CN111726804B - 用于集成小型小区和Wi-Fi网络的统一认证 - Google Patents
用于集成小型小区和Wi-Fi网络的统一认证 Download PDFInfo
- Publication number
- CN111726804B CN111726804B CN202010684944.0A CN202010684944A CN111726804B CN 111726804 B CN111726804 B CN 111726804B CN 202010684944 A CN202010684944 A CN 202010684944A CN 111726804 B CN111726804 B CN 111726804B
- Authority
- CN
- China
- Prior art keywords
- access point
- authentication
- network node
- message
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 162
- 230000006870 function Effects 0.000 claims description 61
- 230000015654 memory Effects 0.000 claims description 39
- 238000005516 engineering process Methods 0.000 claims description 21
- 230000001413 cellular effect Effects 0.000 claims description 15
- 230000003993 interaction Effects 0.000 claims 4
- 239000010410 layer Substances 0.000 description 62
- 230000004044 response Effects 0.000 description 55
- 238000004891 communication Methods 0.000 description 40
- 239000013598 vector Substances 0.000 description 30
- 238000010586 diagram Methods 0.000 description 27
- 238000007726 management method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 9
- 238000004846 x-ray emission Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 7
- 108091000099 cysteine desulfurase Proteins 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000009795 derivation Methods 0.000 description 4
- 230000036541 health Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- 238000001228 spectrum Methods 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 241000700159 Rattus Species 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 108010045283 Cystathionine gamma-lyase Proteins 0.000 description 1
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- OJIJEKBXJYRIBZ-UHFFFAOYSA-N cadmium nickel Chemical compound [Ni].[Cd] OJIJEKBXJYRIBZ-UHFFFAOYSA-N 0.000 description 1
- 238000004325 capillary sieving electrophoresis Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 239000002346 layers by function Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 229910052987 metal hydride Inorganic materials 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 229910052759 nickel Inorganic materials 0.000 description 1
- PXHVJJICTQNCMI-UHFFFAOYSA-N nickel Substances [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 1
- -1 nickel metal hydride Chemical class 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本公开内容涉及用于集成小型小区和Wi‑Fi网络的统一认证。多RAT UE当前具有2个独立的路径来与HSS进行认证(经由MME或3GPP AAA服务器引起对HSS的重复认证消息。描述了UE和HSS之间用于小型小区和Wi‑Fi认证的一个统一认证路径的使用。首先,新的3GPP EPC‑TWAN互通架构使MME管理来自多RAT UE的所有认证请求。其次,添加新的统一认证程序,其允许基于ISWN的多RAT UE直接与所述HSS认证,与其当前的接入网络无关(TWAN或HeNB)。第三,完成针对RAT间移交情形的新的快速重新认证程序。最后,描述了执行所述认证程序所需的各种标准协议消息的扩展。
Description
本申请是于2016年6月3日提交的、题为“用于集成小型小区和Wi-Fi网络的统一认证”的国际申请号为PCT/US2016/035757、国家申请号为201680039873.0的专利申请的分案申请。
相关申请的交叉引用
本申请主张2015年6月5日提交的美国临时专利申请序列号62/171,497的权益,其公开内容犹如整体陈述的方式以引用的方式并入本文中。
背景技术
近来,移动网络运营商(MNO)对部署集成小型小区和Wi-Fi(ISW)网络表现出很大的兴趣,以适应无线数据使用的普遍增长。更具体来说,ISW网络利用许可频谱中的长期演进(LTE)小型小区以及非许可频谱中的无线局域网(WLAN)接入点(AP)的部署。ISW主题已经由标准化、学术和产业机构解决,诸如第三代合作伙伴计划(3GPP)、小型小区论坛(SCF)和无线宽带联盟(WBA)等。如此巨大的兴趣将推动各种网络架构、订户服务选项和策略管理机制向ISW网络的发展。
在3GPP TS 23.402中,已经引入了用于在演进分组核心(EPC)与非3GPP网络(例如,WLAN)之间的基于核心网络(CN)的互通的3GPP技术规范。3GPP TS 23.402文件为可信广域网(TWAN)与3GPP演进分组核心(EPC)之间的互通提供了完整的架构、接口、接入和移交程序。图1示出了TWAN与3GPP EPC网络互通的网络架构。如所示,TWAN通过S2a接口接入分组数据网络(PDN)GW。因此,所开发的3GPP EPC-WLAN互通架构迫使系统间移交长期演进(LTE)到Wi-Fi且反之亦然)在分组数据网络网关(P-GW)处发生,这可能给移动核心网络(MCN)造成巨大的负担,特别是在预期大量的小型小区部署的情况下。
由于EPC的基本架构原理是分别处置数据平面和控制平面(即MME/S-GW),移动性管理实体(MME)扩展以及TWAN扩展可以为系统间移动性管理信令提供逻辑选择,而相应的S-GW扩展可以支持系统间用户平面功能性。移动性管理实体(MME)可以扩展到用于LTE和Wi-Fi接入两者的公共控制平面实体中,同时使得S-GW能够用作用于LTE和Wi-Fi接入两者的公共用户平面网关。图2所示的参考点S1a-MME和S1a-U先前在3GPP EPC-WLAN集成架构中引入。MME 202经由用于控制平面信令的S1a-MME参考点连接到WLAN AN 204,并且针对用户面在WLAN AN 204和服务网关S-GW 206之间定义S1a-U参考点。具有此类MME/S-GW集成锚点将导致更有效的移交程序。
这些扩展可以通过使系统间移动性程序的执行更接近网络边缘来提高性能。可以通过最小化在核心网络深处的信令程序(即,朝向PDN网关(P-GW)208)的需要来减少等待时间。当移动网络运营商(MNO)在共同的地理区域部署小型小区和Wi-Fi接入两者时,这可能是特别有益的。还通过降低P-GW 208处理负担来提高可扩展性,例如通过将一些系统间移动性功能分配给MME 202和S-GW 206。
下文给出关于AKA算法的一般背景,包含用户设备(UE)214与网络之间的相互认证以及密钥生成层级。接着,关于3GPP(EPS AKA)和WLAN(EAP-AKA’)网络来描述此类通用认证和密钥协议(AKA)算法。
图3描绘了用于UE 214与包含MME 202和家庭订户服务器(HSS)210(家庭环境(HE)或认证中心(AuC)304)的网络之间的相互认证的AKA程序(3GPP TS 33.102的条款6.3)。如所示,MME发送“认证数据请求(Authentication data request)”到HSS/AuC。作为响应,HSS/AuC生成多个认证向量(AV),并基于序列号(SQN)将其排序。认证向量由以下各项组成:随机数(RAND)、预期响应(XRES)、加密密钥(CK)、完整性密钥(IK)和认证令牌(AUTN)。
在图4中说明生成AV的过程。首次,AuC 304开始生成新的序列号SQN和不可预测的挑战RAND。K是存储在通用订户身份模块(USIM)上和AuC 304中的永久密钥。认证和密钥管理字段(AMF)被包含在每一认证向量的认证令牌中。功能f1和f2分别是生成消息认证代码(MAC)和XRES的消息认证功能。功能f3、f4和f5是用以生成CK、IK和匿名密钥(AK)的密钥生成功能。AK是用以隐藏序列号的匿名密钥,因为序列号可能暴露用户的身份和位置。最终基于SQN、AK、AMF和MAC来形成认证令牌AUTN。每一认证向量对于MME 202和UE 214之间的仅仅一个AKA过程是有益的。
返回到图3,一旦AuC/HSS生成AV,即将它们发送到MME 202。因此,MME 202开始与UE 214的相互认证过程。首先,MME 202从认证向量AV的有序阵列中选择下一未使用的认证向量,且将“用户认证请求(User Authentication Request)”(RAND、AUTN)消息发送到UE。
在接收到RAND和AUTN后,USIM/UE应用图5中所示的用户认证程序。首先,USIM计算AK并检索序列号SQN。接着,其计算预期MAC(XMAC)。USIM通过验证所接收的AUTN与所生成的AUTN相同来认证网络。更具体来说,验证所生成的XMAC与所接收的MAC相同,且所接收的SQN是在正确范围内。
最终并返回到图3,一旦UE 302认证网络,其将其生成的响应(RES)发送到MME202。接着,MME 202比较所接收的RES与其XRES(由HSS生成并从其接收)。如果RES与XRES匹配,那么MME202认证UE 302。这样,UE与网络之间的相互认证和AKA过程就成功完成了。最后,利用UE 214和MME 202处的剩余密钥即CK和IK以导出更多密钥用于加密和完整性功能。
对于LTE,“用户认证请求”实现在“NAS:认证请求(Authentication Request)”中。类似地,“用户认证响应(User Authentication Response)”实现在“NAS:认证响应(Authentication Response)”中。对于WLAN情况,通过“Diameter-EAP-Answer(Diameter-EAP应答)”和“EAP-Request/AKA’-Challenge(EAP请求/AKA’挑战)”消息来实现“用户认证请求”。使用“EAP-Response/AKA’-Challenge(EAP响应/AKA’挑战)”和“Diameter-EAP-Request(Diameter-EAP请求)”来实现“用户认证响应”。
在3GPP TS 33.401的条款6中详细说明UE 214与EPC网络216之间的安全程序。安全程序是初始附着程序的基本步骤(3GPP TS23.401的条款5.3.2)。本节重点在于3GPP EPC中与确切认证相关的消息。具体地,本节重点在于通过S6a参考点在MME 202与HSS 210之间交换的基于Diameter的消息。所呈现的消息对应于图3中所示的通用“认证数据请求(Authentication data request)”和“认证数据响应(Authentication data response)”。
为了使MME针对HSS请求认证向量,其通过S6a参考点发送基于Diameter的“Authentication-Information-Request(AIR:认证信息请求)”命令,如3GPP TS 29.272的条款5.2.3中所指示。表1中示出AIR命令的一些相关属性值对(AVP)。UE 302将使用其“国际移动订户身份(IMSI)”来被识别。“Requested-EUTRAN-Authentication-Info(请求的EUTRAN认证信息)”AVP(3GPP TS 29.272的条款7.3.11)应含有与对E-UTRAN的认证请求相关的信息,即,“Number-Of-Requested-Vectors(请求向量数量)”、“Immediate-Response-Preferred(即时响应首选)”和“Re-synchronization-Info(重新同步信息)”AVP。“Visited-PLMN-Id(访问的PLMN Id)”AVP(3GPP TS 29.272的条款7.3.9)还称作服务网络身份(SN ID),其应含有移动国家代码(MCC)和移动网络代码(MNC)的组合。
表1“认证信息请求(Authentication Information Request)”消息(3GPP TS29.272的表5.2.3.1.1/1)
响应于AIR命令,HSS通过S6a参考点将认证向量提供到“Authentication-Information-Answer(AIA:认证信息应答)”命令中的MME,如3GPP TS 29.272的条款5.2.3中所指示。表2提供AIA命令的一些相关AVP。“Authentication-Info(认证信息)”AVP(3GPPTS 29.272的条款7.3.17)含有用于多个3GPP-RAT的所需认证向量即“E-UTRAN-Vector(E-UTRAN向量)”、“UTRAN-Vector(UTRAN向量)”和“GERAN-Vector(GERAN向量)”。特别感兴趣的是“E-UTRAN向量”AVP(3GPP TS 29.272的条款7.3.18),其是包含以下认证信息的E-UTRAN向量:“Item-Number(项数量)”、“RAND”、“XRES”、“AUTN”和“KASME”。KASME是接入安全管理实体密钥(ASME)。
表2“认证信息应答(Authentication Information Answer)”消息(3GPP TS29.272的表5.2.3.1.1/2[4])
通过跨越STa参考点(TWAN-AAA服务器)和SWx(AAA服务器-HSS)上的3GPP AAA 212服务器212在UE 214与HSS 210之间执行非3GPP接入认证信令。首先,UE向TWAN 218发起可扩展认证协议(EAP)认证过程,TWAN 218将EAP消息转发到3GPP AAA服务器212。3GPP AAA服务器212和HSS 210根据先前在图3中所示的标准AKA程序来相互作用。在TS 33.402的条款6.2中详细说明用于TWAN接入EPC网络的EAP-AKA’安全程序。下文说明先前在图3中所示的映射到通用“认证数据请求”和“认证数据响应”的在AAA服务器212与HSS 210之间的基于Diameter的消息的细节。
为了使3GPP AAA服务器212认证TWAN连接的UE 214,其通过SWx参考点将基于Diameter的“认证请求(Authentication Request)”消息发送到HSS 210。表3示出我们感兴趣的“认证请求”消息的几个AVP。如所示,3GPP AAA服务器212包含“IMSI”、“认证项数量(Number of Authentication Items)”、“接入网络身份(Access Network Identity)(=WLAN)”和“接入类型(Access Type)(=WLAN)”AVP。
接入网络身份(=WLAN)”和“接入类型(=WLAN)”AVP。
表3“认证请求(Authentication Request)”消息(3GPP TS 29.273的表8.1.2.1.1/1)
作为对来自3GPP AAA服务器212的“认证请求”消息的响应,HSS 210通过将“认证应答(Authentication Answer)”消息发送到AAA服务器212来进行响应。通过SWx参考点来发送“认证应答”命令。表4中示出基于Diameter的“认证应答”命令的最相关AVP。如所示,其包含“认证数据(Authentication Data)”AVP,其内容示出在表5中。如所指示,“认证数据”AVP含有所有需要的认证/授权参数(RAND、AUTN、XRES)和密钥(CK、IK)。
表4“认证应答(Authentication Answer)”消息(3GPP TS 29.273的表8.1.2.1.1/4)
表5“认证数据(Authentication Data)”内容(3GPP TS 29.273的表8.1.2.1.1/5[6])
图6中示出用于EPS/E-UTRAN接入的密钥层级(3GPP TS 33.401。如所示,永久密钥K存储在UE(USIM)和网络(HSS/AuC 304)两者处。首先,UE 214和HSS 210导出中间密钥对CK和IK。接着,它们使用CK、IK和服务网络身份(SN ID)来导出KASME,如3GPP TS33.401的附录A.2中所说明。之后,使用先前在表2中描述的“Authentication-Information-Answer”消息将KASME发送到MME 202。
接着,UE 214和MME 202使用3GPP TS 33.401的附录A.7中描述的密钥导出功能(KDF)来导出NAS密钥,即KNASenc(NAS加密密钥)和KNASint(NAS完整性保护密钥)。此外,MME202和UE 214使用KASME和上行链路NAS COUNT来导出eNB安全密钥(KeNB),如3GPP TS 33.401的附录A.3中所定义。之后,eNB从MME 202接收含在“初始上下文设置请求(InitialContext Setup Request)”消息中的KeNB。最后,UE 214和eNB使用3GPP TS 33.401的附录A.7中描述的KDF导出用于用户平面(KUPint、KURCenc)和RRC(KRRCint、KRRCenc)传输的所需密钥。
MME 202使用“初始上下文设置请求”消息来将(KeNB)发送到eNB。大体来说,发送“初始上下文设置请求”消息以请求UE上下文的设置(TS 36.413的条款9.1.4)。使用“安全密钥(Security Key)”信息元素(IE)(KeNB)来在eNB中应用安全性(TS 36.413的条款9.2.1.41)。
在本节中,论述图7中所示的用于TWAN的AKA’密钥层级。类似于图6中的EPS情形,在UE 214和HSS处导出密钥对CK和IK。然后,利用“接入网络身份”导出新的密钥对即CK'和IK'。3GPP TS33.402的附录A.2示出如何从CK、IK和“接入网络身份”导出CK’、IK’。使用先前在表4中说明的“认证应答”消息来将密钥CK’、IK’发送到3GPP AAA服务器。接着,如下(IETFRFC 5448的条款3.3)在UE和3GPP AAA服务器处导出主密钥(MK):
MK=PRF’(IK’|CK’,”EAP-AKA’”|Identity)
K_encr=MK[0..127];K_aut=MK[128..383];K_re=MK[384..639];
MSK=MK[640..1151];EMSK=MK[1152..1663],
其中PRF'是伪随机函数,K_encr是128位加密密钥(用于数据加密),K_aut是256位认证密钥(用于MAC),K_re是256位重新认证密钥(用于快速重新认证),MSK是512位的主会话密钥,且EMSK是512位扩展主会话密钥。
MSK通过EAP方法IETF RFC 3748导出到TWAN。更具体来说,3GPP AAA服务器通过发送基于Diameter的“Diameter-EAP-Answer”(EAP-Payload(EAP有效负载)、EAP-Master-Session-Key(EAP主会话密钥))消息来将MSK传送到TWAN,如IETF RFC 4072中论述。“EAP-Master-Session-Key”AVP表示将在WLAN链路上使用的MSK。
在UE 214经历从一个eNB到另一个eNB的移交的LTE内移交中,UE 214不需要再次被认证到网络。而是仅在UE和目标eNB处生成新的KeNB。在图8中示出更新KeNB的程序,且可如下概述(3GPP TS 33.401的条款7.2.8)。首先,UE 214和MME 202将使用KASME密钥来导出KeNB和下一跳跃参数(NH)。NH链接计数器(NCC)与每一KeNB和NH参数相关联。MME 202可以发送KeNB密钥或{NH,NCC}对到eNB。在移交时,首先使用KeNB(水平密钥导出)或NH(垂直密钥导出)导出基础KeNB*。最后,将NH或KeNB进一步绑定到目标物理小区ID(PCI)及其下行链路演进绝对射频信道号(EARFCN-DL)。
可以对TWAN 218接入EPC 216进行快速重新认证。在此情况下,将不会像在完整认证情况中那样涉及HSS 210。快速重新认证程序目的在于生成将在UE与TWAN之间使用的新MSK。3GPP TS 33.402的条款6.3详细描述它。
一旦3GPP AAA服务器接收到重新认证ID,即从3GPP AAA服务器发送“EAP-Request/AKA’-Reauthentication(EAP请求/AKA’重新认证)”消息(IETF RFC 4187的条款9.7)消息到UE。其包含以下属性:COUNTER、NONCE、MAC和新的重新认证ID。第一,COUNTER是16位无符号的整数计数器值(IETF RFC 4187的条款10.16)。COUNTER在完整认证程序中被初始化为一。第二,NONCE是AAA服务器为此EAP-AKA’快速重新认证新生成的随机数(16字节)(IETF RFC 4187的条款10.18。随机数用作UE的挑战,且还用作新密钥材料的种子值。第三,MAC属性大体上含有涵盖EAP分组的消息认证代码(MAC)。在整个EAP分组(在此情况下为NONCE)上计算MAC,并与可选的消息特定数据级联(IETF RFC 4187的条款10.15)。最后,将在下一快速重新认证中使用新的重新认证ID。
在快速重新认证中,计算以下密钥(IETF RFC 5448):
MK=PRF’(K_re,“EAP-AKA’re-auth”|Identity|COUNTER|NONCE)
MSK=MK[0..511]
其中MK是主密钥,且PRF是伪随机数函数。在快速重新认证时,可以使用相同的伪随机数生成器来生成新的MSK(IETF RFC4187)。K_re是来自先前的完整认证的重新认证密钥,并且在基于其可能发生的任何快速重新认证中保持不变。最后,在服务器处生成COUNTER和NONCE。
在当前3GPP互通架构中,决定进行RAT间移交的多RAT(LTE/WLAN)UE将需要在进行移交之前运行完整认证程序,TS23.402。当小型小区与Wi-Fi网络共处时,要求UE详细描述在LTE与WLAN之间的每一移交处运行完整的重新认证是低效的。
发明内容
多RAT UE当前具有两个个独立的路径来与HSS进行认证(经由MME或3GPP AAA服务器引起对HSS的重复认证消息。下文描述的实施例使用UE和HSS之间用于小型小区和Wi-Fi认证的一个统一认证路径。
首先,新的3GPP EPC-TWAN互通架构使MME管理来自多RAT UE的认证请求。换句话说,所述3GPP AAA服务器将不处置来自基于ISWN的UE的任何认证程序。为此,在TWAN与MME之间添加新的参考点,即STb。
第二,添加新的统一认证程序,其允许基于ISWN的多RAT UE直接与所述HSS认证,与其当前的接入网络无关(TWAN或HeNB)。所述统一认证程序实现所述UE和MME之间的相互认证,并提供用于WLAN和LTE接入网络两者的密钥。TWAN发起的和HeNB发起的认证两者可以由UE分别经由TWAN或HeNB来完成。
第三,完成针对RAT间移交情形的新的快速重新认证程序。所述重新认证程序通过仅着重于生成所需的密钥来简化相互认证步骤。换句话说,快速的重新认证程序在所述重新认证过程中不涉及HSS,从而减轻了核心网络的负担。描述了ISWN内(TWAN到HeNB和HeNB-TWAN)和TWAN到eNB移交情形两者。
最后,描述了用以执行所述认证程序的各种标准协议消息的扩展。扩展的消息跨越S6a参考点(MME-HSS)上的以下层、协议和参考点:RRC、S1-AP、NAS、EAP和Diameter。
这些改变无需替代现有的3GPP互通架构。相反,它们可以提供更高效的替代方案,可以在小型小区和Wi-Fi网络紧密集成时使用。
虽然本文档中的示例涉及在诸如LTE的许可频谱中操作的无线电接入技术与诸如Wi-Fi的非许可中操作的无线电接入技术之间的移交,但是应该了解到,所述概念可以应用于任何两种无线电接入技术之间的移交。
提供本发明内容是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念的选择。此发明内容并不意图识别要求保护的主题的关键特征或基本特征,也不意图被用来限制要求保护的主题的范围。此外,要求保护的主题并不限于解决在本公开的任何部分中提到的任何或全部缺点的限制。
附图说明
从以下结合附图举例给出的描述中可以得到更详细的理解,其中:
图1是示出用于可信WLAN接入EPC的非漫游架构的图。
图2是示出了具有粗体的附加参考点的3GPP EPC-WLAN MME/S-GW锚定的ISWN架构的图。
图3是示出认证和密钥协议(AKA)的图。
图4是示出认证向量的生成的图。
图5是示出USIM中的用户认证功能的图
图6是示出E-UTRAN的密钥层级的图。
图7是示出TWAN的密钥层级的图。
图8是示出移交密钥链的模型的图。
图9是示出ISWN UE的两个并行认证路径的图。
图10是示出ISWN中的频繁的TWAN-HeNB移交的调用流的图。
图11是示出统一认证集成EPC-TWAN架构的图。
图12是示出基于HeNB的统一认证/附着程序的调用流的图。
图13是示出基于TWAN的统一认证/附着程序的调用流的图。
图14是示出具有快速重新认证程序的HeNB到TWAN移交的调用流的图。
图15是示出基于EAP-RP的重新认证的调用流的图。
图16是示出具有快速重新认证程序的TWAN到HeNB移交的调用流的图。
图17是示出具有快速重新认证程序的TWAN到eNB移交的调用流的图。
图18是示出集成EPC和不可信的WLAN网络架构的图。
图19是示出不可信的WLAN(下部)和可信的WLAN(上部)情形中的UE-HSS路径的图。
图20是示出供本发明的实施例使用的示例性图形用户界面的图。
图21A是其中可以实现IoT事件管理系统和方法的一个或多个公开实施例的示例机器到机器(M2M)或物联网(IoT)通信系统的图。
图21B是可以在图21A中示出的M2M/IoT通信系统内使用的示例架构的系统图。
图21C是可以在图21A中示出的通信系统内使用的示例M2M/IoT终端或网关装置的系统图。
图21D是其中可以体现图21A的通信系统的方面的示例计算系统的框图。
具体实施方式
图9描绘用于多RAT UE 214经由ISWN接入EPC 216的两个不同认证路径。UE 214在上部路径上通过HeNB 220和MME 202与HSS210执行AKA算法以用于LTE连接,或者在下部路径上通过TWAN和AAA服务器与HSS 210运用AKA算法用于WLAN连接。当UE 214进行RAT间移交时,其需要经由MME 202或AAA服务器212来与HSS 210重新运行认证程序。MME 202和3GPPAAA服务器212的角色是相似的。
在集成的小型小区/Wi-Fi网络中,在每一移交事件处重新运行完整的认证程序是低效的,其具有由MME 202和AAA服务器212两者提供的类似的功能性。
应理解,图9所示的功能性可以以存储在无线装置或其他设备(例如,服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即,计算机可执行指令)的形式来实现,诸如下文描述的图21C或21D中所示的那些中的一者。还应理解,图9中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图9中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
图10说明此程序细节。最初,假定UE 214被加电并且想要使用LTE。在图10的步骤1中,UE 214经由HeNB向MME 202发起“附着请求”程序。作为响应,在图10的步骤2中,MME 202发送“认证请求”消息到HSS 210。在图10的步骤3中,HSS 210运行AKA算法以生成认证向量和中间密钥。
在图10的步骤4中,HSS发送认证向量和密钥到MME。MME接着导出所需的密钥。在图10的步骤6中执行UE 214与MME 202之间的相互认证程序,在此期间UE运行AKA算法以生成所需的密钥和验证。一旦认证完成,在图10的步骤7中MME向S-GW/P-GW发起创建会话程序。因此在HeNB 220与S-GW/P-GW 1002之间建立GTP隧道。此外,在图10的步骤8中,在UE 214、HeNB 220和MME 202之间进行用于无线电和接入承载建立的LTE程序。
过了一段时间,在图10的步骤9中,UE 214发现WLAN并且想要移交到TWAN 218。因此,在图10的步骤10中,UE 214将发起与TWAN 218的连接。在图10的步骤11中,TWAN 218和UE 214将具有初始EAP认证程序。一旦完成,即在图10的步骤14和15中向AAA服务器212和HSS 210发送“认证请求”。MME 202和3GPP AAA服务器212的角色与在图10的步骤2和13中的是相似的。在图10的步骤14中,HSS 210运行AKA算法(类似于步骤3)以生成认证向量和中间密钥。需要这些认证向量来认证UE 214,其先前已经在图10的步骤6中被认证。
在图10的步骤15中,HSS 210发送认证向量和密钥到AAA服务器。因此在步骤16中,AAA服务器212导出所需的密钥。同样,MME202和3GPP AAA服务器212的角色与在图10的步骤5和16中的类似。接着,在图10的步骤17中,将在3GPP AAA服务器212与UE 214之间执行类似于与图10的步骤6中的相互认证。此程序包含在UE 214侧的密钥生成,类似于图10的步骤6。因此,TWAN 218经由3GPP AAA服务器212(在S2a参考点上)向S-GW/P-GW 1002发起“创建会话”程序,这通过在图10的步骤18中在TWAN 218与S-GW/P-GW 1002之间具有GTP隧道来结束。或者,TWAN 218可以经由在S1a-MME参考点上的MME 202(在图2中示出)来发起会话创建。最后,在图10的步骤19中完成认证程序并建立WLAN连接。
从图10可见,如果使用LTE接入的UE 214想要移交到TWAN218,那么在当前标准中,其将经由3GPP AAA服务器212再次联系HSS 210以进行授权。换句话说,图10阐明了ISWN内RAT间移交中的冗余认证程序。更准确地说,图10中的移交程序的缺点是:
1.如在图10的步骤3和14中那样,HSS 210两次运行AKA算法以生成认证向量。
2.如在图10的步骤6和17中那样,UE 214两次运行AKA算法以生成认证向量。
3.如在图10的步骤6和17中那样,UE 214和EPC 216两次交换消息的相互认证集。
在观察这个问题时,如果附着到ISWN的HeNB侧的UE 214想要移交到ISWN的TWAN侧,那么不需要经由AAA服务器212来与HSS210再次执行完整的认证程序。基于先前说明的用例,本公开中考虑的问题可以被表述如下:
·如何与EPC 216一次认证针对LTE和WLAN两者的附着ISWN的UE 214以减少向EPC216中的HSS 210的重复消息传递?
在此情况下,将不需要在ISWN内RAT间移交处运行完整的认证程序。相反,我们将具有快速的重新认证程序。
·如何在RAT间移交情形处进行快速重新认证?
例如,可能不需要HSS 210参与重新认证过程。
应理解,执行图10中示出的步骤的实体可以是逻辑实体,其可以以软件(即,计算机可执行指令)的形式实现,该软件存储在被配置用于无线和/或网络通信的设备或诸如图21C或图21D中所示的那些计算机系统的存储器中并且在其处理器上执行。也就是说,图10中示出的方法可以以存储在诸如图21C或图21D中示出的设备或计算机系统的设备的存储器中的软件(即,计算机可执行指令)的形式来实现,所述计算机可执行指令在被设备的处理器执行时执行图10中示出的步骤。还应理解,图10中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图10中示出的任何发送和接收步骤可以由在设备的处理器的控制之下设备的通信电路以及其执行的计算机可执行指令(例如,软件)执行。还应理解,图10中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
图11示出用于EPC-TWAN集成的互通架构。具有修改消息的现有参考点是Uu、SWu、S1-MME和SGa。先前在图2中论述的附加参考点是S1a-MME和S1a-U。在TWAP 224与MME 202之间添加新的参考点STb。图11示出集成在ISWN 230内的HeNB 220和TWAN 218。在本公开中呈现的想法也适用于HeNB小型小区220和TWAN 218被集成在同一个物理盒子中的情况。
在此示例中,将不利用3GPP AAA服务器212。相反地,针对认证程序,TWAP 224将经由新的STb参考点连接到MME 202。关于会话管理(SM)程序并类似于图2,TWAN 218(此情况下的TWAG 232)将分别经由S1a-MME和S1a-U参考点连接到MME 202和S-GW 206。
统一认证程序可以绕开3GPP AAA服务器212,且仅使用HSS 210和MME 202用于ISWN 230的认证。然而,3GPP AAA服务器212仍然可以共存于同一网络中,用于不允许统一认证的其他网络的认证,或者在不支持统一认证时使用。最后,我们指出,此类互通架构可以推广到利用诸如CDMA2000的3GPP AAA服务器212的其他非3GPP系统。
如图11中示出,ISWN 230由TWAN 218和HeNB 220组成。我们假设每一接入节点(HeNB 220或TWAN 218)都配置有关于ISWN230的一些参数。这些配置参数旨在包含E-UTRAN网络类型(如在3GPP TS 33.401中)和WLAN接入网络身份(如在3GPP TS 24.302中)。表6描绘添加的配置参数。如所指示,首先添加“接入类型”以指示集成性质为“ISWN”。其次,我们将ISWN 230的HeNB侧的“网络类型”包含为“E-UTRAN”。最后,我们将TWAN 218侧的“网络接入身份”指示为WLAN。这些ISWN配置参数将被存储在HeNB 220和TWAN 218两者处,且将由两者中的任一者发送到认证/附着程序内的MME 202。
应理解,图11所示的功能性可以以存储在无线装置或其他设备(例如,服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即,计算机可执行指令)的形式来实现,诸如下文描述的图21C或21D中所示的那些中的一者。还应理解,图11中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图11中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
表6ISWN配置参数
统一认证程序
在本节中,我们介绍允许UE 214和网络对ISWN 230的两个RAT执行完整AKA算法的统一认证程序。认证步骤是初始附着程序中的第一重要步骤。因此,作为初始附着过程的一部分,我们将说明认证程序。我们将涵盖两种情况,这取决于UE 214是否发起对ISWN 230的TWAN 218或HeNB 220的附着。
基于HeNB的统一认证/附着程序
在本节中,我们假定UE 214将经由HeNB 220发起到HeNB 230的附着。因此,我们旨在使UE 214经由MME 202与HSS 210相互认证。此外,将导出用于E-UTRAN和WLAN 218两者的密钥材料。考虑到表6中的ISWN配置参数,统一的程序仅依赖于运行AKA算法一次。
图12描绘基于HeNB的统一认证/附着程序的调用流,且其可如下描述。
在图12的步骤1中,UE 214经由与HeNB 220进行“RRC连接建立”程序来开始建立连接,如3GPP TS 36.331的条款5.3.3中描述。更准确地说,其发送“RRC连接请求(RRCConnection Request)”消息到HeNB 220。作为响应,HeNB 220发送“RRC连接设置(RRCConnection Setup)”消息到UE 214。
在图12的步骤2中,因此,UE 214发送“RRC连接设置完成(RRC Connection SetupComplete)”(NAS:附着请求、GUMMEI、统一认证)消息到携带NAS“附着请求”(旧的GUTI、旧的GUTI类型、UE核心网络能力、附着类型、…等)内容的HeNB。包含在“附着请求(AttachRequest)”消息中的信息元素的列表在3GPP TS 23.401的条款5.3.2中提到,并且也在3GPPTS 24.301的表8.2.4.1中列出。如3GPP TS23.003中定义的全球唯一临时身份(GUTI)由MME202分配给UE214。如果UE 214不具有有效的旧GUTI,那么应该包含IMSI。“UE核心网络能力”信息元素包含所支持的AS和NAS安全程序的指示。除了“附着请求”NAS内容之外,“RRC连接设置完成”消息还带有指示选定的网络和旧的全球唯一MME标识符(GUMMEI)的RRC参数,如3GPP TS 36.331的条款6.2.2中所指示。
“RRC连接设置完成”消息的新的“统一认证(Unified Authentication)”信息元素。由UE 14使用这个新的信息元素以向HeNB220指示其希望以执行也包含ISWN的TWAN侧的统一认证。我们指出,通过添加此类IE,UE 214将向后兼容,因为其可以执行典型的认证程序。类似地,在图12的步骤1中,在从HeNB 220到UE 214的“RRC连接设置”消息中添加新的信息元素,即“统一认证”。由HeNB 220使用此类信息元素来指示其对UE 214的统一认证程序的支持。
在图12的步骤3中,HeNB 220使用“旧GUMMEI(old GUMMEI)”信息元素从所接收的“RRC连接设置完成”消息提取MME 202。接着,HeNB 220发送“初始UE消息(Initial UEmessage)”(NAS-PDU、选定网络、CSG ID、接入类型、接入网络身份)消息到MME 202。在(3GPPTS 36.413的条款8.6.2.1)中给出了原始S1-MME“初始UE消息”控制消息。CSG ID指示封闭订户组(CSG)的标识符。
我们假定HeNB 220发送关于其集成TWAN 218的一些信息。一旦建立了ISWN,就可以在HeNB 220和TWAN 218两者中配置此类信息。更具体来说,HeNB 220将发送传达“接入类型=ISWN”和“接入网络身份=WLAN”的“初始UE消息”消息到MME 202。“接入网络身份=WLAN”表示TWAN侧(3GPP TS 24.302的表8.1.1.2)。此外,我们定义ISWN的新的“接入类型(Access type)”以将UE 214连接到ISWN 230(TWAN 218和HeNB 220)通知到MME 202。
在图12的步骤4中,为了建立EPS安全参数(认证、NAS安全设置),MME 202发起AKA程序。具体地,MME 202发送“Authentication-Information-Request”(IMSI、PLMN-ID、Requested-EUTRAN-Authentication-Info、接入类型、接入网络身份)消息到HSS 210。PLMN-ID或服务网络身份(SN ID)身份等于MCC+MNC。先前在表1中示出“Authentication-Information-Request”消息的标准AVP。
扩展“Authentication-Information-Request”消息以包含TWAN 218侧的“接入类型=ISWN”和“接入网络身份=WLAN”。
在图12的步骤5中,在接收到“Authentication-Information-Request”消息后,HSS 210运行AKA程序。因此,HSS 210生成认证向量(AV),其由RAND、XRES、CK、IK和AUTN组成。
在图12的步骤6中,另外并且对于E-UTRAN,CK、IK和SN ID的集合被馈送到加密密钥导出功能(KDF)以生成新的密钥,即KASME,如先前在图6中示出。
在图12的步骤7中,另外并且对于WLAN 218,CK、IK、接入网络身份和序列号(SQN)的集合被馈送到加密KDF以生成新的密钥对,即CK'和IK',如先前在图7中示出。
在图12的步骤8中,一旦HSS 210生成AV和密钥,将它们在“Authentication-Information-Answer”(RAND、AUTN、XRES、KASME、CK’、IK’、重新认证ID)消息中转发到MME202。先前在表2中示出“Authentication-Information-Answer”消息的标准AVP。
将三个信息元素添加到“Authentication-Information-Answer”消息,即CK’和IK’。
在图12的步骤9中,MME 202生成用于NAS加密(KNASenc)、NAS完整性(KNASint)以及还有HeNB安全密钥(KeNB)的所需密钥。如先前在图6中示出,这些密钥基于先前在图12的步骤8中从HSS 210所接收的中间密钥KASME而生成。
在图12的步骤10中,类似于WLAN,MME 202生成用于图7中呈现的WLAN 218的所有的所需密钥,即K_encr、K_aut、K_re、MSK和EMSK。这些密钥基于先前在图12的步骤8中从HSS所接收的中间密钥CK’和IK’而导出。
MME 202可以生成所有WLAN密钥(K_encr、K_aut、K_re、MSK和EMSK)。此类密钥生成功能从3GPP AAA服务器212移动到MME202。
在图12的步骤11中,一旦从HSS 210接收到AV且生成E-UTRAN和WLAN密钥,MME 202即通过发送NAS“认证请求”消息而发起与UE 214的相互认证过程。因此,MME 202首先发送“认证请求”(RAND、AUTN、重新认证ID、接入网络身份)消息到HeNB 220。在3GPP TS 24.301的表8.2.7.1中示出NAS“认证请求”消息的信息元素的完整列表。将由MME 202生成重新认证ID,以供UE 214如果其稍后将连接到ISWN 230的TWAN 218侧时使用。
添加两个新信息元素,分别是“认证请求”消息中的“接入网络身份(AccessNetwork Identity)”和“重新认证ID(re-authentication ID)”。“接入网络身份”信息元素将WLAN接入网络身份传达到UE(经由HeNB)。以与图12的7类似的方式,在UE处需要此类信息元素以用于WLAN密钥生成。
在图12的步骤12中,在HeNB 220转发NAS“认证请求”消息到UE 214。“重新认证ID”将被存储在UE 214处以供稍后每当UE 214尝试连接到ISWN 230的TWAN 218时使用。
在图12的步骤13中,作为响应,UE 214运行先前在图5中描述的AKA算法。UE 214生成预期AUTN(或更具体来说XMAC)、RES、CK和IK。首先,UE 214验证所生成的预期AUTN匹配从MME 202接收的AUTN。如果是,那么UE 214认证所述网络。
在图12的步骤14中,类似于图12的步骤5和6,在HSS 210侧完成,UE 214使用所生成的密钥CK和IK以及其他参数诸如“SN ID”和“接入网络身份”(从MME接收)来建立中间密钥KASME、CK'、IK'。我们注意到,KASME将被用来导出E-UTRAN密钥(如图6所示),而CK'、IK'将被用来导出WLAN密钥(如图7所示)。
在图12的步骤15中,基于这些中间密钥,UE 214导出用于E-UTRAN和WLAN传输的所有的所需密钥。首先针对E-UTRAN(接图7),UE 214导出NAS加密(KNASenc)、NAS完整性(KNASint)、RRC加密密钥(KRRCenc)、RRC完整性密钥(KRRCint)、用户平面加密密钥(KUPenc)和用户平面完整性密钥(KUPint)。其次针对WLAN(接图7),UE 214导出数据加密密钥(K_encr)、MAC认证密钥(K_aut)、重新认证密钥(K_re)、主会话密钥(MSK)和扩展主会话密钥(EMSK)。
在图12的步骤16中,由于UE 214已认证网络,所以其发送回NAS“认证响应”(RES)消息到MME 202。在上文的图12的步骤13中生成“RES”信息元素。在3GPP TS 24.301的表8.2.8.1中列出NAS“认证响应”消息的信息元素的完整列表。
在图12的步骤17中,HeNB 220转发NAS“认证响应”(RES)消息到MME 202。
在图12的步骤18中,一旦MME 202接收到“RES”,它将其与“XRES”(在图12的步骤8中从HSS 210接收)进行比较。如果验证成功,MME 202认证UE 214。因此,成功完成UE 214与网络之间的相互认证。
在图12的步骤19中,MME 202通过发送标准“创建会话请求(Create SessionRequest)”消息到S-GW来向服务GW(S-GW)206和PDN网关(P-GW)208发起创建会话。作为响应,P-GW 208和S-GW206发送“创建会话响应(Create Session Response)”(S-GW TEID、P-GW TEID)消息到MME 202,识别要在来自HeNB 220的上行链路传输中使用的隧道端点标识符(TEID)。
在图12的步骤20中,一旦建立了朝向S-GW/P-GW 1002的会话,MME 202在“初始上下文设置请求/附着接受(Initial Context Setup Request/Attach Accept)”(KeNB)消息中将HeNB 220安全密钥(KeNB)发送到HeNB 220。此消息还包含要在上行链路传输中使用的S-GW的TEID和地址。其还包含EPS承载身份、NAS SQN和NAS-MAC。NAS SQN指示NAS消息的序列号,且NAS-MAC是用于完整性的NAS的消息认证代码(MAC)。例如,如3GPP TS 33.401中所述,TAU请求消息应由NAS-MAC完整性保护。
在图12的步骤21中,在接收到包含来自MME 202的安全密钥(KeNB)的“附着接受(Attach Accept)”消息后,图6之后的HeNB220导出E-UTRAN RRC和用户计划密钥,即KRRCenc、KRRCint、KUPenc和KUPint。
在图12的步骤22中,HeNB 220通过发送标准“RRC连接重新配置(RRC ConnectionReconfiguration)”消息和取回标准“RRC连接重新配置完成(RRC ConnectionReconfiguration Complete)”消息来发起向UE 214的RRC连接重新配置程序。3GPP TS23.401的图5.3.2.1-1(步骤18、19)详细说明这些消息。
在图12的步骤23中,一旦RRC连接被重新配置,HeNB 220通过发送“初始上下文设置响应(Initial Context Setup Response)”(HeNB TEID、HeNB地址)消息来回复MME 202。此消息传达要在下行链路业务中使用的HeNB 220的TEID和地址。
在图12的步骤24中,为了完成E-UTRAN附着,UE 214发送NAS“附着完成(AttachComplete)”消息到MME 202。更具体来说,UE214发送“附着完成”(EPS承载身份、NAS SQN、NAS-MAC)消息到HeNB 220。接着,HeNB 220在“上行链路NAS传输(Uplink NAS Transport)”消息中将NAS“附着完成”消息转发给MME 202。现在可以开始UE 214与HeNB 220之间的LTE传输。
在图12的步骤25中,最后建立用于下行链路的用户平面隧道,MME 202在前往S-GW206的“修改承载请求(Modify Bearer Request)”(HeNB TEID)消息中将HeNB TEID传达到S-GW 206。S-GW 206通过发送回“修改承载响应”消息来进行确认。现在,在HeNB 220与S-GW/P-GW之间建立了GTP隧道。
基于TWAN的统一认证/附着程序
在本节中,我们假定UE 214尝试经由其TWAN 218侧而连接到ISWN 230。类似于图12中呈现的统一认证观念,UE 214旨在与TWAN218和HeNB 220两者进行统一的认证。更准确地说,UE 214首先将建立与TWAN 218的EAP认证。然而,与标准TWAN向3GPP服务器的传输相反,TWAN 218将与MME 202通信以在新的STb参考点上传达认证请求。将在STb参考点上使用两个基于Diameter的消息来利用Diameter协议,即“Diameter-EAP-Request”和“Diameter-EAP-Answer”消息。
将应用涉及HSS 210、MME 202、TWAN 218和UE 214的标准AKA算法。UE 214和MME202两者将生成要用于TWAN传输中的所需密钥。我们注意到不再需要3GPP AAA服务器212。图13描绘基于TWAN的统一认证和附着程序的调用流。
图13中的调用流可以如下描述。
在图13的步骤1中,根据IEEE 802.11标准在UE 214与TWAN 218之间发起连接。
在图13的步骤2中,作为用于认证的第一步骤,TWAN 218(特别是TWAP)根据IETFRFC 5448中定义的EAP-AKA’协议来发送“EAP-Request/Identity(EAP请求/身份)”消息到UE 214。
在图13的步骤3中,响应于身份请求,UE 214发送指示其网络接入标识符(NAI)的“EAP-Response/Identity(EAP响应/身份)”(NAI、统一认证)消息到TWAN(IETF RFC 4282,3GPP TS 23.003)。如果UE 214之前已经被认证,那么NAI是分配的假名。否则在第一认证情况下NAI是IMSE。
可以通过添加“统一认证”信息元素来扩展EAP“EAP-Response/Identity”消息。“统一认证”信息元素是来自UE 214的指示符,其需要执行包含ISWN 220的TWAN 218和HeNB220两侧的基于ISWN的统一认证。我们指出,EAP消息可以像先前所做的那样被扩展,以包含例如“移交指示符(handover indicator)”(3GPP TS23.402中的条款16.1.4A.2)。
在图13的步骤4中,由于此TWAN 218是ISWN 230的一部分,所以TWAN 218可以将其自身的识别信息以及其ISWN 230携带到MME 202。更具体来说,TWAN 218发送“Diameter-EAP-Request”(EAP-Response/Identity=NAI,接入类型=ISWN,接入网络身份=WLAN)消息到MME 202。通过包含ISWN接入类型,使得MME 202知道附着到TWAN 218的多RAT UE 214正尝试向ISWN 230的TWAN218和HeNB 220二者进行认证。
在STb参考点上添加新消息,即“Diameter-EAP-Request”消息,其与在IETF RFC4072中在STa(AAA服务器与TWAP之间)上定义的消息类似。此外,可以将“接入类型=ISWN”和“接入网络身份=WLAN”添加到“Diameter-EAP-Request”消息。
图13的步骤5-11类似于图12的步骤4-10。这些步骤包含MME202与HSS 210之间的关于认证向量的请求的通信。另外,这些步骤还包含在HSS 210和MME 202处的E-UTRAN和TWAN 218的密钥生成。
在图13的步骤12中,由于认证向量在MME 202处可用,所以其发送“Diameter-EAP-Answer”(EAP-Request/AKA’-Challenge)消息到TWAN 218。“EAP-Request/AKA’-Challenge”有效负载包含在UE214处的认证和密钥生成所需的(RAND、AUTN、重新认证ID、接入网络身份)。重新认证ID将在任何即将来临的快速重新认证请求中用作UE的身份。
在STb参考点上添加新消息,即“Diameter-EAP-Answer”消息,其与在IETF RFC4072中在STa(AAA服务器212与TWAP 224之间)上定义的消息类似。没有新的AVP添加到“Diameter-EAP-Answer”消息。
在图13的步骤13中,TWAN 218(特别是TWAP 224)将EAP-Request/AKA’-Challenge(RAND、AUTN、重新认证ID、接入网络身份)转发到UE 214。
在图13的步骤14-16中,类似于图12中的步骤13-15,UE 214运行AKA算法以生成AUTN以及还有用于步骤14-16中的WLAN和E-UTRAN的所需密钥。UE 214过比较所接收的AUTN与其自身生成的AUTN来认证网络。最后,UE 214生成将要发送到MME 202的RES。
在图13的步骤17中,由于由UE 214认证网络,所以UE 214通过发送“EAP-Response/AKA’-Challenge”(RES)消息到TWAN 218(特别是TWAP 224)来进行响应。
在图13的步骤18中,TWAN在新的STb参考点上将被包含在“Diameter-EAP-Request”中的EAP“EAP-响应/AKA’挑战”(RES)消息转发到MME 202。
在图13的步骤19中,MME 202以类似于图12的步骤18的方式来认证UE 214。
在图13的步骤20中,一旦UE 214被认证,MME 202发送“Diameter-EAP-Answer”(EAP-Success(EAP成功)、EAP-Master-Session-Key)消息到携带EPS有效负载的TWAN(EAP成功)以指示EAP认证的成功。此外,此消息将“EAP-Master-Session-Key”(MSK)AVP传达到TWAN 218,以在UE 214与TWAN 218之间用于其进一步通信。
在图13的步骤21中,为了完成认证程序,TWAN 218转发“EAP-Success”消息到UE214。
在图13的步骤22中,为了创建会话,TWAN 218在S1-MME参考点上向MME 202发送“创建会话请求”(TWAN TEID)消息,该消息被转发到S-GW 206和P-GW 208。
在图13的步骤23中,作为响应,P-GW/S-GW发送“创建会话响应”(S-GW TEID)消息到MME 202,该消息被转发到TWAN 218(在S1-MME参考点上)。现在在TWAN 218、S-GW 206和P-GW 208之间建立了GTP隧道。
在图13的步骤24中,UE 214可以发送标准层3附着请求(例如DHCPv4请求)。作为响应,将具有分配的IPv4地址的DHCPv4消息发送到UE。现在在UE 214与TWAN 218之间建立了使用IEEE 802.11标准的WLAN通信。
RAT间移交程序中的快速重新认证
ISWN内HeNB到TWAN移交程序中的快速重新认证
在本节中,我们考虑UE 214已经通过附着到HeNB 220而初始执行统一认证的情形。接着,UE 214决定切换到WLAN 218。由于UE 214已经被HSS 210认证,所以不需要再次运行完整的认证程序。相反,UE 214和MME 202仅需要运行快速重新认证,其中仅生成用于WLAN接入网络的新密钥(例如MSK)。图14描绘用于同一ISWN 230内的HeNB到WLAN移交情形中的快速重新认证程序的调用流。如将要示出的,不需要生成新的认证向量。
MME 202而不是TWAN 218将是用于生成新WLAN密钥(例如,MSK)的负责网络实体。这与3GPP指南一致,3GPP指南通常允许AAA服务器(不是TWAN 218)执行快速重新认证(3GPPTS 33.402的条款6.3)或MME 202(不是HeNB 220)生成LTE内的E-UTRAN移交密钥(第212节)。
图14中的调用流可以如下描述。
在图14的步骤0中,LTE连接已经存在于UE 214、HeNB 220和S-GW/P-GW之间。假定HeNB 220是ISWN的一部分。此外,与包含HeNB 220和WLAN 218两者的ISWN 230的统一认证程序初始已根据上文论述的新程序来完成。
在图14的步骤1中,UE 214决定在同一ISWN内进行到TWAN218的RAT间移交。因此,UE 214发起与TWAN 218的连接。
在图14的步骤2中,作为从TWAN 218侧的第一步骤,其向UE214发送“EAP-Request/Identity”消息以询问UE的身份。
在图14的步骤3中,作为响应,UE 214通过发送“EAP-Response/Identity”(重新认证ID、移交)消息到TWAN 218来进行回复。在此消息中,UE 214使用重新认证ID来指示其身份,所述重新认证ID在之前的初始统一认证程序(图12中的步骤12)中被发送到UE 214。此外,其指示正在进行向TWAN 218的移交。我们注意到,EAP-AKA’先前已被扩展以携带“移交指示符”和“请求的APN(requested APN)”信息元素(3GPP TS 23.402中的条款16.1.4A.2)。因此,我们在此步骤中通过包含“移交指示符”而利用此EAP扩展。
在图14的步骤4中,TWAN 218通过发送“Diameter-EAP-Request”(EAP-Response/Identity:重新认证ID、接入类型=ISWN、接入网络身份=WLAN、接入网络身份、移交)来将所接收的消息传到MME(在新的STb参考点上)。此消息向MME 202指示,现有的UE 214(由其重新认证ID辨识的)旨在进行到其ISWN 230的WLAN 218侧的移交。
在图14的步骤5中,MME 202接收“重新认证ID”信息元素,其决定使用快速重新认证程序。因此,其将跳过图13中的步骤5-10。接着,MME 202在新的STb参考点上发送“Diameter-EAP-Answer”(EAP-Request/AKA’-Reauthentication:COUNTER、NONCE、MAC、重新认证ID)消息到TWAN 218。在此消息中,MME 202包含新鲜的COUNTER值(其在完整的认证程序中被初始化为一)、NONCE、MAC和新的重新认证ID。MAC根据NONCE来计算,且新的重新认证ID将用于下一快速重新认证。这些属性遵循标准的“EAP-Request/AKA’-Reauthentication”EAP消息。
在图14的步骤6中,一旦TWAN 218接收到上述消息,其即向UE 214转发包含其有效负载(COUNTER、NONCE、MAC、重新认证ID)的“EAP-Request/AKA’-Reauthentication”消息。
在图14的步骤7中,在接收到所述消息后,UE 214验证计数器是否具有新鲜的值,且MAC是否正确地计算。接着,UE 214通过发送“EAP-Response/AKA’-Reauthentication(EAP响应/AKA’重新认证)”(COUNTER、MAC)消息到TWAN 218来进行响应。COUNTER与从MME202所接收的相同,且MAC根据EAP分组和NONCE(如从MME 202接收)来计算。这些属性遵循在IETF RFC 4187的条款9.8中定义的标准的“EAP-Response/AKA’-Reauthentication”EAP消息。
在图14的步骤8中,TWAN 218将从UE 214接收的EAP有效负载嵌入到“Diameter-EAP-Request”(EAP-响应/AKA'-重新认证)消息中,并在新的STb参考点上将其发送到MME202。
在图14的步骤9中,接收到重新认证响应,MME 202重新生成WLAN主会话密钥(MSK)。基于重新认证密钥(K_re)、重新认证ID、COUNTER和NONCE来生成新的MSK。
在图14的步骤10中,MME 202在新的STb参考点上将“Diameter-EAP-Answer”(EAP-Success、MSK)消息发送到TWAN218。因此,TWAN 218将存储要在其与UE 214的传输中使用的MSK。
在图14的步骤11中,为了完成快速重新认证程序,TWAN 218转发“EAP-Success”消息到UE 214。
此外,在图14的步骤12中,TWAN 218在S1-MME参考点上向MME 202发送“创建会话请求”(TWAN TEID),其被转发到S-GW206和P-GW 208。
在图14的步骤13中,作为响应且假定“移交”指示,P-GW 208重新分配相同的IP地址到UE 214。接着,其发送“创建会话响应”到S-GW 206,其被转发到MME 202,且最后到TWAN218(在S1-MME参考点上)。因此,在TWAN 218、S-GW 206和P-GW 208之间建立GTP隧道。
在图14的步骤14中,一旦UE 214接收到来自TWAN的“EAP-Success”消息,其生成新的WLAN MSK,类似于图14的步骤9。此外,UE 214可以发送标准层3附着请求,(例如,DHCPv4请求)。作为响应,将具有分配的IPv4地址的DHCPv4消息发送到UE。因此,现在完成移交,且UE 214具有与TWAN 218的WLAN连接。
最后,在图14的步骤15中,由PGW 208发起3GPP EPS承载释放程序。更具体来说,执行3GPP TS 23.402的条款5.6.2.2中描述的P-GW 208发起的PDN断开程序。
下文描述了一种替选机制,其描述了基于EAP-重新认证协议(EAP-RP)(RFC 6696)的优化的重新认证机制。EAP-RP协议可以在完整的EAP认证或者AKA认证协议之后或者对于任何完整的认证协议来执行。EAP-RP使用单个往返来实现重新认证。可以使用类似的机制来执行重新认证,诸如可以采用一次往返认证(ORTA)。还可以采用EAP-FAST机制。
可以采用诸如ORTA的机制,以便进一步减少认证/IP地址指派中涉及的等待时间。ORTA利用ORTA ID,从而避免完整的认证程序,并且UE可以能够可选地使用ORTA消息来请求IP地址指派,而不必以串行方式在EAP认证已经执行之后明确地启动DHCP消息。使用ORTA,以并行的方式使用ORTA消息传递而隐式地或显式地执行DHCP过程。
图15中的调用流可以如下描述。
在图15的步骤0中,我们假定LTE连接已经存在于UE 214、HeNB215和S-GW/P-GW1002之间。假定HeNB 220是ISWN 230的一部分。此外,已根据关于图12论述的新程序来初始地用包含HeNB 220和WLAN 218两者的ISWN 230完成统一认证程序。作为认证过程的结果,基于EAP-RP协议来创建重新认证的上下文。作为EAP认证的一部分而生成的扩展主会话密钥(EMSK)可以用于生成重新认证根密钥(rRK),其可以与由EMSKName/keyNameNAI标识的重新认证上下文信息相关联。诸如重新认证完整性密钥(rIK)的基于rRK的派生密钥和其他关联密钥可以在UE和MME 202两者处生成。还可以生成域特定(例如,DS-rRK)和关联密钥(例如,DS-rIK.DS-rCK)。
在图15的步骤1中,我们假定UE 214决定在同一ISWN 230内进行到TWAN 218的RAT间移交。因此,UE 214发起与TWAN 218的连接。
在图15的步骤2中,作为从TWAN侧的第一步骤,其向UE 214发送“EAP-Request/Identity”消息以询问UE的身份。这可以是可选的或者被替换为特定的EAP重新认证请求身份消息。
在图15的步骤3中,UE“EAP-Initiate/Re-auth/bootstrap(EAP-发起/重新认证/引导程序)”(keyNameNAI、SEQ、MAC)消息到TWAN218。在此消息中,UE 214指示作为前述初始统一认证程序(图12中的步骤12)的部分而生成的重新认证上下文(keyNameNAI)。此外,其指示正在进行向TWAN 218的移交。“移交”指示可以是显式的或隐式的。如果不存在与特定TWAN 218相关联的新鲜且有效的密钥,那么即使没有发生移交,UE 214也可以发起此过程。消息认证代码或认证标签是使用EAP-RP协议中描述的机制创建的。连同所述消息一起使用SEQ值以及rIK以便创建MAC/认证标签。
在图15的步骤4中,TWAN 218通过发送“Diameter-EAP-Request”(EAP-Initiate/Re-auth/bootstrap:keyNameNAI、接入类型=ISWN、接入网络身份=WLAN、接入网络身份、SEQ、MAC)来将所接收的消息承载到MME 202(在新的STb参考点上)。此消息向MME 202指示,现有的UE(由其keyNameNAI辨识)旨在进行到其ISWN 230的WLAN侧的移交。
在图15的步骤5中,基于由MME 202接收的keyNameNAI,MME202检查所述重新认证上下文信息并获得与EMSKName相关联的rIK。MME 202使用EAP-RP协议所描述的机制来验证MAC/认证标签。MME202使用SEQ和rRK来生成rMSK。
在图15的步骤6中,MME 202创建“Diameter-EAP-Answer”(EAP-Success(rMSK、MAC)并将其发送到TWAN 218。
在图15的步骤7中,一旦TWAN 218接收到消息,其存储rMSK并向UE 214转发包含其有效负载的“EAP-Success”(MAC)消息,有效负载含有MAC/认证标签。
在图15的步骤8中,在接收到所述消息后,UE 214验证SEQ是否按顺序,且MAC是否正确地计算。UE 214然后使用与MME 202类似的机制来导出rMSK。导出其他相关的TWAN特定密钥以便保护802.11消息。
此外,在图15的步骤9中,TWAN 218在S1-MME参考点上向MME 202发送“创建会话请求”(TWAN TEID),其被转发到S-GW206和P-GW 208。
在图15的步骤10中,作为响应且假定“移交”指示,P-GW 208重新分配相同的IP地址到UE 214。接着,其发送“创建会话响应”到S-GW 206,其被转发到MME 202,且最后到TWAN218(在S1-MME参考点上)。因此,在TWAN 218、S-GW 206和P-GW 208之间建立GTP隧道。
在图15的步骤11-12中,从前面的消息流开始。
ISWN内TWAN到HeNB移交程序中的快速重新认证
在本节中,我们考虑在ISWN 230中从TWAN 218到HeNB 220的移交情形。最初,我们假定已经执行了统一认证程序以用ISWN 230的TWAN 218来认证UE 214。接着,UE 214决定向ISWN的HeNB 220侧进行移交。在此情况下,不需要运行完整的认证程序。相反,可以执行UE 214与MME 202之间的快速重新认证程序,其重点仅在于密钥再生。HSS 210将不涉及快速重新认证程序。图16描绘用于ISWN内TWAN到HeNB移交情形中的快速重新认证和移交程序的调用流。
图16中的调用流可以如下描述。
在图16的步骤0中,我们假定UE 214与TWAN 218和S-GW/P-GW 1002具有现有的连接。TWAN 218是ISWN 230的一部分。此连接初始是使用基于TWAN的统一认证/许可程序来认证的。
在图16的步骤1中,我们假定UE 214决定移交到HeNB 220,其是先前认证的ISWN230的一部分。首先,UE 214发送包含“移交”指示的NAS“附着请求”(移交)消息到HeNB 220。
在图16的步骤2中,作为响应,HeNB 220转发“附着请求”(移交)消息到MME 202。
在图16的步骤3中,一旦MME 202接收到ISWN内RAT间移交指示,其即可以运行快速重新认证程序。换句话说,跳过图12的步骤4-18。接着,类似于图12中的步骤19,在MME 202、S-GW 206和P-GW208之间进行标准会话创建程序。“创建会话请求”消息将包含IMSI、移交指示和APN。作为响应且假定“移交”指示,P-GW 208重新分配相同的IP地址到UE 214。接着,P-GW/S-GW 1002将发送“创建会话响应”(IP地址、S-GW TEDI、P-GW TEID)消息返回到MME202。
在图16的步骤4中,一旦创建了移交会话,MME 202将其本地保持的NCC值增加1,并使用其存储的KASME及其本地保持的NH值来计算新鲜的NH值(3GPP TS 33.401的附录A.4)。对于NAS安全密钥,我们注意到,MME 202已经存储了在初始统一认证程序(图13的步骤10)中导出的KNASenc和KNASint的版本。
在图16的步骤5中,MME通过发送“初始上下文设置请求/附着接受”(NH、NCC)消息到HeNB 220来接受所述附着请求。
在图16的步骤6中,除了目标HeNB物理小区ID(PCI)及其频率EARFCN-DL(目标物理小区下行链路频率)之外,HeNB 220还使用所接收的(NH、NCC)来生成新的安全密钥(KeNB)。在3GPP TS 33.401的附录A.5中描述这一个生成功能。
在图16的步骤7中,一旦生成了新的KeNB,HeNB将基于KeNB来导出所有的附加所需的E-UTRAN密钥,即(KRRCenc、KRRCint、KUPenc、KUPint)。
在图16的步骤8中,一旦在HeNB 220处完成密钥生成过程,其即发送“移交命令”(NCC)消息到带有新的NCC值的UE 214。在3GPP TS 33.401的条款7.2.8.4.3中提及在“移交命令”消息中包含“NCC”信息元素。
在图16的步骤9中,一旦UE 214接收到NCC值,其首先使用其存储的KASME及其本地保持的NH,以与MME 202在图16的步骤4中做的类似的方式生成新鲜的NH。其次,UE 214使用(NH、NCC、目标PCI、频率EARFCN-DL)来生成KeNB,类似于HeNB 220在图16的步骤6中所做的。对于NAS安全密钥,我们注意到,UE 214已经存储了在初始统一认证程序(图13的步骤16)中导出的KNASenc和KNASint的版本。
最后,在图16的步骤10中,UE 214基于KeNB导出所有的所需E-UTRAN密钥(KRRCenc、KRRCint、KUPenc、KUPint),类似于HeNB 220在图16的步骤[0175]中所做的。
在图16的步骤11-14中,类似于图12的步骤22-25来交换“RRC连接重新配置”、“初始上下文设置响应”、“附着完成”和“修改承载请求/响应”消息。最后,完成移交程序,且建立新的LTE连接和相关联的GTP隧道。
在图16的步骤15中,如3GPP TS 23.402的条款6.12中所定义的,PDN GW 208发起TWAN 218中的资源分配失活程序。
TWAN到eNB移交程序中的快速重新认证
在本节中,我们考虑UE 214从作为ISWN 230的一部分的TWAN218去往宏eNB 1702的情形。这种情形类似于订户离开他的家或办公室(ISWN/TWAN)并在去往(宏eNB 1702)的路上的情况。图17描绘此情况中的调用流。如所示,其非常类似于TWAN到HeNB中的快速重新认证情况。调用流的细节类似于图16中的调用流,且因此此处将不再需要重复所述步骤。
消息扩展
在本节中,我们引入所需的消息和协议扩展以实现上文呈现的程序。
RRC:“RRC连接设置完成”消息
在图12的步骤12中,我们修改“RRC连接设置完成”消息以包含新的“统一认证”信息元素。如果“统一认证”信息元素被设置,那么意味着UE 214期望具有统一的认证程序。表7除了以粗体示出的新的“统一认证”信息元素外还描述了“RRC连接设置完成”消息的标准信息元素。
表7“RRC连接设置完成”信息元素:粗体表示新的信息元素
S1-AP:“初始UE消息”消息
在图12的步骤12中,我们将一些ISWN配置参数包含在“初始UE消息”消息中。表8除了新的信息元素即“接入类型=ISWN”和“接入网络身份=WLAN”外还示出“初始UE消息”消息的标准信息元素(3GPP TS 36.413的条款9.1.7.1)。
表8“初始UE消息”信息元素:粗体表示新的信息元素
/>
NAS:“认证请求”消息
在图12的步骤11和12中,MME 202发送NAS“认证请求”消息到ISWN 230。除了认证向量(RAND、AUTN)之外,MME 202发送两个新信息元素,分别是“重新认证ID”和“接入网络身份=WLAN”。重新认证ID将在用于移交的即将来临的快速重新认证程序中用以识别UE 214(例如图5-4的步骤3)。将接入网络身份馈送到UE以便在导出CK’和IK’密钥时利用其(图12的步骤14)。表9描绘“认证请求”消息的标准信息元素(3GPP TS 24.301的条款8.2.7)连同新的重新认证ID’和“接入网络身份”信息元素。
表9“认证请求”消息信息元素:粗体表示新的信息元素
EAP:“EAP-Response/Identity”消息
IETF FRC 4187的条款9.2描述由UE发送的用以指示其身份(网络接入标识符)的“EAP-Response/Identity”。在图13的步骤3中,我们添加新的信息元素(即“统一认证”)到“EAP-Response/Identity”消息。“统一认证”信息元素采用二进制值(0或1)。如果“统一认证”信息元素被设置,那么意味着UE期望具有统一的认证程序。
在S6a参考点上的基于Diameter的消息
“Authentication-Information-Request(认证信息请求)”消息
在多个实例(例如图12的步骤4)中,MME 202发送“Authentication-Information-Request”消息到HSS 210以请求认证向量。在此消息中添加“接入网络身份=WLAN”信息元素,使得HSS 210也可以生成用于WLAN的密钥(CK’和IK’)。表10示出Authentication-Information-Request”消息的标准信息元素(3GPP TS29.272的表5.2.3.1.1/1)以及新的“接入网络身份”信息元素。
表10“认证信息请求”消息信息元素:粗体表示新的信息元素
“Authentication-Information-Answer(认证信息应答)”消息
在多个实例(例如图12的步骤8)中,HSS 210发送“Authentication-Information-Answer”消息到MME 202以传达认证向量和密钥。在此消息中添加“CK’”、“IK’”和“重新认证ID”信息元素。表11示出Authentication-Information-Answer”消息的标准信息元素(3GPPTS 29.272的表5.2.3.1.1/2)以及新的信息元素。
表11“认证信息应答”消息信息元素:粗体表示新的信息元素。
/>
在新的STb参考点上的基于Diameter的消息
“Diameter-EAP-Request”消息
在图13和图14的步骤4中,在TWAN 218(特别是TWAP 224)与MME 202之间的新的STb参考点上使用消息“Diameter-EAP-Request”。此外,添加“接入类型=ISWN”和“接入网络身份=WLAN”AVP以从TWAN 218承载到MME 202。标准AVP(IETF RFC 4072的条款3.1)连同新的AVP(粗体)如下所示:
<Diameter-EAP-Request>::=<Diameter Header:268,REQ,PXY>
<Session-Id>
{Auth-Application-Id}
{Origin-Host}
{Origin-Realm}
{Destination-Realm}
{Auth-Request-Type}
[Destination-Host]
[NAS-Identifier]
[NAS-IP-Address]
[NAS-IPv6-Address]
[NAS-Port]
[NAS-Port-Id]
[NAS-Port-Type]
[Origin-State-Id]
[Port-Limit]
[User-Name]
{EAP-Payload}
[EAP-Key-Name]
[Service-Type]
[State]
[Authorization-Lifetime]
[Auth-Grace-Period]
[Auth-Session-State]
[Callback-Number]
[Called-Station-Id]
[Calling-Station-Id]
[Originating-Line-Info]
[Connect-Info]
*[Framed-Compression]
[Framed-Interface-Id]
[Framed-IP-Address]
*[Framed-IPv6-Prefix]
[Framed-IP-Netmask]
[Framed-MTU]
[Framed-Protocol]
*[Tunneling]
*[Proxy-Info]
*[Route-Record]
[Access-Type=ISWN]
[Access-Network-Identity=WLAN]
*[AVP]
“Diameter-EAP-Answer”消息
在多个实例(例如,图13的步骤12)中,MME 202在新的STb参考点上发送“Diameter-EAP-Answer”消息到TWAN 218上。除了下文从IETF RFC 4072的条款3.2中复制的标准外,不需要任何附加的AVP。
<Diameter-EAP-Answer>::=<Diameter Header:268,PXY>
<Session-Id>
{Auth-Application-Id}
{Auth-Request-Type}
{Result-Code}
{Origin-Host}
{Origin-Realm}
[User-Name]
[EAP-Payload]
[EAP-Reissued-Payload]
[EAP-Master-Session-Key]
[EAP-Key-Name]
[Multi-Round-Time-Out]
[Accounting-EAP-Auth-Method]
[Service-Type]
*[Class]
*[Configuration-Token]
[Acct-Interim-Interval]
[Error-Message]
[Error-Reporting-Host]
*[Failed-AVP]
[Idle-Timeout]
[Authorization-Lifetime]
[Auth-Grace-Period]
[Auth-Session-State]
[Re-Auth-Request-Type]
[Session-Timeout]
[State]
*[Reply-Message]
[Origin-State-Id]
*[Filter-Id]
[Port-Limit]
[Callback-Id]
[Callback-Number]
[Framed-Appletalk-Link]
*[Framed-Appletalk-Network]
[Framed-Appletalk-Zone]
*[Framed-Compression]
[Framed-Interface-Id]
[Framed-IP-Address]
*[Framed-IPv6-Prefix]
[Framed-IPv6-Pool]
*[Framed-IPv6-Route]
[Framed-IP-Netmask]
*[Framed-Route]
[Framed-Pool]
[Framed-IPX-Network]
[Framed-MTU]
[Framed-Protocol]
[Framed-Routing]
*[NAS-Filter-Rule]
*[QoS-Filter-Rule]
*[Tunneling]
*[Redirect-Host]
[Redirect-Host-Usage]
[Redirect-Max-Cache-Time]
*[Proxy-Info]
*[AVP]
应理解,执行图12-17中示出的步骤的实体可以是逻辑实体,其可以以软件(即,计算机可执行指令)的形式实现,该软件存储在被配置用于无线和/或网络通信的设备或诸如图21C或图21D中所示的那些计算机系统的存储器中并且在其处理器上执行。也就是说,图12-17中示出的方法是以以存储在诸如图21C或图21D中示出的设备或计算机系统的设备的存储器中的软件(即,计算机可执行指令)的形式来实现,所述计算机可执行指令在被设备的处理器执行时执行图12-17中示出的步骤。还应理解,图12-17中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图12-17中示出的任何发送和接收步骤可以由在设备的处理器的控制之下设备的通信电路以及其执行的计算机可执行指令(例如,软件)执行。还应理解,图12-17中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
图18描绘呈现在3GPP TS 23.402中的3GPP与不可信WLAN之间的互通架构。如所示,增强型分组数据网关(ePDG)1804被引入作为UE 214与PDN-GW 208之间的中间实体。一方面,ePDG 1804通过SWu参考点上的IPSec隧道来与UE 214通信。另一方面,ePDG 1804使用GTP-U隧道协议在S2b接口上与PDN-GW 208通信。
3GPP TS 33.402中描述的在不可信WLAN情况下的UE 214与HSS 210之间的标准相互认证程序由以下协议组成:
1.在SWu参考点上在UE 214和ePDG 1804之间的因特网密钥交换版本2(IKEv2)(RFC 5996)协议上的EAP。相反,我们记得在UE 214和可信WLAN 218(TWAP)224之间仅使用EAP协议。在不可信WLAN 1802情况下,UE 214最初在IKEv2上发送EAP消息到ePDG 1804,且使用标准IKEv2协议在ePDG 1804和UE 214之间建立标准IPSec隧道。
2.在SWM参考点上的ePDG 1804与3GPP AAA服务器212之间的Diameter协议。更准确地说,ePDG从由UE 214发送的IKEv2消息提取EAP消息,并将所述消息转发到3GPP AAA服务器212。
3.在SWx上的3GPP AAA服务器212与HSS 210之间的Diameter协议。此类步骤与先前论述的可信WLAN情况下的情况非常相似。
不可信的和可信的WLAN情况之间的主要认证相关区别在于使用IKEv2协议(UE-ePDG)来携带不可信情况的EAP消息。同样重要的是,我们注意到上面的步骤2(用于不可信的WLAN情况的ePDG-3GPP AAA服务器212)与用于可信WLAN情况的STa上从(TWAP-3GPP AAA服务器212)通信之间的角色的相似性,这在图9和图10中有详细地说明。具体地,在两个参考点(SWm、STa)上传送相同的EAP消息。
因此,可以通过在ePDG 1804与MME 202之间添加新的参考点(即图18中的STm)来增强用于不可信WLAN情况的互通架构。新的参考点STm将在ePDG 1804与MME 202之间EAP消息,类似于STb参考点(在TWAP 224与MME 202之间携带EAP消息)。
应理解,图18所示的功能性可以以存储在无线装置或其他设备(例如,服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即,计算机可执行指令)的形式来实现,诸如下文描述的图21C或21D中所示的那些中的一者。还应理解,图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
图19示出在可信和不可信的WLAN情形中的UE 214与HSS 210之间的路径。如所示,STb参考点和STm参考点彼此类似。因此,将统一认证和快速重新认证程序扩展到如下的不可信WLAN情形将是直接的。
1.通过UE 214与ePDG 1804之间的标准IKEv2协议来携带先前在图13和图14中的UE 214与TWAP 224之间定义的修改的EAP消息。标准IKEv2协议的使用将不会改变,且将与在3GPP TS 33.402中使用的相同。
2.在STb参考点(TWAP-MME)上引入的“Diameter-EAP-Request”和“Diameter-EAP-Answer”消息将在STm参考点(ePDG-MME)上正确使用。所述消息将携带从ePDG或HSS提取的相同EAP消息。
应理解,图19所示的功能性可以以存储在无线装置或其他设备(例如,服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即,计算机可执行指令)的形式来实现,诸如下文描述的图21C或21D中所示的那些中的一者。还应理解,图19中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。还应理解,图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信,而是,其可以经由转发或路由功能来通信。
用户界面
诸如图形用户界面(GUI)的界面可以用以协助用户控制和/或配置与统一认证相关的功能性。图形用户界面(GUI)可以允许UE 214决定利用哪一接入网络(LTE或Wi-Fi)(在初始附着和移交期间)、以及是否使用统一认证程序。
图20描绘图形用户界面(GUI)2000,其首先使具有多RAT(LTE/Wi-Fi)UE 204的用户能够选择连接到LTE(底部2002)或Wi-Fi(底部2004)(在初始附着或移交时)。如果一个接入网络不可用,那么其按钮可以被禁用。已经添加了“统一认证”标记(图12中的步骤2和图13中的步骤3),使得UE可以向HeNB 220或TWAN 218指示其希望执行统一认证程序。此类UE214的决策可以使用图20中所示的GUI 2000来确定。因此,例如,一旦UE 214在初始附着时选择“LTE”按钮2002和“统一认证”按钮2006,将执行HeNB发起的统一认证/附着程序。类似地,一旦UE 214在初始附着时选择GUI 2000的“Wi-Fi”按钮2004和“统一认证”按钮2006,将实现TWAN发起的统一认证/附着程序。或者,可以选择正常认证按钮2008。
应理解,可以使用诸如下文描述的图21C-D中所示的那些显示器来生成界面2000。
示例M2M/IoT/WoT通信系统
本文所述的各种技术可以结合硬件、固件、软件或在适当时其组合来实现。此类硬件、固件和软件可以驻留于位于通信网络的多个节点处的设备中。所述设备可以单独操作或彼此组合操作以实现本文描述的方法。如本文所使用,术语“设备”、“网络设备”、“节点”、“装置”和“网络节点”可以互换地使用。
术语“服务层”是指网络服务架构内的功能层。服务层通常位于诸如HTTP、CoAP或MQTT的应用协议层之上,并为客户端应用提供增值服务。服务层还提供到下部资源层诸如控制层和传输/接入层的核心网络的界面。服务层支持多个类别的(服务)能力或功能性,包含服务定义、服务运行时启用、策略管理、接入控制、和服务聚类。最近,若干产业标准机构例如oneM2M一直在开发M2M服务层以解决与将M2M类型的装置和应用集成到诸如因特网/web、蜂窝、企业和家庭网络的部署中相关联的挑战。M2M服务层可以向应用和/或各种装置提供对由服务层支持的上述能力或功能性的集合或一组的访问,其可以被称为CSE或SCL。几个示例包含但不限于:安全性、计费、数据管理、装置管理、发现、供应和连接性管理,这些可以被各种应用共同使用。这些能力或功能性经由利用由M2M服务层定义的消息格式、资源结构和资源表示的API来可用于此类各种应用。CSE或SCL是可以由硬件和/或软件实现并且提供暴露于各种应用和/或装置(即,在此类功能实体之间的功能接口)的(服务)能力或功能性的功能实体,以便它们使用此类能力或功能性。
图21A是其中可以实现一个或多个公开的实施例的示例机器对机器(M2M)、物联网(IoT)或万物网(WoT)通信系统10的图。通常,M2M技术为IoT/WoT提供构建块,且任何M2M装置、M2M网关、M2M服务器或M2M服务平台都可以是IoT/WoT的部件或节点以及IoT/WoT服务层等。通信系统10可以用于实现所公开的实施例的功能性,并且可以包含诸如MME 202、WLANAN 204、S-GW 206、P-GW208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB 220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW 1002、宏eNB 1702、不可信WLAN 1802和ePDG 1804等的功能性和逻辑实体,以及用以产生图20所示的用户界面2000的逻辑实体。
如图21A中示出,M2M/IoT/WoT通信系统10包含通信网络12。通信网络12可以是固定网络(例如,以太网、光纤、ISDN、PLC等)或无线网络(例如,WLAN、蜂窝式等)或异构网络的网络。例如,通信网络12可以包括向多个用户提供诸如语音、数据、视频、消息、广播等的内容的多个接入网络。例如,通信网络12可以采用一个或多个信道接入方法,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等。此外,通信网络12可以包括其他网络,诸如核心网络、因特网、传感器网络、工业控制网络、个人局域网、熔合个人网络、卫星网络、家庭网络或企业网络。
如图21A中示出,M2M/IoT/WoT通信系统10可以包含基础结构域和场域。基础结构域是指端对端M2M部署的网络侧,且场域是指位于M2M网关之后的区域网络。场域和基础结构域两者可以包括多种不同的网络节点(例如,服务器、网关、装置等)。例如,场域可以包含M2M网关14和终端装置18。将了解,可以根据需要将任何数量的M2M网关装置14和M2M终端装置18包含在M2M/IoT/WoT通信系统10中。M2M网关装置14和M2M终端装置18中的每一者被配置成经由通信网络12或直接无线电链路使用通信电路来发送和接收信号。M2M网关14允许无线M2M装置(例如,蜂窝式和非蜂窝式)以及固定网络M2M装置(例如,PLC)通过诸如通信网络12或直接无线电链路的运营商网络来通信。例如,M2M终端装置18可以经由通信网络12或直接无线电链路来收集数据,且发送所述数据到M2M应用20或其他M2M装置18。M2M终端装置18还可以接收来自M2M应用20或M2M终端装置18的数据。此外,数据和信号可以经由M2M服务层22而被发送到M2M应用20且从M2M应用20接收,如下文描述。M2M终端装置18和网关14可以经由各种网络来通信,所述网络例如包含蜂窝式、WLAN、WPAN(例如,Zigbee、6LoWPAN、蓝牙)、直接无线电链路和有线。
示例性M2M终端装置18包含但不限于平板型计算机、智能电话、医疗装置、温度和天气监视器、联网汽车、智能仪表、游戏控制台、个人数字助理、健康和健身监视器、灯、恒温器、电器、车库门和其他基于致动器的装置、安全装置和智能插座。
参看图21B,场域中的示出的M2M服务层22为M2M应用20、M2M网关装置14和M2M终端装置18以及通信网络12提供服务。通信网络12可以用于实现所公开的实施例的功能性,并且可以包含诸如MME 202、WLAN AN 204、S-GW 206、P-GW 208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB 220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW1002、宏eNB 1702、不可信WLAN1802和ePDG 1804等的功能性和逻辑实体,以及用以产生图20所示的用户界面2000的逻辑实体。
M2M服务层22可以由一个或多个服务器、计算机、装置、虚拟机(例如云/存储农场等)等来实现,包含例如下文描述的图21C和21D中示出的装置。将理解,M2M服务层22可以根据需要来与任何数量的M2M应用、M2M网关14、M2M终端装置18和通信网络12通信。M2M服务层22可以由网络的一个或多个节点来实现,节点可以包括服务器、计算机、装置等。M2M服务层22提供应用于M2M终端装置18、M2M网关14和M2M应用20的服务能力。M2M服务层22的功能可以按多种方式来实现,例如作为网络服务器、在蜂窝式核心网络中、在云中等。
类似于所示出的M2M服务层22,在基础结构域中存在M2M服务层22’。M2M服务层22'为基础结构域中的M2M应用20'和底层通信网络12提供服务。M2M服务层22'还为场域中的M2M网关14和M2M终端装置18提供服务。将理解,M2M服务层22’可以与任何数量的M2M应用、M2M网关和M2M装置通信。M2M服务层22’可以通过不同服务提供商来与服务层交互。M2M服务层22’通过网络的一个或多个节点,节点可以包括服务器、计算机、装置、虚拟机(例如,云计算/存储农场等)等。
还参看图21B,M2M服务层22和22'提供了多种应用和垂直可以利用的核心服务传送能力集合。这些服务能力使得M2M应用20和20'能够与装置交互并且执行诸如数据收集、数据分析、装置管理、安全性、计费、服务/装置发现等功能。实质上,这些服务能力免除了应用的实现这些功能性的负担,从而简化应用开发并降低成本以及上市时间。服务层22和22'还使得M2M应用20和20'能够通过网络12与服务层22和22'提供的服务相结合进行通信。
本申请的方法可以实现为服务层22和22’的部分。服务层22和22'是通过应用编程接口(API)和底层网络接口集合来支持增值服务能力的软件中间件层。ETSI M2M和oneM2M两者使用可以含有本申请的连接方法的服务层。ETSI M2M的服务层被称作服务能力层(SCL)。SCL可以实现在M2M装置内(其被称作装置SCL(DSCL))、网关内(其被称作网关SCL(GSCL))和/或网络节点内(其被称作网络SCL(NSCL))。oneM2M服务层支持公共服务功能(CSF)(即,服务能力)集合。一个或多个特定类型的CSF的集合的实例被称作可以托管在不同类型的网络节点(例如,基础结构节点、中间节点、应用特定节点)上的公共服务实体(CSE)。此外,本申请的连接方法可以作为使用面向服务的架构(SOA)和/或面向资源的架构(ROA)来访问诸如本申请的连接方法的服务的M2M网络的一部分来实现。
在一些实施例中,M2M应用20和20’可以结合所公开的系统和方法来使用。M2M应用20和20’可以包含与UE或网关交互的应用,且还可以结合其他所公开的系统和方法来使用。
在一个实施例中,诸如MME 202、WLAN AN 204、S-GW 206、P-GW 208、HSS 210、3GPPAAA服务器212、UE 214、EPC 216、TWAN218、HeNB 220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW 1002、宏eN B1702、不可信WLAN 1802和ePDG 1804以及产生图20所示的用户界面2000的逻辑实体可以托管在由M2M节点托管的M2M服务层实例内,诸如M2M服务器、M2M网关或M2M装置,如图21B所示。例如,诸如MME 202、WLAN AN 204、S-GW 206、P-GW 208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW 1002、宏eNB1702、不可信WLAN 1802和ePDG 1804以及产生图20中所示的用户界面2000的逻辑实体可以包括在M2M服务层实例内的个别服务能力或作为现有的服务能力内的子功能。
M2M应用20和20'可以包含各种产业中的应用,诸如但不限于交通、健康和保健、联网家庭、能源管理、资产跟踪以及安全和监视。如上文提及,在装置、网关、服务器和系统的其他节点上运行的M2M服务层支持诸如以下的功能,例如数据收集、装置管理、安全性、计费、位置跟踪/地理围栏、装置/服务发现、和传统系统集成,并将这些功能提供为针对M2M应用20和20’的服务。
一般来说,服务层22和22'定义通过应用编程接口(API)和底层网络接口集合来支持增值服务能力的软件中间件层。ETSI M2M和oneM2M架构两者定义服务层。ETSI M2M服务层被称作服务能力层(SCL)。SCL可以以ETSI M2M架构的多种不同节点来实现。例如,服务层的实例可以实现在M2M装置内(其被称作装置SCL(DSCL))、网关内(其被称作网关SCL(GSCL))和/或网络节点内(其被称作网络SCL(NSCL))。oneM2M服务层支持公共服务功能(CSF)(即,服务能力)集合。一个或多个特定类型的CSF的集合的实例被称作可以托管在不同类型的网络节点(例如,基础结构节点、中间节点、应用特定节点)上的公共服务实体(CSE)。第三代合作伙伴计划(3GPP)还定义了用于机器类型通信(MTC)的架构。在所述架构中,服务层及其提供的服务能力被实现为服务能力服务器(SCS)的部分。无论是在ETSI M2M架构的DSCL、GSCL或NSCL中、在3GPP MTC架构的服务能力服务器(SCS)中、在oneM2M架构的CSF或CSE中、还是在网络的某个其他节点中,服务层的实例可以被实现为在网络中的包含服务器、计算机和其他计算装置或节点的一个或多个独立节点上执行的逻辑实体(例如,软件、计算机可执行指令等),或者作为一个或多个现有节点的一部分。作为示例,服务层或其部件的示例可以以在下文描述的图21C或图21D中示出的具有通用架构的网络节点(例如,服务器、计算机、网关、装置等)上运行的软件的形式来实现。
此外,诸如MME 202、WLAN AN 204、S-GW 206、P-GW 208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW1002、宏eNB1702、不可信WLAN 1802和ePDG 1804的逻辑实体以及用以产生图20中所示的用户界面2000的逻辑实体可以被实现为M2M网络的一部分,所述M2M网络使用面向服务的架构(SOA)和/或面向资源的架构(ROA)来访问本申请的服务。
图21C是M2M网络节点30的示例硬件/软件架构的框图,M2M网络节点30诸如M2M装置18、M2M网关14、M2M服务器等。节点30可以执行或包含诸如MME 202、WLAN AN 204、S-GW206、P-GW208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB 220、TWAP224、ISWN 230、TWAG 232、S-GwIP-GW 1002、宏eNB 1702、不可信WLAN 1802和ePDG 1804的逻辑实体,以及用以产生图20所示的用户界面2000的逻辑实体。
装置30可以是如图21A-B中所示的M2M网络的一部分或非M2M网络的一部分。如图21C中示出,M2M节点30可以包含处理器32、不可移除存储器44、可移除存储器46、扬声器/麦克风38、小键盘40、显示器、触摸板和/或指示器42、电源48、全球定位系统(GPS)芯片集50和其他外设52。节点30还可以包含通信电路,诸如收发器34和发送/接收元件36。应了解,M2M节点30可以在保持与实施例一致的同时包含前述元件的任何子组合。此节点可以是实现本文描述的SMSF功能性的节点。
处理器32可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC)、状态机等。大体来说,处理器32可以执行存储在节点的存储器(例如,存储器44和/或存储器46)中的计算机可执行指令,以便执行所述节点的多个所需功能。例如,处理器32可以执行使得M2M节点30能够在无线或有线环境中操作的信号译码、数据处理、功率控制、输入/输出处理和/或任何其他功能性。处理器32可以运行应用层程序(例如,浏览器)和/或无线电接入层(RAN)程序和/或其他通信程序。处理器32还可以例如在接入层和/或应用层处执行诸如认证、安全密钥协定和/或加密操作的安全操作。
如图21C中示出,处理器32耦合到其通信电路(例如,收发器34和发送/接收元件36)。处理器32通过执行计算机可执行指令可以控制通信电路,以便使节点30经由其所连接的网络与其他节点进行通信。具体地,处理器32可以控制通信电路以便执行本文描述的且在权利要求中的发送和接收步骤。虽然图21C将处理器32和收发器34描绘为独立部件,但将了解,处理器32和收发器34可以一起集成在电子封装或芯片中。
发送/接收元件36可以被配置成发送信号到其他M2M节点或接收来自其他M2M节点的信号,所述节点包含M2M服务器、网关、装置等。例如,在实施例中,发送/接收元件36可以是被配置成发送和/或接收RF信号的天线。发送/接收元件36可以支持多个网络和空中接口,诸如WLAN、WPAN、蜂窝式等。在实施例中,发送/接收元件36可以是被配置成发送和/或接收例如IR、UV或可见光信号的发射器/检测器。在另一实施例中,发送/接收元件36可以被配置成发送和接收RF和光信号两者。将了解,发送/接收元件36可以被配置成发送和/或接收无线或有线信号的任何组合。
另外,虽然在图21C中将发送/接收元件36描绘为单个元件,但M2M节点30可以包含任何数量的发送/接收元件36。更具体来说,M2M节点30可以采用MIMO技术。因此,在实施例中,M2M节点30可以包含用于发送和接收无线信号的两个或两个以上发送/接收元件36(例如,多个天线)。
收发器34可以被配置成调制将由发送/接收元件36发送的信号,以及解调将由发送/接收元件36接收的信号。如上所述,M2M节点30可以具有多模式能力。因此,收发器34可以包含多个收发器,用于使得M2M节点30能够经由诸如UTRA和IEEE 802.11的多个RAT进行通信。
处理器32可以访问来自诸如不可移除存储器44和/或可移除存储器46的任何类型的合适存储器的信息并将数据存储在所述存储器中。例如,处理器32可以将会话上下文存储在其存储器中,如上所述。不可移除存储器44可以包含随机存取存储器(RAM)、只读存储器(ROM)、硬盘或任何其他类型的存储器存储装置。可移除存储器46可以包含订户身份模块(SIM)卡、记忆棒、安全数字(SD)存储卡等。在其他实施例中,处理器32可以访问来自物理上不位于M2M节点30上、诸如在服务器或家用计算机上的存储器的信息并将数据存储在所述存储器中。处理器32可以被配置为控制显示器或指示器42上的照明模式、图像或颜色以反映M2M服务层会话迁移或共享的状态,或者获得来自用户的输入或者向用户显示关于节点的会话迁移或共享能力或设置的信息。在另一示例中,显示器可以示出关于会话状态的信息。本公开在oneM2M实施例中定义了RESTful用户/应用API。可以在显示器上示出的图形用户界面可以被层叠在API顶部上,以允许用户经由本文描述的底层服务层会话功能来交互地建立和管理E2E会话或者其迁移或共享。
处理器32可以接收来自电源48的电力,且可以被配置成分配和/或控制所述电力到M2M节点30中的其他部件。电源48可以是用于为M2M节点30供电的任何合适的装置。例如,电源48可以包含一个或多个干电池(例如,镍镉(NiCd)、镍锌(NiZn)、镍金属氢化物(NiMH)、锂离子(Li离子)等)、太阳能电池、燃料电池等。
处理器32还可以耦合到GPS芯片集50,其被配置成提供关于M2M节点30的当前位置的位置信息(例如,经度和纬度)。应了解,M2M节点30可以在保持与实施例一致的同时借助于任何合适的位置确定方法来获取位置信息。
处理器32可以进一步耦合到其他外设52,其可以包含提供附加特征、功能性和/或有线或无线连接性的一个或多个软件和/或硬件模块。例如,外设52可以包含各种传感器,诸如加速度计、生物测量(例如,指纹)传感器、电子罗盘、卫星收发器、数码摄像机(用于照片或视频)、通用串行总线(USB)端口或其他互连接口、振动装置、电视收发器、免提耳机、模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏玩家模块、因特网浏览器等。
节点30可以体现在其他设备或装置中,诸如传感器、消费者电子产品、诸如智能手表或智能服装的可穿戴装置、医疗或电子健康装置、机器人、工业设备、无人机、诸如汽车、卡车、火车或飞机等交通工具。节点30可以经由一个或多个互连接口诸如可以包括外设52之一的互连接口连接到此类设备或装置的其他部件、模块或系统。或者,节点30可以包括设备或装置,诸如传感器、消费者电子产品、诸如智能手表或智能服装的可穿戴装置、医疗或电子健康装置、机器人、工业设备、无人机、诸如汽车、卡车、火车或飞机等交通工具。
图21D是还可以用以实现M2M网络的一个或多个节点诸如M2M服务器、网关、装置或其他节点的示例性计算系统90的框图。计算系统90可以包括计算机或服务器,并且可以主要由计算机可读指令来控制,计算机可读指令可以以软件的形式,无论何处或以何种方式存储或访问此类软件。系统90可以执行或包含诸如MME 202、WLAN AN204、S-GW 206、P-GW208、HSS 210、3GPP AAA服务器212、UE 214、EPC 216、TWAN 218、HeNB 220、TWAP 224、ISWN230、TWAG 232、S-GwIP-GW 1002、宏eNB 1702、不可信WLAN 1802和ePDG 1804的逻辑实体,以及用以产生图20所示的用户界面2000的逻辑实体。
计算系统90可以是M2M装置、用户设备、网关、UE/GW或任何其他节点,例如包括移动护理网络的节点、服务层网络应用提供商、终端装置18或M2M网关装置14。此类计算机可读指令可以在诸如中央处理单元(CPU)91的处理器内执行,以使计算系统90进行工作。在许多已知的工作站、服务器和个人计算机中,中央处理单元91由称为微处理器的单片CPU实现。在其他机器中,中央处理单元91可以包括多个处理器。协处理器81是与主CPU 91不同的可选处理器,其执行附加功能或辅助CPU 91。CPU 91和/或协处理器81可以接收、生成和处理与所公开的用于E2E M2M服务层会话的系统和方法有关的数据,诸如接收会话凭证或基于会话凭证进行认证。
在操作中,CPU 91经由计算机的主数据传送路径即系统总线80来从其他资源提取、解码和执行指令,并从其他资源传送信息且将信息传送到其他资源。此类系统总线连接计算系统90中的部件,并界定用于数据交换的介质。系统总线80通常包含用于发送数据的数据线路、用于发送地址的地址线路,和用于发送中断以及用于操作系统总线的控制线。此类系统总线80的示例是PCI(外围部件互连)总线。
耦合到系统总线80的存储器包含随机存取存储器(RAM)82和只读存储器(ROM)93。此类存储器包含允许信息被存储和检索的电路。ROM 93通常含有不能被容易地修改的所存储数据。存储在RAM 82中的数据可以由CPU 91或其他硬件装置来读取或改变。对RAM 82和/或ROM 93的访问可以由存储器控制器92控制。存储器控制器92可以提供地址转换功能,其在执行指令时将虚拟地址转换成物理地址。存储器控制器92还可以提供存储器保护功能,其隔离系统内的进程并将系统进程与用户进程隔离。因此,以第一模式运行的程序只能访问由其自己的进程虚拟地址空间映射的存储器;除非进程之间的存储器共享已经被设置,否则它不能访问另一进程的虚拟地址空间中的存储器。
另外,计算系统90可以含有负责将指令从CPU 91传达到诸如打印机94、键盘84、鼠标95和磁盘驱动器85的外设的外设控制器83。
由显示控制器96控制的显示器86用于显示由计算系统90生成的视觉输出。此类视觉输出可以包含文本、图形、动画图形和视频。显示器86可以用基于CRT的视频显示器、基于LCD的平板显示器、基于气体等离子体的平板显示器或触摸面板来实现。显示控制器96包含生成被发送到显示器86的视频信号所需的电子部件。
此外,计算系统90可以含有可用于将计算系统90连接到外部通信网络(诸如图21A和图21B的网络12)的通信电路,诸如例如网络适配器97,以使计算系统90能够与网络的其他节点通信。
用户设备(UE)可以是终端用户用以进行通信的任何装置。其可以是手持式电话、装备有移动宽带适配器的膝上型计算机或任何其他装置。例如,UE可以被实现为图21A-B的M2M终端装置18或图21C的装置30。
应理解,本文描述的任何或全部系统、方法和过程可以以存储在计算机可读存储介质上的计算机可执行指令(即,程序代码)的形式来体现,所述指令在由包含例如M2M服务器、网关、装置等的诸如M2M网络的节点的机器执行时实行和/或实现本文描述的系统、方法和过程。具体来说,包含网关、UE、UE/GW、或移动核心网络的任一节点、服务层或网络应用提供商的操作的上述任何步骤、操作或功能可以以此类计算机可执行指令的形式来实现。诸如MME 202、WLAN AN204、S-GW 206、P-GW 208、HSS 210、3GPP AAA服务器212、UE 214、EPC216、TWAN 218、HeNB 220、TWAP 224、ISWN 230、TWAG 232、S-GwIP-GW 1002、宏eNB 1702、不可信WLAN 1802和ePDG 1804的逻辑实体以及产生图20中所示的用户界面2000的逻辑实体可以以存储在计算机可读存储介质上的计算机可执行指令的形式来体现。计算机可读存储介质包含用于存储信息的以任何非暂时性(即,有形或物理)方法或技术实现的易失性和非易失性、可移除和不可移除介质,但此类计算机可读存储介质不包含信号。计算机可读存储介质包含但不限于,RAM、ROM、EEPROM、快闪存储器或其他存储器技术、CD-ROM、数字通用光盘(DVD)或其他光盘存储器、磁盒、磁带、磁盘存储器或其他磁性存储装置、或可用于存储所需信息并且可由计算机访问的任何其他有形或物理介质。
在描述本公开的主题的优选实施例时,如附图所示,为了清楚起见采用了特定的术语。然而,所要求保护的主题不旨在被限制于如此选择的特定术语,并且应该理解,每一特定元件包含以类似方式操作以实现类似目的的所有技术等同物。
本书面描述使用示例来公开本发明,包含最佳模式,并且还使得本领域技术人员能够实践本发明,包含制造和使用任何装置或系统以及执行任何并入的方法。本发明的可取得专利的范围由权利要求限定,并且可以包含本领域技术人员想到的其他示例。如果此类其他示例具有与权利要求的字面语言没有不同的元素,或者如果它们包含与权利要求的字面语言无实质区别的等同元素,那么此类其他示例意图在权利要求的范围内。
Claims (16)
1.一种包括处理器和存储器的设备,所述设备进一步包含存储在所述设备的所述存储器中的计算机可执行指令,所述计算机可执行指令在由所述设备的所述处理器执行时致使所述设备:
通过使用第一无线电接入技术的第一接入点连接并认证到网络节点;
基于通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点,接收重新认证标识符;以及
在通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点之后,使用所述重新认证标识符来通过使用第二无线电接入技术的第二接入点连接并认证到所述网络节点,
其中,通过第一接入点连接并认证到所述网络节点需要运行完整的认证程序,以及通过第二接入点连接并认证到所述网络节点不涉及与家庭订户服务器HSS的交互,从而不需要运行所述完整的认证程序,以及
其中,所述第一接入点和第二接入点中的一者是WiFi接入点,以及所述第一接入点和第二接入点中的另一者是蜂窝式接入点。
2.根据权利要求1所述的设备,
其中,所述WiFi接入点提供对可信WLAN或不可信WLAN中的一者的接入;以及
其中,所述蜂窝式接入点提供对eNodeB的接入。
3.根据权利要求1所述的设备,其中,所述网络节点是移动性管理功能。
4.根据权利要求1所述的设备,
其中,通过第一接入点连接并认证到所述网络节点包括:接收认证标识符;以及
其中,通过第二接入点连接并认证到所述网络节点包括:基于所述认证标识符生成密钥。
5.一种由设备执行的方法,所述方法包括:
通过使用第一无线电接入技术的第一接入点连接并认证到网络节点;
基于通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点,接收重新认证标识符;以及
在通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点之后,使用所述重新认证标识符来通过使用第二无线电接入技术的第二接入点连接并认证到所述网络节点,
其中,通过第一接入点连接并认证到所述网络节点需要运行完整的认证程序,以及通过第二接入点连接并认证到所述网络节点不涉及与家庭订户服务器HSS的交互,从而不需要运行所述完整的认证程序,以及
其中,所述第一接入点和第二接入点中的一者是WiFi接入点,以及所述第一接入点和第二接入点中的另一者是蜂窝式接入点。
6.根据权利要求5所述的方法,
其中,所述WiFi接入点提供对可信WLAN或不可信WLAN中的一者的接入;以及
其中,所述蜂窝式接入点提供对eNodeB的接入。
7.根据权利要求5所述的方法,其中,所述网络节点是移动性管理功能。
8.根据权利要求5所述的方法,
其中,通过第一接入点连接并认证到所述网络节点包括:接收认证标识符;以及
其中,通过第二接入点连接并认证到所述网络节点包括:基于所述认证标识符生成密钥。
9.一种包括处理器和存储器的网络节点,所述网络节点进一步包含存储在所述网络节点的所述存储器中的计算机可执行指令,所述计算机可执行指令在由所述网络节点的所述处理器执行时致使所述网络节点:
从装置接收用于使用包括生成认证标识符的第一程序来通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点的请求;以及
从所述装置接收用于如下的请求:在通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点之后,使用包括基于所述认证标识符生成密钥的第二程序,来通过使用第二无线电接入技术的第二接入点连接并认证到所述网络节点,
其中,第一程序是完整的认证程序,以及第二程序不涉及与家庭订户服务器HSS的交互,从而不是所述完整的认证程序,以及
其中,所述第一接入点和第二接入点中的一者是WiFi接入点,以及所述第一接入点和第二接入点中的另一者是蜂窝式接入点。
10.根据权利要求9所述的网络节点,
其中,所述WiFi接入点提供对可信WLAN或不可信WLAN中的一者的接入;以及
其中,所述蜂窝式接入点提供对eNodeB的接入。
11.根据权利要求9所述的网络节点,其中,所述网络节点是移动性管理功能。
12.根据权利要求9所述的网络节点,
其中,第一程序包括:向所述装置发送重新认证标识符;以及
其中,第二程序包括:从所述装置接收所述重新认证标识符。
13.一种由网络节点执行的方法,所述方法包括:
从装置接收用于使用包括生成认证标识符的第一程序来通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点的请求;以及
从所述装置接收用于如下的请求:在通过使用第一无线电接入技术的第一接入点连接并认证到所述网络节点之后,使用包括基于所述认证标识符生成密钥的第二程序,来通过使用第二无线电接入技术的第二接入点连接并认证到所述网络节点,
其中,第一程序是完整的认证程序,以及第二程序不涉及与家庭订户服务器HSS的交互,从而不是所述完整的认证程序,以及
其中,所述第一接入点和第二接入点中的一者是WiFi接入点,以及所述第一接入点和第二接入点中的另一者是蜂窝式接入点。
14.根据权利要求13所述的方法,
其中,所述WiFi接入点提供对可信WLAN或不可信WLAN中的一者的接入;以及
其中,所述蜂窝式接入点提供对eNodeB的接入。
15.根据权利要求13所述的方法,其中,所述网络节点是移动性管理功能。
16.根据权利要求13所述的方法,
其中,第一程序包括:向所述装置发送重新认证标识符;以及
其中,第二程序包括:从所述装置接收所述重新认证标识符。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562171497P | 2015-06-05 | 2015-06-05 | |
| US62/171,497 | 2015-06-05 | ||
| PCT/US2016/035757 WO2016196958A1 (en) | 2015-06-05 | 2016-06-03 | Unified authentication for integrated small cell and wi-fi networks |
| CN201680039873.0A CN107852407B (zh) | 2015-06-05 | 2016-06-03 | 用于集成小型小区和Wi-Fi网络的统一认证 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680039873.0A Division CN107852407B (zh) | 2015-06-05 | 2016-06-03 | 用于集成小型小区和Wi-Fi网络的统一认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111726804A CN111726804A (zh) | 2020-09-29 |
| CN111726804B true CN111726804B (zh) | 2023-12-01 |
Family
ID=56194571
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680039873.0A Active CN107852407B (zh) | 2015-06-05 | 2016-06-03 | 用于集成小型小区和Wi-Fi网络的统一认证 |
| CN202010684944.0A Active CN111726804B (zh) | 2015-06-05 | 2016-06-03 | 用于集成小型小区和Wi-Fi网络的统一认证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680039873.0A Active CN107852407B (zh) | 2015-06-05 | 2016-06-03 | 用于集成小型小区和Wi-Fi网络的统一认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11032706B2 (zh) |
| EP (1) | EP3304856A1 (zh) |
| JP (1) | JP6715867B2 (zh) |
| KR (2) | KR102304147B1 (zh) |
| CN (2) | CN107852407B (zh) |
| WO (1) | WO2016196958A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3304856A1 (en) | 2015-06-05 | 2018-04-11 | Convida Wireless, LLC | Unified authentication for integrated small cell and wi-fi networks |
| US11006467B2 (en) * | 2015-09-24 | 2021-05-11 | Kt Corporation | Method and apparatus for transmitting and receiving data using WLAN radio resources |
| WO2017050496A1 (en) * | 2015-09-25 | 2017-03-30 | Telefonaktiebolaget Lm Ericsson (Publ) | A mechanism to extend ie type in gtp |
| CN109729096B (zh) * | 2016-01-05 | 2020-06-16 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| CN109981273A (zh) * | 2016-07-01 | 2019-07-05 | 华为技术有限公司 | 安全协商方法、安全功能实体、核心网网元及用户设备 |
| CN107579826B (zh) * | 2016-07-04 | 2022-07-22 | 华为技术有限公司 | 一种网络认证方法、中转节点及相关系统 |
| CN107666666B (zh) * | 2016-07-27 | 2022-11-08 | 中兴通讯股份有限公司 | 密钥的衍生方法及装置 |
| US20180097807A1 (en) * | 2016-09-30 | 2018-04-05 | Lg Electronics Inc. | Method and apparatus for performing initial access procedure based on authentication in wireless communication system |
| CN109804651B (zh) * | 2016-10-05 | 2023-02-14 | 摩托罗拉移动有限责任公司 | 通过独立的非3gpp接入网络的核心网络附接 |
| WO2018068664A1 (zh) * | 2016-10-13 | 2018-04-19 | 腾讯科技(深圳)有限公司 | 网络信息识别方法和装置 |
| CN112867096A (zh) * | 2016-11-02 | 2021-05-28 | 华为技术有限公司 | 一种适应灵活部署场景的网络架构 |
| EP3545702B1 (en) * | 2016-11-23 | 2021-03-24 | Telefonaktiebolaget LM Ericsson (publ) | User identity privacy protection in public wireless local access network, wlan, access |
| WO2018126461A1 (zh) * | 2017-01-06 | 2018-07-12 | 华为技术有限公司 | 一种网络切换方法及相关设备 |
| CN109874139B (zh) * | 2017-05-05 | 2020-02-07 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN109462847B (zh) * | 2017-07-28 | 2019-08-02 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| CN109413646B (zh) * | 2017-08-16 | 2020-10-16 | 华为技术有限公司 | 安全接入方法、设备及系统 |
| CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
| CN109803261B (zh) * | 2017-11-17 | 2021-06-22 | 华为技术有限公司 | 鉴权方法、设备及系统 |
| US10834591B2 (en) | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
| CN110912640B (zh) * | 2018-09-17 | 2021-07-16 | 华为技术有限公司 | 信令传输的接口兼容方法及装置 |
| CN109327864A (zh) * | 2018-11-07 | 2019-02-12 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
| US11895490B2 (en) * | 2018-11-20 | 2024-02-06 | Intel Corporation | Mobile cellular networks authenticated access |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| WO2020198991A1 (en) * | 2019-03-29 | 2020-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus relating to authentication of a wireless device |
| US11956626B2 (en) | 2019-04-17 | 2024-04-09 | Nokia Technologies Oy | Cryptographic key generation for mobile communications device |
| US10893554B1 (en) | 2019-08-14 | 2021-01-12 | Cisco Technology, Inc. | Method for indicating availability of same service on other radio access system |
| US10750350B1 (en) | 2019-12-16 | 2020-08-18 | Cisco Technology, Inc. | Techniques for decoupling authentication and subscription management from a home subscriber server |
| US10750366B1 (en) | 2019-12-19 | 2020-08-18 | Cisco Technology, Inc. | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access |
| US11777935B2 (en) * | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
| US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| US20220330008A1 (en) * | 2021-04-09 | 2022-10-13 | Celona, Inc. | Outbound Roaming Into MNO and Enterprise Networks with SHNI Based Subscription |
Family Cites Families (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030154446A1 (en) * | 2002-01-28 | 2003-08-14 | Constant Nicholas Robert | Character-based, graphically expressive mobile messaging system |
| US20040203346A1 (en) * | 2002-10-24 | 2004-10-14 | John Myhre | System and method for integrating local-area and wide-area wireless networks |
| KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| CN101180828B (zh) * | 2005-05-16 | 2012-12-05 | 艾利森电话股份有限公司 | 用于在综合网络中加密和传输数据的装置与方法 |
| EP1929815B1 (en) * | 2005-09-30 | 2018-05-30 | Telefonaktiebolaget LM Ericsson (publ) | Means and methods for improving the handover characteristics of integrated radio access networks |
| US7716721B2 (en) * | 2005-10-18 | 2010-05-11 | Cisco Technology, Inc. | Method and apparatus for re-authentication of a computing device using cached state |
| KR100755394B1 (ko) | 2006-03-07 | 2007-09-04 | 한국전자통신연구원 | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 |
| CN101411115B (zh) * | 2006-03-31 | 2012-06-06 | 三星电子株式会社 | 用于在接入系统间切换期间优化验证过程的系统和方法 |
| US20080101400A1 (en) * | 2006-10-30 | 2008-05-01 | Nokia Corporation | Managing attachment of a wireless terminal to local area networks |
| WO2008080637A1 (en) * | 2007-01-04 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining an authentication procedure |
| EP2079253A1 (en) * | 2008-01-09 | 2009-07-15 | Panasonic Corporation | Non-3GPP to 3GPP network handover optimizations |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| CN102440061A (zh) * | 2009-04-15 | 2012-05-02 | 华为技术有限公司 | 一种WiMAX和WiFi网络融合的系统和装置 |
| CN101610507A (zh) * | 2009-06-16 | 2009-12-23 | 天津工业大学 | 一种接入3g-wlan互联网络的方法 |
| US20110030039A1 (en) * | 2009-07-31 | 2011-02-03 | Eric Bilange | Device, method and apparatus for authentication on untrusted networks via trusted networks |
| KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
| EP2517501A4 (en) * | 2010-02-03 | 2013-03-06 | Huawei Tech Co Ltd | SYSTEM AND METHOD FOR HANDLING A RE-SELECTION OF AN ACCESS NETWORK |
| US8078175B2 (en) * | 2010-03-15 | 2011-12-13 | Motorola Mobility, Inc. | Method for facilitating a handover of a communication device, communication device, application server for facilitating a handover of a communication device, and communication system arrangement |
| CN102238544A (zh) | 2010-05-06 | 2011-11-09 | 中兴通讯股份有限公司 | 一种移动网络认证的方法及系统 |
| CN102075938B (zh) * | 2011-02-25 | 2013-05-15 | 北京交通大学 | 基于地址锁机制的快速重认证方法 |
| US9312946B2 (en) * | 2011-06-17 | 2016-04-12 | Nokia Solutions And Networks Oy | Gateway functionality for mobile relay system |
| US9510256B2 (en) * | 2011-09-20 | 2016-11-29 | Wildfire.Exchange, Inc. | Seamless handoff, offload, and load balancing in integrated Wi-Fi/small cell systems |
| US9877139B2 (en) * | 2011-10-03 | 2018-01-23 | Intel Corporation | Device to device (D2D) communication mechanisms |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| US9148381B2 (en) | 2011-10-21 | 2015-09-29 | Qualcomm Incorporated | Cloud computing enhanced gateway for communication networks |
| JP5728377B2 (ja) * | 2011-12-20 | 2015-06-03 | 株式会社日立製作所 | 無線通信システムおよび無線通信方法、ならびに移動端末 |
| US8931067B2 (en) * | 2012-01-31 | 2015-01-06 | Telefonaktiebolaget L M Ericsson (Publ) | Enabling seamless offloading between wireless local-area networks in fixed mobile convergence systems |
| WO2013165605A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using single sign-on systems |
| US8942763B2 (en) * | 2012-05-08 | 2015-01-27 | Telefonaktiebolaget L M Ericsson (Publ) | Radio communication system, method and arrangement for use in a radio communication system |
| EP2853117B1 (en) * | 2012-05-21 | 2018-03-07 | Telefonaktiebolaget LM Ericsson (publ) | A mobile station and a wireless access point and methods therein in a wireless communications network |
| US20130324170A1 (en) * | 2012-05-31 | 2013-12-05 | Interdigital Patent Holdings, Inc. | Short messaging service (sms) over evolved packet core using wifi access |
| US20140093071A1 (en) * | 2012-10-02 | 2014-04-03 | Telefonaktiebolaget L M Ericsson (Publ) | Support of multiple pdn connections over a trusted wlan access |
| WO2014189448A1 (en) * | 2013-05-20 | 2014-11-27 | Telefonaktiebolaget L M Ericsson (Publ) | Avoiding mass migration of wireless communication devices from one access point to another |
| WO2015003972A1 (en) * | 2013-07-10 | 2015-01-15 | Telefonaktiebolaget L M Ericsson (Publ) | A node and method for obtaining priority information in a header of a control plane message |
| CN103402201B (zh) | 2013-08-01 | 2016-08-17 | 广州大学 | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 |
| US9924483B2 (en) * | 2013-10-11 | 2018-03-20 | Futurewei Technologies, Inc. | Systems and methods for signal brokering in distributed evolved packet core (EPC) network architectures |
| US9420503B2 (en) * | 2014-01-21 | 2016-08-16 | Cisco Technology, Inc. | System and method for seamless mobility in a network environment |
| US9264900B2 (en) * | 2014-03-18 | 2016-02-16 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
| CN111405558B (zh) * | 2014-06-23 | 2023-09-19 | 交互数字专利控股公司 | 在集成无线网络中的系统间移动性 |
| WO2016015748A1 (en) * | 2014-07-28 | 2016-02-04 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication in a radio access network |
| WO2016021817A1 (ko) * | 2014-08-04 | 2016-02-11 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말을 인증 하는 방법 및 이를 위한 장치 |
| WO2016067078A1 (en) * | 2014-10-30 | 2016-05-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrated cellular system with wi-fi-fallback |
| EP3304856A1 (en) * | 2015-06-05 | 2018-04-11 | Convida Wireless, LLC | Unified authentication for integrated small cell and wi-fi networks |
| US20170289883A1 (en) * | 2016-04-01 | 2017-10-05 | Apple Inc. | Emergency services handover between untrusted wlan access and cellular access |
-
2016
- 2016-06-03 EP EP16731708.0A patent/EP3304856A1/en active Pending
- 2016-06-03 JP JP2017562990A patent/JP6715867B2/ja active Active
- 2016-06-03 CN CN201680039873.0A patent/CN107852407B/zh active Active
- 2016-06-03 KR KR1020197007772A patent/KR102304147B1/ko active IP Right Grant
- 2016-06-03 KR KR1020177037660A patent/KR101961301B1/ko active IP Right Grant
- 2016-06-03 WO PCT/US2016/035757 patent/WO2016196958A1/en active Application Filing
- 2016-06-03 CN CN202010684944.0A patent/CN111726804B/zh active Active
- 2016-06-03 US US15/579,703 patent/US11032706B2/en active Active
-
2021
- 2021-05-17 US US17/321,913 patent/US11818566B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111726804A (zh) | 2020-09-29 |
| US20210321257A1 (en) | 2021-10-14 |
| CN107852407A (zh) | 2018-03-27 |
| KR102304147B1 (ko) | 2021-09-23 |
| JP6715867B2 (ja) | 2020-07-01 |
| EP3304856A1 (en) | 2018-04-11 |
| US11032706B2 (en) | 2021-06-08 |
| KR20180023913A (ko) | 2018-03-07 |
| US20180184297A1 (en) | 2018-06-28 |
| KR20190031348A (ko) | 2019-03-25 |
| WO2016196958A1 (en) | 2016-12-08 |
| KR101961301B1 (ko) | 2019-03-25 |
| CN107852407B (zh) | 2020-07-28 |
| JP2018517368A (ja) | 2018-06-28 |
| US11818566B2 (en) | 2023-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111726804B (zh) | 用于集成小型小区和Wi-Fi网络的统一认证 | |
| US10932132B1 (en) | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access | |
| US11729619B2 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| US9648019B2 (en) | Wi-Fi integration for non-SIM devices | |
| JP6823047B2 (ja) | セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子 | |
| US9549317B2 (en) | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network | |
| US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
| Yi et al. | A comparative study of WiMAX and LTE as the next generation mobile enterprise network | |
| JP2017538345A (ja) | 方法、装置およびシステム | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220530 Address after: USA New York Applicant after: Oprah Holdings Ltd. Address before: Delaware USA Applicant before: CONVIDA WIRELESS, LLC |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |