN 440的目标AN 405的连接的方法 3300的流程图。方法3300的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法3300的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框3305，无线设备115可以通过第一连接向LAN 440的源AN 405传送与认证有关的FT参数集以供缓存在源AN 405处以用于切换。框3305的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3305的操作的各方面可由如参照图18所描述的无线设备FT管理器1845来执行。

在框3310，无线设备115可以通过第一连接从源AN 405接收用于确定用于切换的AN 405的配置。框3310的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3310的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框3315，无线设备115可以通过第一连接从源AN 405接收要执行到 LAN 440的目标AN 405的切换的命令，该命令包括与无线设备115和目标AN 405之间的安全通信相关联的安全性参数集，该安全性参数集至少部分地基于该FT参数集。框3315的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3315的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框3320，无线设备115可以至少部分地基于该安全性参数集经由与目标AN 405的第二连接来与LAN 440安全地通信。框3320的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3320的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

图34示出了根据本公开的各个方面的解说支持无线设备115从与LAN 440的源AN405的连接快速转换到与LAN 440的目标AN 405的连接的方法 3400的流程图。方法3400的操作可由如本文所描述的无线设备115或其组件来实现。例如，方法3400的操作可以由如参考图17到19所述的无线设备通信管理器1715、1815或1915(例如，与发射机和/或接收机协作地)执行。在一些示例中，无线设备115可执行用于控制该设备的功能元件执行以下描述的功能的代码集。附加地或替换地，无线设备115可使用专用硬件来执行以下描述的功能的各方面。

在框3405，无线设备115可以通过第一连接向LAN 440的源AN 405传送与认证有关的FT参数集以供缓存在源AN 405处以用于切换。框3405的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3405的操作的各方面可由如参照图18所描述的无线设备FT管理器1845来执行。

在框3410，无线设备115可以通过第一连接从源AN 405接收用于确定用于切换的AN 405的配置。框3410的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3410的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框3415，无线设备115可以经由第一连接向源AN 405传送包括关于目标AN 405的信息的测量报告，与目标AN 405有关的该信息至少部分地基于该配置。框3415的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3415的操作的各方面可由如参照图18所描述的无线设备切换管理器 1835来执行。

在框3420，无线设备115可以通过第一连接从源AN 405接收要执行到LAN 440的目标AN 405的切换的命令，该命令包括与无线设备115和目标AN 405之间的安全通信相关联的安全性参数集，该安全性参数集至少部分地基于该FT参数集。框3420的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3420的操作的各方面可由如参照图18所描述的无线设备切换管理器1835来执行。

在框3425，无线设备115可以至少部分地基于该安全性参数集经由与目标AN 405的第二连接来与LAN 440安全地通信。框3425的操作可根据参照图1到16描述的方法来执行。在某些示例中，框3425的操作的各方面可由如参照图18所描述的无线设备LAN通信管理器1830来执行。

应注意，以上描述的方法解说了本公开中描述的技术的可能实现。在一些示例中，参照图23、24、27、28、33或34描述的方法2300、2400、2700、2800、 3300或3400的各方面可被组合。在一些示例中，方法2500、2600、2900、3000、 3100或3200的各方面可被组合。在一些示例中，这些方法的操作可以按不同的顺序执行或包括不同的操作。在一些示例中，每种方法的各方面可包括其他方法的步骤或方面、或者本文所描述的其他步骤或技术。

提供本文中的描述是为了使得本领域技术人员能够制作或使用本公开。对本公开的各种修改对于本领域技术人员将是显而易见的，并且本文中所定义的普适原理可被应用于其他变形而不会脱离本公开的范围。由此，本公开并不限定于本文中所描述的示例和设计，而是应被授予与本文中公开的原理和新颖特征一致的最宽泛的范围。

本文结合附图阐述的说明描述了示例配置而不代表可被实现或者落在权利要求的范围内的所有示例。本文所使用的术语“示例性”意指“用作示例、实例或解说”，而并不意指“优于”或“胜过其他示例”。本详细描述包括具体细节以提供对所描述的技术的理解。然而，可以在没有这些具体细节的情况下实践这些技术。在一些实例中，众所周知的结构和设备以框图形式示出以避免模糊所描述的示例的概念。

如本文所使用的，短语“基于”不应被解读为引述封闭条件集。例如，被描述为“基于条件A”的示例性特征可基于条件A和条件B两者而不脱离本公开的范围。换言之，如本文所使用的，短语“基于”应当以与短语“至少部分地基于”相同的方式来解读。

本文描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现，则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围内。例如，由于软件的本质，上述功能可使用由处理器执行的软件、硬件、固件、硬连线或其任何组合来实现。实现功能的特征也可物理地位于各种位置，包括被分布以使得功能的各部分在不同的(物理)位置处实现。另外，如本文(包括权利要求中)所使用的，在项目列举(例如，以附有诸如“中的至少一个”或“中的一个或多个”之类的措辞的项目列举) 中使用的“或”指示包含性列举，以使得例如A、B或C中的至少一个的列举意指A或B或C或AB或AC或BC或ABC(即，A和B和C)。

计算机可读介质包括非瞬态计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。非瞬态存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定，非瞬态计算机可读介质可包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、压缩盘(CD) ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来携带或存储指令或数据结构形式的期望程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其他非瞬态介质。任何连接也被恰当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线 (DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其他远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括CD、激光碟、光碟、数字通用碟(DVD)、软盘和蓝光碟，其中盘常常磁性地再现数据而碟用激光来光学地再现数据。以上介质的组合也被包括在计算机可读介质的范围内。

本文所描述的技术可被用于各种无线通信系统，诸如CDMA、TDMA、 FDMA、OFDMA、单载波频分多址(SC-FDMA)、以及其他系统。术语“系统”和“网络”常被可互换地使用。CDMA系统可以实现诸如CDMA2000、通用地面无线电接入(UTRA)等无线电技术。CDMA2000涵盖IS-2000、IS-95 和IS-856标准。IS-2000版本0和A常被称为CDMA2000 1X、1X等。IS-856 (TIA-856)常被称为CDMA2000 1xEV-DO、高速率分组数据(HRPD)等。UTRA包括宽带CDMA(WCDMA)和其他CDMA变体。TDMA系统可实现诸如全球移动通信系统(GSM)之类的无线电技术。OFDMA系统可实现诸如超移动宽带(UMB)、演进UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16 (WiMAX)、IEEE 802.20、Flash-OFDM等无线电技术。UTRA和E-UTRA 是通用移动电信系统(通用移动电信系统(UMTS))的部分。3GPP LTE和 LTE-A是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、UMTS、LTE、 LTE-a以及GSM在来自名为“第三代伙伴项目”(3GPP)的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”(3GPP2)的组织的文献中描述。本文描述的技术既可用于以上提及的系统和无线电技术，也可用于其他系统和无线电技术。然而，本文的描述出于示例目的描述了LTE系统，并且在以上大部分描述中使用了LTE术语，但这些技术也可应用于LTE 应用以外的应用。

在LTE/LTE-A网络(包括本文中所描述的网络)中，术语演进型B节点 (eNB)可一般用于描述基站。本文中所描述的一个或多个无线通信系统可包括异构LTE/LTE-A网络，其中不同类型的eNB提供对各种地理区划的覆盖。例如，每个eNB或基站可提供对宏蜂窝小区、小型蜂窝小区、或其他类型的蜂窝小区的通信覆盖。取决于上下文，术语“蜂窝小区”是可被用于描述基站、与基站相关联的载波或分量载波(CC)、或者载波或基站的覆盖区域(例如，扇区等)的3GPP术语。

基站可包括或可由本领域技术人员称为基收发机站、无线电基站、AP、无线电收发机、B节点、演进型B节点(eNB)、家用B节点、家用演进型B 节点、或某个其他合适的术语。基站的地理覆盖区域可被划分成仅构成该覆盖区域的一部分的扇区。本文中所描述的一个或数个无线通信系统可包括不同类型的基站(例如，宏或小型蜂窝小区基站)。本文描述的无线设备可以能够与各种类型的基站和网络装备(包括宏eNB、小型蜂窝小区eNB、中继基站等) 通信。可能存在不同技术的交叠地理覆盖区域。在一些情形中，不同覆盖区域可以与不同通信技术相关联。在一些情形中，一个通信技术的覆盖区域可以与关联于另一技术的覆盖区域交叠。不同技术可与相同基站或者不同基站相关联。

宏蜂窝小区一般覆盖相对较大的地理区域(例如，半径为数千米的区域)，并且可允许无约束地由与网络供应商具有服务订阅的无线设备接入。与宏蜂窝小区相比，小型蜂窝小区是可在与宏蜂窝小区相同或不同的(例如，有执照、无执照等)频带中操作的低功率基站。根据各个示例，小型蜂窝小区可包括微微蜂窝小区、毫微微蜂窝小区、以及微蜂窝小区。微微蜂窝小区例如可覆盖较小地理区域并且可允许无约束地由具有与网络供应商的服务订阅的无线设备接入。毫微微蜂窝小区也可覆盖较小的地理区域(例如，住宅)且可提供有约束地由与该毫微微蜂窝小区有关联的无线设备(例如，封闭订户群(CSG)中的无线设备、该住宅中的用户的无线设备、等等)的接入。用于宏蜂窝小区的 eNB可被称为宏eNB。用于小型蜂窝小区的eNB可被称为小型蜂窝小区eNB、微微eNB、毫微微eNB、或家用eNB。eNB可支持一个或多个(例如，两个、三个、四个，等等)蜂窝小区(例如，CC)。无线设备可以能够与各种类型的基站和网络装备(包括宏eNB、小型蜂窝小区eNB、中继基站等)通信。

本文所描述的一个或多个无线通信系统可支持同步或异步操作。对于同步操作，各基站可具有相似的帧定时，并且来自不同基站的传输可以在时间上大致对齐。对于异步操作，各基站可具有不同的帧定时，并且来自不同基站的传输可以不在时间上对齐。本文中所描述的技术可用于同步或异步操作。

本文所描述的DL传输还可被称为前向链路传输，而UL传输还可被称为反向链路传输。本文所描述的每条通信链路(包括例如图1和2的无线通信系统100和200)可包括一个或多个载波，其中每个载波可以是由多个副载波构成的信号(例如，不同频率的波形信号)。每个经调制信号可在不同的副载波上发送并且可携带控制信息(例如，参考信号、控制信道等)、开销信息、用户数据等。本文描述的通信链路(例如，图1的通信链路125)可以使用频分双工(FDD)操作(例如，使用配对频谱资源)或时分双工(TDD)操作(例如，使用未配对频谱资源)来传送双向通信。可以定义用于FDD的帧结构(例如，帧结构类型1)和用于TDD的帧结构(例如，帧结构类型2)。

结合本文的公开所描述的各种解说性框以及模块可用设计成执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、ASIC、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可被实现为计算设备的组合(例如，DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或多个微处理器，或者任何其他此类配置)。由此，本文所描述的功能可由至少一个集成电路(IC)上的一个或多个其他处理单元 (或核)来执行。在各个示例中，可使用可按本领域所知的任何方式来编程的不同类型的IC(例如，结构化/平台ASIC、FPGA、或另一半定制IC)。每个单元的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。

在附图中，类似组件或特征可具有相同的附图标记。此外，相同类型的各个组件可通过在附图标记后跟随短划线以及在类似组件之间进行区分的第二标记来加以区分。如果在说明书中仅使用第一附图标记，则该描述可应用于具有相同的第一附图标记的类似组件中的任何一个组件而不论第二附图标记如何。

提供本文中的描述是为了使得本领域技术人员能够制作或使用本公开。对本公开的各种修改对于本领域技术人员将是显而易见的，并且本文中所定义的普适原理可被应用于其他变形而不会脱离本公开的范围。由此，本公开并非被限定于本文中所描述的示例和设计，而是应被授予与本文所公开的原理和新颖特征相一致的最广范围。

Claims (48)

1.一种在无线设备处进行无线通信的方法，所述方法包括：

至少部分地基于第一安全性密钥经由与局域网(LAN)的源接入节点(AN)的第一连接来与所述LAN安全地通信；

执行从所述LAN的所述源AN到所述LAN的目标AN的切换；

至少部分地基于所述第一安全性密钥推导出第二安全性密钥；

至少部分地基于所述第二安全性密钥和用于所述第二安全性密钥的限制策略经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信；

经由所述第二连接与所述LAN的认证节点执行认证规程以获得第三安全性密钥；以及

至少部分地基于所述第三安全性密钥经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信。

2.如权利要求1所述的方法，其特征在于，用于所述第二安全性密钥的所述限制策略包括以下至少一者：所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的时间区间、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的分组数量、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的一个或多个无线电承载的集合、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的无线电承载类型、或其组合。

3.如权利要求1所述的方法，其特征在于，至少部分地基于所述第三安全性密钥与所述LAN安全地通信和至少部分地基于所述第二安全性密钥与所述LAN安全地通信发生在不同的时间。

4.如权利要求1所述的方法，其特征在于，进一步包括：

从至少部分地基于所述第二安全性密钥与所述LAN安全地通信切换到至少部分地基于所述第三安全性密钥与所述LAN安全地通信，所述切换至少部分地基于：从所述目标AN接收的配置消息、所述第三安全性密钥的可用性、或其组合。

5.如权利要求1所述的方法，其特征在于，进一步包括：

在以下至少一者中接收用于所述第二安全性密钥的所述限制策略：从所述LAN接收的配置信息、从所述LAN的所述源AN接收的切换命令消息、从所述目标AN接收的配置信息、或其组合。

6.如权利要求1所述的方法，其特征在于，所述认证规程是在第一无线电承载上执行的，并且至少部分地基于所述第三安全性密钥与所述LAN安全地通信是在第二无线电承载上执行的，所述第二无线电承载与所述第一无线电承载不同。

7.如权利要求6所述的方法，其特征在于，所述第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

8.如权利要求1所述的方法，其特征在于，所述认证节点包括认证服务器，并且所述认证规程至少部分地基于可扩展认证协议(EAP)。

9.如权利要求1所述的方法，其特征在于，所述认证节点包括无线LAN控制器，并且所述认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

10.如权利要求1所述的方法，其特征在于，进一步包括：

从所述LAN的所述源AN接收关于所述目标AN的配置信息；以及

至少部分地基于所接收的关于所述LAN的所述目标AN的配置信息来与所述LAN的所述目标AN建立所述第二连接。

11.如权利要求1所述的方法，其特征在于，进一步包括：

测量从所述LAN的所述目标AN接收的至少一个信号；以及

至少部分地基于所述测量来接收切换命令。

12.如权利要求1所述的方法，其特征在于，所述第一连接和所述第二连接至少部分地基于蜂窝无线电接入技术(RAT)。

13.一种用于在无线设备处进行无线通信的装备，所述装备包括：

用于至少部分地基于第一安全性密钥经由与局域网(LAN)的源接入节点(AN)的第一连接来与所述LAN安全地通信的装置；

用于执行从所述LAN的所述源AN到所述LAN的目标AN的切换的装置；

用于至少部分地基于所述第一安全性密钥推导出第二安全性密钥的装置；

用于至少部分地基于所述第二安全性密钥和用于所述第二安全性密钥的限制策略经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信的装置；

用于经由所述第二连接与所述LAN的认证节点执行认证规程以获得第三安全性密钥的装置；以及

用于至少部分地基于所述第三安全性密钥经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信的装置。

14.如权利要求13所述的装备，其特征在于，用于所述第二安全性密钥的所述限制策略包括以下至少一者：所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的时间区间、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的分组数量、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的一个或多个无线电承载的集合、所述第二安全性密钥有效以用于经由所述第二连接与所述LAN安全地通信的无线电承载类型、或其组合。

15.如权利要求13所述的装备，其特征在于，至少部分地基于所述第三安全性密钥与所述LAN安全地通信和至少部分地基于所述第二安全性密钥与所述LAN安全地通信发生在不同的时间。

16.如权利要求13所述的装备，其特征在于，进一步包括：

用于从至少部分地基于所述第二安全性密钥与所述LAN安全地通信切换到至少部分地基于所述第三安全性密钥与所述LAN安全地通信的装置，所述切换至少部分地基于：从所述目标AN接收的配置消息、所述第三安全性密钥的可用性、或其组合。

17.如权利要求13所述的装备，其特征在于，进一步包括：

用于在以下至少一者中接收用于所述第二安全性密钥的所述限制策略的装置：从所述LAN接收的配置信息、从所述LAN的所述源AN接收的切换命令消息、从所述目标AN接收的配置信息、或其组合。

18.如权利要求13所述的装备，其特征在于，所述认证规程是在第一无线电承载上执行的，并且至少部分地基于所述第三安全性密钥与所述LAN安全地通信是在第二无线电承载上执行的，所述第二无线电承载与所述第一无线电承载不同。

19.如权利要求18所述的装备，其特征在于，所述第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

20.如权利要求13所述的装备，其特征在于，所述认证节点包括认证服务器，并且所述认证规程至少部分地基于可扩展认证协议(EAP)。

21.如权利要求13所述的装备，其特征在于，所述认证节点包括无线LAN控制器，并且所述认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

22.如权利要求13所述的装备，其特征在于，进一步包括：

用于从所述LAN的所述源AN接收所述目标AN的配置信息的装置；以及

用于至少部分地基于所接收的关于所述LAN的所述目标AN的配置信息来与所述LAN的所述目标AN建立所述第二连接的装置。

23.如权利要求13所述的装备，其特征在于，进一步包括：

用于测量从所述LAN的所述目标AN接收的至少一个信号的装置；以及

用于至少部分地基于所述测量来接收切换命令的装置。

24.如权利要求13所述的装备，其特征在于，所述第一连接和所述第二连接至少部分地基于蜂窝无线电接入技术(RAT)。

25.一种用于在无线设备处进行无线通信的装置，所述装置包括：

处理器；

与所述处理器处于电子通信的存储器；以及

存储在所述存储器中的指令，所述指令在被所述处理器执行时使所述装置：

至少部分地基于第一安全性密钥经由与局域网(LAN)的源接入节点(AN)的第一连接来与所述LAN安全地通信；

执行从所述LAN的所述源AN到所述LAN的目标AN的切换；

至少部分地基于所述第一安全性密钥推导出第二安全性密钥；

至少部分地基于所述第二安全性密钥和用于所述第二安全性密钥的限制策略经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信；

经由所述第二连接与所述LAN的认证节点执行认证规程以获得第三安全性密钥；以及

至少部分地基于所述第三安全性密钥经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信。

26.一种存储用于在无线设备处进行无线通信的计算机可执行代码的非瞬态计算机可读介质，所述代码在被处理器执行时用于使所述处理器：

至少部分地基于第一安全性密钥经由与局域网(LAN)的源接入节点(AN)的第一连接来与所述LAN安全地通信；

执行从所述LAN的所述源AN到所述LAN的目标AN的切换；

至少部分地基于所述第一安全性密钥推导出第二安全性密钥；

至少部分地基于所述第二安全性密钥和用于所述第二安全性密钥的限制策略经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信；

经由所述第二连接与所述LAN的认证节点执行认证规程以获得第三安全性密钥；以及

至少部分地基于所述第三安全性密钥经由与所述LAN的所述目标AN的第二连接来与所述LAN安全地通信。

27.一种在局域网(LAN)的接入节点(AN)处进行无线通信的方法，所述方法包括：

与无线设备建立连接；

从所述LAN的第一网络节点接收第一安全性密钥，所述第一安全性密钥与用于所述第一安全性密钥的限制策略相关联；

中继与在所述无线设备和所述LAN的第二网络节点之间执行的认证规程相关联的认证信息；

至少部分地基于所中继的认证信息来从所述LAN的所述第二网络节点接收第二安全性密钥；

至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信，其中所述第一安全性密钥的使用由用于所述第一安全性密钥的所述限制策略确定；以及

至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信。

28.如权利要求27所述的方法，其特征在于，用于所述第一安全性密钥的所述限制策略包括以下至少一者：所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的时间区间、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的分组数量、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的一个或多个无线电承载的集合、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的无线电承载类型、或其组合。

29.如权利要求27所述的方法，其特征在于，进一步包括：

从至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信切换到至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信，所述切换至少部分地基于：用于所述第一安全性密钥的所述限制策略、所述第二安全性密钥的可用性、或其组合。

30.如权利要求27所述的方法，其特征在于，所述认证规程是在与所述连接相关联的第一无线电承载上执行的，并且所述安全通信是在与所述连接相关联的第二无线电承载上传送的，与所述连接相关联的所述第二无线电承载不同于与所述连接相关联的所述第一无线电承载。

31.如权利要求30所述的方法，其特征在于，与所述连接相关联的所述第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

32.如权利要求27所述的方法，其特征在于，进一步包括：

至少部分地基于所述第二安全性密钥推导出第三安全性密钥。

33.如权利要求27所述的方法，其特征在于，进一步包括：

将用于所述第一安全性密钥的所述限制策略传送给以下至少一者：所述第一网络节点、所述无线设备、或其组合。

34.如权利要求27所述的方法，其特征在于，所述第二网络节点包括无线LAN控制器，并且所述认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

35.如权利要求27所述的方法，其特征在于，所述第二网络节点包括认证服务器，并且所述认证规程至少部分地基于可扩展认证协议(EAP)。

36.如权利要求27所述的方法，其特征在于，所述连接至少部分地基于蜂窝无线电接入技术(RAT)。

37.一种用于在局域网(LAN)的接入节点(AN)处进行无线通信的装备，所述装备包括：

用于与无线设备建立连接的装置；

用于从所述LAN的第一网络节点接收第一安全性密钥的装置，所述第一安全性密钥与用于所述第一安全性密钥的限制策略相关联；

用于中继与在所述无线设备和所述LAN的第二网络节点之间执行的认证规程相关联的认证信息的装置；

用于至少部分地基于所中继的认证信息来从所述LAN的所述第二网络节点接收第二安全性密钥的装置；

用于至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信的装置，其中所述第一安全性密钥的使用由用于所述第一安全性密钥的所述限制策略确定；以及

用于至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信的装置。

38.如权利要求37所述的装备，其特征在于，用于所述第一安全性密钥的所述限制策略包括以下至少一者：所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的时间区间、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的分组数量、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的一个或多个无线电承载的集合、所述第一安全性密钥有效以供所述无线设备经由所述连接与所述LAN安全地通信的无线电承载类型、或其组合。

39.如权利要求37所述的装备，其特征在于，进一步包括：

用于从至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信切换到至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信的装置，所述切换至少部分地基于：用于所述第一安全性密钥的所述限制策略、所述第二安全性密钥的可用性、或其组合。

40.如权利要求37所述的装备，其特征在于，所述认证规程是在与所述连接相关联的第一无线电承载上执行的，并且所述安全通信是在与所述连接相关联的第二无线电承载上传送的，与所述连接相关联的所述第二无线电承载不同于与所述连接相关联的所述第一无线电承载。

41.如权利要求40所述的装备，其特征在于，与所述连接相关联的所述第一无线电承载包括以下至少一者：信令无线电承载、数据无线电承载、或其组合。

42.如权利要求37所述的装备，其特征在于，进一步包括：

用于至少部分地基于所述第二安全性密钥推导出第三安全性密钥的装置。

43.如权利要求37所述的装备，其特征在于，进一步包括：

用于将用于所述第一安全性密钥的所述限制策略传送给以下至少一者的装置：所述第一网络节点、所述无线设备、或其组合。

44.如权利要求37所述的装备，其特征在于，所述第二网络节点包括无线LAN控制器，并且所述认证规程至少部分地基于：请求方密钥持有者标识符(ID)、认证方密钥持有者ID、成对主密钥(PMK)ID、PMK名称、或其组合。

45.如权利要求37所述的装备，其特征在于，所述第二网络节点包括认证服务器，并且所述认证规程至少部分地基于可扩展认证协议(EAP)。

46.如权利要求37所述的装备，其特征在于，所述连接至少部分地基于蜂窝无线电接入技术(RAT)。

47.一种用于在局域网(LAN)的接入节点(AN)处进行无线通信的装置，所述装置包括：

处理器；

与所述处理器处于电子通信的存储器；以及

存储在所述存储器中的指令，所述指令在被所述处理器执行时使所述装置：

与无线设备建立连接；

从所述LAN的第一网络节点接收第一安全性密钥，所述第一安全性密钥与用于所述第一安全性密钥的限制策略相关联；

中继与在所述无线设备和所述LAN的第二网络节点之间执行的认证规程相关联的认证信息；

至少部分地基于所中继的认证信息来从所述LAN的所述第二网络节点接收第二安全性密钥；

至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信，其中所述第一安全性密钥的使用由用于所述第一安全性密钥的所述限制策略确定；以及

至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信。

48.一种存储用于在局域网(LAN)的接入节点(AN)处进行无线通信的计算机可执行代码的非瞬态计算机可读介质，所述代码在被处理器执行时用于使所述处理器：

与无线设备建立连接；

从所述LAN的第一网络节点接收第一安全性密钥，所述第一安全性密钥与用于所述第一安全性密钥的限制策略相关联；

中继与在所述无线设备和所述LAN的第二网络节点之间执行的认证规程相关联的认证信息；

至少部分地基于所中继的认证信息来从所述LAN的所述第二网络节点接收第二安全性密钥；

至少部分地基于所述第一安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信，其中所述第一安全性密钥的使用由用于所述第一安全性密钥的所述限制策略确定；以及

至少部分地基于所述第二安全性密钥经由所述连接在所述无线设备和所述LAN之间传送安全通信。

Images