TW201731316A - E-utran及wlan間之交遞 - Google Patents
E-utran及wlan間之交遞 Download PDFInfo
- Publication number
- TW201731316A TW201731316A TW105135756A TW105135756A TW201731316A TW 201731316 A TW201731316 A TW 201731316A TW 105135756 A TW105135756 A TW 105135756A TW 105135756 A TW105135756 A TW 105135756A TW 201731316 A TW201731316 A TW 201731316A
- Authority
- TW
- Taiwan
- Prior art keywords
- handover
- processor
- key
- response
- access point
- Prior art date
Links
- 230000004044 response Effects 0.000 claims abstract description 60
- 238000000034 method Methods 0.000 claims description 39
- 230000009471 action Effects 0.000 claims description 11
- 238000007726 management method Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 21
- 238000004891 communication Methods 0.000 description 16
- 238000009795 derivation Methods 0.000 description 12
- 230000001413 cellular effect Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1446—Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
實施例提供一種用戶設備(UE)裝置,其包括處理器和收發器。該處理器被配置成經由該收發器將交遞請求指向至演進封包核心(EPC)存取節點。該存取節點可以是,例如,無線區域網路(WLAN)存取點或E-UTRAN存取點。該交遞請求可發起將該UE裝置的連接從該WLAN存取點轉移至該E-UTRAN存取點、或者從該E-UTRAN存取點轉移至該WLAN存取點。該處理器被配置成從當前的存取節點接收交遞回應,其中該回應包括密鑰識別符,並且從該密鑰識別符導出交遞密鑰。然後該處理器可操作該UE裝置以基於該交遞密鑰提供該UE裝置與另一個存取節點之間的連接。
Description
本發明係一般關於無線通訊領域,並且係更具體地但不排他地關用於在無線胞狀網路與無線區域網路之間轉換用戶設備的方法和裝置。
本節介紹可有助於促進更佳地理解本發明之態樣。因此,本節的陳述將以此角度來閱讀,並且不應被理解為承認什麼是在先前技術中或什麼不是在先前技術中。本文描述為存在或是可能的任何技術或方案作為本發明的背景呈現,但並不藉此承認這些技術和方案迄今已被商業化,或者對除了發明人之外的其他人是已知的。
行動裝置,諸如行動手機,或更一般的用戶設備(UE),可經由蜂巢式存取點連接至網路協定(IP)傳輸層,諸如演進封包核心(EPC),以與其他網路裝置通訊。為了減少諸如E-UTRAN節點(eNodeB)之蜂巢式網路存取點的負載,此種裝置可能從與蜂巢式存取點的連接轉換至與無線LAN(WLAN)存取點的連接,該無線LAN(WLAN)存取
點提供IP傳輸層與UE之間的資料路徑。這種轉換需要在EPC基礎建設之內的UE與伺服器之間的幾個通訊步驟。這些步驟可能是耗時的,從而當許多UE的動作被視為整體時,需要大量的系統資源。
發明人揭露了可以有利地應用於,例如,混合的蜂巢式/WLAN資料網路的各種裝置和方法。儘管期望此種實施例提供此種裝置和方法的效能上的改進及/或成本降低,但除非在特定的申請專利範圍中明確地敘述,否則本發明沒有要求特定的結果。
一個實施例提供一種裝置,例如,諸如行動手機的用戶設備(UE)裝置,包括處理器,以及耦接到該處理器的記憶體及收發器。處理器被組態成執行儲存在記憶體中的指令,當指令被執行時,組態該處理器以執行將該UE裝置的連接從WLAN存取點改變到E-UTRAN存取點,或反之亦然,的步驟。因此,處理器被組態成經由包含該處理器之用戶設備(UE)裝置和第一類型的第一演進封包核心(EPC)存取節點,例如,E-UTRAN存取點,之間的收發器提供初始連接。處理器進一步被組態成檢測第二類型的第二EPC存取節點,例如,WLAN存取點,的存在。處理器進一步被組態成將交遞(handover)請求指向到第一EPC存取節點,以及從該第一存取節點接收交遞回應,其中該回應包括密鑰識別符。處理器進一步被組態成從該密鑰識
別符導出交遞密鑰,以及基於該交遞密鑰提供UE裝置和第二存取節點之間的連接。
在一些實施例中,例如,其中第一EPC存取節點是E-UTRAN存取點。交遞請求包括UE的識別和WLAN存取點的識別。在一些實施例中,基於交遞密鑰提供連接包括基於交遞密鑰導出主會話(master session)密鑰集。在一些實施例中,交遞密鑰包含基於密鑰識別符的成對的(pairwise)主密鑰。
另一實施例提供一種裝置,例如,包括eNodeB的E-UTRAN,其包括處理器,以及耦接到該處理器的記憶體及收發器。處理器被組態成執行儲存在記憶體中的指令,當指令被執行時,組態該處理器以執行支持將UE裝置的連接從E-UTRAN存取點改變到WLAN存取點的步驟。處理器被組態成經由收發器從UE裝置接收交遞請求,以及將交遞請求指向到行動管理實體(MME)。處理器進一步被組態成從MME接收交遞回應,其中該回應包括密鑰識別符,以及將交遞回應指向到UE。在一些實施例中,交遞請求包括UE裝置的識別和WLAN存取點的網路存取識別符。在一些實施例中,交遞回應包括密鑰識別符。
另一實施例提供一種裝置,例如,包括eNodeB的E-UTRAN,其包括處理器,以及耦接到該處理器的記憶體及收發器。處理器被組態成執行儲存在記憶體中的指令,當指令被執行時,組態該處理器以執行支持將UE裝置的連接從WLAN存取點改變到E-UTRAN存取點的步驟。處
理器被組態成經由收發器從行動管理實體(MME)接收交遞密鑰協商請求,以及回應地將密鑰協商回應指向給MME。處理器進一步被組態成從UE裝置接收訊息,其指示UE已經回應於接收該密鑰協商回應而完成從無線區域網路存取點至包含處理器之E-UTRAN的交遞。在一些實施例中,處理器進一步被組態成從與交遞密鑰協商請求一起被接收的一密鑰導出一組交遞密鑰,並且密鑰協商回應包括有該等交遞密鑰。在一些實施例中,交遞密鑰協商請求包括UE裝置的識別。
另一實施例提供一種裝置,例如,WLAN存取點,其包括處理器,以及耦接到該處理器的記憶體及收發器。處理器被組態成執行儲存在記憶體中的指令,當指令被執行時,組態該處理器以執行支持將UE裝置的連接從E-UTRAN存取點改變到WLAN存取點的步驟。處理器被組態成從AAA伺服器接收交遞密鑰協商請求,並且回應地,將交遞密鑰協商訊息指向給AAA伺服器。處理器進一步被組態成從UE接收交遞完成訊息,其由交遞密鑰協商回應產生,並且其後提供UE和演進封包核心網路之間的連接。在一些實施例中,交遞密鑰協商請求包括用戶設備裝置的識別,請求從E-UTRAN存取點至包含處理器的無線區域網路存取點之連接的交遞。在一些實施例中,交遞密鑰協商請求進一步包括主會話密鑰(MSK)以及擴展主會話密鑰(EMSK)。在一些實施例中,處理器進一步由指令組態成將訊息指向給AAA伺服器,通知AAA伺服器包
含處理器的WLAN存取點準備好提供UE和演進封包核心網路之間的連接。
另一實施例提供一種裝置,例如,WLAN存取點,其包括處理器,以及耦接到該處理器的記憶體及收發器。處理器被組態成執行儲存在記憶體中的指令,當指令被執行時,組態該處理器以執行支持將UE裝置的連接從WLAN存取點改變到E-UTRAN存取點的步驟。處理器被組態成將交遞請求指向給AAA伺服器,以及從AAA伺服器接收交遞回應。處理器進一步被組態成回應於接收該交遞回應,將交遞回應指向給UE裝置,以及停止提供UE裝置和演進封包核心之間的連接。在一些實施例中,處理器進一步被組態成回應於從UE裝置接收到請求而將交遞請求指向AAA伺服器,以從包含處理器的WLAN存取點至E-UTRAN存取點,交遞UE裝置和演進封包核心之間的連接。在一些實施例中,交遞回應包括客製化密鑰集索引(custom key set index),並且處理器被組態成以該交遞回應將該客製化密鑰指向到UE裝置。
各種附加的實施例包括製造與上述實施例一致的WLAN存取點的方法。
各種附加的實施例包括製造與上述實施例一致的E-UTRAN存取點的方法。
各種附加的實施例包括製造與上述實施例一致的UE裝置的方法。
為了便於參考,此處收集討論中所使用的下列縮寫:3GPP:第三代合作夥伴計畫
AAA:驗證(authentication)、授權(authorization)及帳號管理(accounting)伺服器
ANDSF:存取網路搜尋與選擇功能
CDN:內容傳遞網路
E-UTRAN:演進UTRAN
EMSK:擴展主會話密鑰
EPS:演進封包系統
GTP:GPRS隧道協定
HSS:歸屬用戶伺服器(Home Subscriber Server)
IMEA:國際移動基地台設備識別碼
IMSI:國際移動用戶識別碼
IPsec:網際網路協定安全
KASME:行動管理實體基鑰;基鑰
MAC:媒體存取控制
MME:行動管理實體
MSK:主會話密鑰
NAI:網路存取識別符
NFV:網路功能虛擬化
PCRF:策略和計費規則功能
PMK:成對的主密鑰
S/PGW(C):服務/封包資料網路閘道器
SDN:軟體定義網路
TLS:傳輸層安全
TSK:臨時會話密鑰
TWAN:信任的WLAN
UE:用戶設備
UMTS:通用移動電信系統
UTRAN:UMTS陸地無線電存取網路
VNF:虛擬化網路功能
WLAN:無線區域網路
WLCP:WLAN控制協定
與以下描述相關的下列技術標準之各者對相關領域的技術人員而言是已知的,並透過引用整體併入本文:
●IEEE 802.11i-2004
●IETF RFC 3748
●IETF RFC 5448
●3GPP TS23.402
●3GPP TS33.210
●3GPP TS33.220
●3GPP TS33.401
●3GPP TS33.402
100‧‧‧基於軟體定義網路(SDN)/網路功能虛擬化(NFV)的框架
110‧‧‧用戶設備(UE)裝置
110a‧‧‧處理器
110b‧‧‧記憶體
110c‧‧‧收發器
110d‧‧‧天線
120‧‧‧無線區域網路(WLAN)存取點
120a‧‧‧處理器
120b‧‧‧記憶體
120c‧‧‧收發器
120d‧‧‧天線
120e‧‧‧網路介面
130‧‧‧演進UTRAN(E-UTRAN)存取點
135‧‧‧eNodeB
135a‧‧‧處理器
135b‧‧‧記憶體
135c‧‧‧收發器
135d‧‧‧天線
135e‧‧‧網路介面
140‧‧‧軟體定義網路(SDN)控制器
150‧‧‧交換機
160‧‧‧交換機
170‧‧‧雲
180‧‧‧虛擬化網路功能(VNF)
180a‧‧‧內容傳遞網路
180b‧‧‧歸屬用戶伺服器(Home Subscriber Server)
180c‧‧‧驗證(authentication)、授權(authorization)及帳號管理(accounting)伺服器
180d‧‧‧行動管理實體
180e‧‧‧策略和計費規則功能
180f‧‧‧存取網路搜尋與選擇功能
180g‧‧‧資源控制
180h‧‧‧服務/封包資料網路閘道器
當結合附圖時,藉由參考以下詳細描述,可以獲得對本發明的更完整的理解,其中:圖1示出混合的蜂巢式無線及WLAN系統的實施例,其中SDN控制器經由EUTRAN和WLAN調解(mediate)用戶設備(UE)裝置至3GPP演進封包核心網路的存取;圖2示出圖1之UE、EUTRAN和WLAN之態樣的詳細視圖;圖3示出用於從圖1之EPS E-UTRAN至WLAN之交遞的密鑰協商的實施例;圖4示出用於從圖1之WLAN至EPS E-UTRAN之交遞的密鑰協商的實施例;以及圖5示意性地示出可有助於理解圖3和4中所呈現的方法的各種步驟的各種密鑰之間的關係。
現在參考附圖描述各種實施例,其中相同的參考標號用於指代相同的元件。在以下描述中,為了解釋的目的,闡述了許多具體細節以便提供對一個或多個實施例的透徹理解。然而,很明顯的,可以在沒有這些具體細節的情況下實施這(些)實施例。在其他實例中,以方塊圖形式示出公知的結構和裝置,以便於描述一個或多個實施例。
本文描述的實施例解決了傳統技術的一些缺點,其透過,例如,利用軟體定義網路(SDN)和網路功能虛擬化(NFV)能力來為3GPP和非3GPP存取之間的移動性提供有效的認證和密鑰協商程序,以便節省無線電資源並減少交
遞等待時間(latency)。舉例而言,此種實施例相對於傳統操作的優點包括用於E-UTRAN和WLAN之間的交遞的密鑰協商的更有效的程序。因此,UE和網路之間經由空中鏈路的通訊顯著地減少。
相關的3GPP標準要求UE和演進封包核心(EPC)網路在該UE可以在3GPP無線電存取(例如,經由eNodeB)和非3GPP無線電存取(例如,經由WLAN)之間切換之前可以相互認證。參見,例如3GPP TS33.402。在成功的相互認證之後,將獲得相應的密鑰並用於保護3GPP無線電存取或非3GPP無線電存取。舉例而言,如IETF RFC5448中定義的,當UE從EPS E-UTRAN存取點轉換到WLAN無線電存取點時,EAP-AKA可以用於UE和3GPP AAA伺服器之間的相互認證。在成功的相互認證之後,如IETF RFC5448中定義的,可以導出兩個密鑰MSK和EMSK,並用以產生WLCP密鑰,如3GPP TS23.402和TS33.402中定義的,以及產生相應的密鑰以保護WLAN無線電存取,如3GPP TS33.402中定義的。在另一範例中,當UE從WLAN轉換到EPS E-UTRAN時,如3GPP TS33.401中定義的,EPS AKA可以用於UE和MME之間的相互認證。之後,將導出相應的密鑰來保護UE和eNodeB之間的通訊。
這種方案至少有以下兩個缺點:
1)即使UE已經由來源無線電存取網路(RAN)認證,UE和目標網路之間的相互認證必須再次被執行,
以便在交遞之前獲得用以保護空中鏈路的密鑰,其將增加交遞等待時間。
2)UE和目標網路之間存在許多經由3GPP空中鏈路的通訊,其消耗稀有的無線電資源。
本文所描述的實施例可以解決傳統技術的這些及/或其他缺點,其透過,例如,例用SDN和NFV能力來最佳化用於3GPP和非3GPP網路存取之間的移動性的認證及密鑰協商的程序,以便減少無線電資源的使用及/或減少交遞等待時間。有利地,一些實施例為E-UTRAN和WLAN之間的交遞提供較傳統程序更佳的密鑰協商的程序。因此,UE和網路之間經由3GPP空中鏈路的通訊顯著地減少。此外,減少了交遞等待時間,節省了無線電存取資源。
用於3GPP和非3GPP存取(例如,WiMAX、WLAN、及CDMA-2000 HRPD)之間的移動性的認證和密鑰協商係定義於3GPP TS33.402中。為了簡化描述,以下僅概述用於EPS E-UTRAN和具有非漫遊的WLAN之間的移動性的認證和密鑰協商。此外,僅描述對EPC的可信WLAN存取或非無縫卸載。相關領域的技術人員將立即認知到所描述的原理可以延伸超出E-UTRAN/WLAN移動性,例如,與WLAN的5G無線互連,而無需過多的實驗。
圖1示出用於與WLAN互連的3GPP EPS E-UTRAN之基於SDN/NFV的框架100的一個實施例。UE裝置110,例如,行動手機、平板電腦、膝上型電腦或能夠與
WLAN存取點及E-UTRAN存取點通訊的類似裝置,可以與WLAN存取點(AP)120及/或E-UTRAN AP 130進行射頻(RF)通訊。WLAN AP 120可經由交換機150與SDN控制器140通訊,E-UTRAN AP 130可經由交換機160與SDN控制器140通訊。網路包括在「雲」170中部署的控制層中的虛擬化網路功能(VNF)180。相關領域中的技術人員應理解的是,雲170是經由網際網路協定互連的潛在大量裝置的抽象表示。特別是,雲170可以在EPS中實現,並且更廣泛的連接至全球資訊網。示出若干VNF 180,包括CDN 180a、HSS 180b、AAA伺服器180c(簡稱AAA 180c)、MME 180d、PCRF 180e、ANDSF 180f、RC 180g及S/PGW-C 180h。在其他實施例中,雲170可包括除了所示出的那些VNF之外的其他VNF 180,而在其他實施例中,可以不包括示出的VNF 180中的一些。這些VNF與SDN控制器140一起,可操作以協商用於在E-UTRAN AP 130和WLAN AP 120之間的UE交遞的密鑰。這樣的實現使得有可能有效地實現交遞。
NFV實現提供比替代方法,例如,固定網路功能伺服器,更低的成本及更靈活的安全服務傳送。VNF可由在標準高容量伺服器、交換機和儲存器,或甚至雲計算基礎設施之上運行不同軟體和程序的一或多個虛擬機器實現,取代具有用於各個網路功能的客製化硬體設備。可以便宜地且快速地部署這樣的功能,且該方案具有高度可擴展性。此外,在硬體或網路故障的情況下,可藉由使用另一VNF
替換一個VNF,例如,透過重新配置可用的伺服器,來快速地重新建立功能。可以向SDN控制器,諸如SDN控制器140,提供相關網路拓樸的知識。可以同時並且一致地針對與VNF的互操作性相關的所有網路設備配置安權策略。此外,SDN控制器140可被配置成,與諸如自動安全管理的一些安全功能一起,自動地即時偵測和減輕網路攻擊。參見,例如,Z.Hu等人的“A Comprehensive Security Architecture for SDN(SDN的綜合安全體系架構)”,第18屆下一代網路智能國際會議,IEEE,2015,pp 30-37,其透過引用併入本文。
圖2示出框架100之一些組件,例如,UE 110、WLAN AP 120和E-UTRAN AP 130與相關聯的eNodeB 135,的特徵。UE 110包括處理器110a,其被配置成與記憶體110b和收發器110c本地通訊。藉由「本地通訊」,其意味著處理器110a被配置成,透過直接、歐姆連接,例如,電線、電路板等,沒有空氣間隙地與記憶體110b和收發器110c通訊。收發器110c進一步被耦接至天線110d。記憶體110b包括指令,例如,程式,當由處理器110a執行時,配置該處理器110a以執行如本文之實施例中所述的各種動作。處理器110a與收發器110c通訊以傳送及/或接收至WLAN AP 120和eNodeB 135的訊息及/或封包資料。UE 110可藉由使用射頻信號透過天線110d與WLAN AP 120和E-UTRAN AP 130無線通訊。
WLAN AP 120包括處理器120a,其被配置成與記憶
體120b、收發器120c及網路介面120e本地通訊。收發器120c進一步被耦接至天線120d。記憶體120b包括指令,例如,程式,當由處理器120a執行時,配置該處理器120a以執行如本文之實施例中所述的各種動作。處理器120a與收發器120c通訊以傳送及/或接收透過天線120d至UE 110及透過網路介面120e至SDN控制器140的訊息及/或封包資料。
eNodeB 135包括處理器135a,其被配置成與記憶體135b、收發器135c及網路介面135e本地通訊。收發器135c進一步被耦接至天線135d。記憶體135b包括指令,例如,程式,當由處理器135a執行時,配置該處理器135a以執行如本文之實施例中所述的各種動作。處理器135a與收發器135c通訊以傳送及/或接收透過天線135d至UE 110及透過網路介面135e至SDN控制器140的訊息及/或封包資料。
下面的圖3和4示出了分別描述E-UTRAN AP 130和WLAN AP 120之間的交遞程序的兩個實施例。在各種實施例中,以相較傳統方法,例如,諸如符合3GPP TS33.402及3GPP TS23.402技術標準的那些,更有效的方式,例如,消耗更少的無線資源,執行用於這些交遞的密鑰協商。以下實施例基於為了簡化表示而做出的以下假設,而不限於本揭示或申請專利範圍的範圍:
●WLAN AP 120和EPS E-UTRAN AP 130彼此信任,例如,3GPP TS23.402中所定義的。
●EPS E-UTRAN AP 130和WLAN AP 120之間的交遞在單連接模式下執行,不進行漫遊。
●WLAN AP 120和交換機150之間、以及E-UTRAN AP 130和交換機160之間的通訊由TLS/IPsec或實體安全保護。
●各個交換機150、160和SDN控制器140之間的通訊由TLS/IPsec或實體安全保護。
●E-UTRAN AP 130和WLAN AP 120存取節點二者皆具有支援密鑰協商的能力。
基於SDN控制器140,諸如MME 180d、AAA 180c及HSS 180b的網路功能可以彼此有效率地且安全地通訊。因此,透過利用用於3GPP EPS E-UTRAN與WLAN互通的SDN/NFV能力,期望大幅減少UE 110和網路之間用於認證和密鑰協商的通訊。因而,減少了交遞等待時間並且節省了無線電存取資源。
圖3示出方法300的實施例,例如,協商從EPS E-UTRAN至WLAN之交遞的方法。方法300包括六個參與者,UE 110、WLAN AP 120、E-UTRAN AP 130、MME 180d、AAA 180c和HSS 180b。在方法300中,各種訊息和加密密鑰可包括前綴詞「HO」,其將訊息或密鑰指定為「交遞」訊息或密鑰。在此表示中,UE 110最初(「步驟0」)經由E-UTRAN AP 130被連接到EPC。以表格形式便利地呈現以下的步驟:
步驟3-1:UE 110透過WLAN AP 120發現WLAN存
取是可用的。
步驟3-2:回應於此發現,UE 110藉由將交遞(HO)請求訊息HO_Request指向到E-UTRAN AP 130來發起從E-UTRAN AP 130至WLAN AP 120的交遞。可例如回應於檢測到來自WLAN AP 120的足夠的信號強度而提出該請求。該請求包括UE 110的識別(Identity)參數,例如,IMEA號碼、IMSI號碼或MAC位址,及WLAN AP 120的識別,例如,網路存取識別符參數NAI WLAN 。該Identity和NAI WLAN 參數可以如3GPP TS23.402及3GPP TS33.402中所定義的。
步驟3-3:回應於接收到該HO_Request訊息,E-UTRAN AP 130將此訊息重新指向MME 180d。
步驟3-4:MME 180d確定相應的識別符,例如,IMSI,及對應於UE 110的密鑰集識別符KSIASME。可以,例如,依據步驟2中包含的識別(Identity)參數來做出此確定。MME 180d可依據具有KSIASME之相應的基本密鑰KASME來導出交遞密鑰HO_KASME。本領域技術人員熟悉該密鑰KASME及密鑰集識別符KSIASME。參見,例如,3GPP TS33.401。在一些實施例中,MME 180d不導出密鑰HO_KASME,而是直接將該密鑰KASME傳送給AAA 180c。然
而,由於可能的潛在安全威脅,在某些情況下這樣的實施例並不是較佳的,因為WLAN AP 120可能能夠判斷用以保護UE 110和E-UTRAN AP 130之間的無線通訊的密鑰。
步驟3-5:MME 180d依據最初由UE 110所提供的參數NAI WLAN 來識別AAA 180c,然後將訊息HO_Request(Identity,NAI WLAN ,HO_KASME)指向被識別的AAA 180c。
步驟3-6:AAA 180c從密鑰HO_KASME導出密鑰MSK和EMSK。推導的細節由,例如,IETF RFC5448提供。此標準定義了用於MSK和EMSK的密鑰導出函數(KDF),其假設用於函數PRF'的輸入密鑰為「IK'|CK'」。在本實施例中,密鑰HO_KASME取代IK'|CK'作為PRF'函數的輸入密鑰。
步驟3-7:AAA 180c將交遞密鑰協商請求,例如,訊息HO_Key_Negotiate_Request(Identity,MSK,EMSK)指向到WLAN AP 120。
步驟3-8:WLAN AP 120儲存將被用以保護UE 110和WLAN AP 120之間的通訊的密鑰MSK和EMSK。WLAN AP 120將交遞密鑰協商回應,例如,訊息HO_Key_Negotiate_Response指向給AAA 180c。
步驟3-9:AAA 180c將訊息HO_Response傳送至
MME 180d。
步驟3-10:MME 180d將訊息HO_Response(KSIASME)傳送至E-UTRAN AP 130。
步驟3-11:E-UTRAN AP 130將訊息HO_Response(KSIASME)傳送至UE 110。
步驟3-12:UE 110以與MME 180d相同的方式推導出密鑰HO_KASME,例如,如TS33.210中所述的。此推導描述於附錄中,以KASME作為輸入密鑰。UE 110以與步驟6中的AAA 180c相同的方式產生主會話密鑰MSK及擴展主會話密鑰EMSK。密鑰MSK和EMSK在本文和申請專利範圍中被統稱為主會話密鑰集。相關領域中的技術人員應理解的是,密鑰HO_KASME係與密鑰KASME直接地類似,密鑰KASME是傳統上在UE和MME之間共享的中間密鑰。
步驟3-13:UE 110導出密鑰以保護空中鏈路,例如,從MSK導出PMK和TSK,以及從EMSK導出WLCP密鑰。參見,例如,3GPP TS33.402、IETF RFC3748及IEEE 802.11i-2004。UE 110接著使用該些導出的密鑰連接至WLAN AP 120。然後,UE 110將訊息HO_Completed傳送至WLAN AP 120。
步驟3-14:WLAN AP 120將訊息HO_Notify傳送至
AAA 180c,通知AAA 180c WLAN AP 120已經建立了在UE 110和EPC之間的連接。
步驟3-15:AAA 180c向HSS 180b發起訂戶端設定檔擷取(Subscriber Profile Retrieval)及AAA伺服器註冊。
步驟3-16:在EPS E-UTRAN存取中釋放資源。
圖4示出方法400的實施例,例如,協商從WLAN至EPS E-UTRAN之交遞的方法。方法400包括關於圖4所描述的六個參與者,UE 110、WLAN AP 120、E-UTRAN AP 130、MME 180d、AAA 180c和HSS 180b。
和前面一樣,在方法400中,前綴詞「HO」將訊息或密鑰指定為交遞訊息或密鑰。方法400中的各種參與者導出需要提供給UE 110和eNodeB 135的所有密鑰。這些交遞密鑰直接地類似於用以提供在傳統實作中的各種參與者的密鑰。相關領域的技術人員將立即認知到,可使用符合,例如,標準文件3GPP TS33.401的程序來導出這些密鑰。圖5示意性地示出,但不限於,各種密鑰之間的關係,其可有助於理解以下的步驟。MME 180d從自AAA 180c接收到的成對的主密鑰HO_PMK導出密鑰HO_KASME。MME 180d接著從HO_KASME導出密鑰HO_KeNB,並將後者的密鑰傳送至E-UTRAN AP 130。接著,E-UTRAN AP 130從HO_KeNB密鑰導出四個額外的密鑰:HO_KRRCint、HO_KRRCenc、HO_KUPint、及HO_KUPenc。後面這四個密鑰在本文中統稱為「交遞密鑰」。本領域技術人員將立即
明瞭的是,交遞密鑰HO_KUPint和HO_KUPenc係直接地類似於TS33.401標準中描述的使用者平面(UP)訊務(traffic)密鑰KUPenc和KUPint,並且密鑰HO_KRRCint、HO_KRRCenc係直接地類似於在相同標準中描述的無線電資源控制(RRC)訊務密鑰KRRCint和KRRCenc。
返回到圖4,UE 110最初(「步驟0」)經由WLAN AP 120被連接到EPC。以表格形式便利地呈現以下的步驟:
步驟4-1:UE 110發現E-UTRAN AP 130可用於存取,並發起交遞請求。可例如回應於檢測到在至WLAN AP 120的連接中的信號品質的損失而提出該請求。
步驟4-2:UE 110將訊息HO_Request(Identity,NAI E-UTRAN )指向到WLAN AP 120。該Identity和NAI E-UTRAN 參數可以如3GPP TS23.402及3GPP TS33.402標準中所定義的。
步驟4-3:WLAN AP 120將HO_Request(Identity,NAI E-UTRAN )訊息轉發給AAA 180c。
步驟4-4:AAA 180c依據Identity參數擷取相應於UE 110的PMK。在一些實施例中,AAA 180c接著從PMK密鑰導出密鑰HO_PMK。在這種情況下,密鑰HO_PMK亦可操作作為交遞密鑰。在一些其他的實施例中,AAA 180c不導出密鑰HO_PMK,而是將密鑰PMK直接地傳送給MME 180d。然而,在這樣的
實施例中可能存在潛在的安全威脅,因為E-UTRAN AP 130可能學習用以保護UE 110和WLAN AP 120之間的無線通訊的密鑰。因此,在一些實施方式中,前述實施例可能是較期望的。可如附錄中所述來執行密鑰HO_PMK的推導。
步驟4-5:AAA 180c依據參數NAI E-UTRAN 來識別MME 180d。AAA 180c將HO_Request(Identity,NAI E-UTRAN ,HO_PMK)訊息傳送給MME 180d。
步驟4-6:MME 180d從密鑰HO_PMK推導出密鑰HO_KASME。MME 180d從密鑰HO_KASME推導出密鑰HO_KeNB。可如附錄中所述來執行這些密鑰推導,其中推導方法的輸入密鑰分別取為HO_PMK和HO_KASME。
步驟4-7:MME 180d將HO_Key_Negotiate_Request(Identity,HO_KeNB)訊息傳送給E-UTRAN AP 130。
步驟4-8:E-UTRAN AP 130儲存密鑰HO_KeNB,並從密鑰HO_KeNB推導出四個額外的密鑰:HO_KRRCint、HO_KRRCenc、HO_KUPint、及HO_KUPenc,在本文和申請專利範圍中統稱為交遞密鑰。這些交遞密鑰將被用來保護UE 110和E-UTRAN AP 130之間的通訊。可如附錄中所述來執行這些密鑰推導,其中該推
導方法的輸入密鑰取為HO_KeNB。
步驟4-9:E-UTRAN AP 130將HO_Key_Negotiate_Response訊息傳送給MME 180d。
步驟4-10:MME 180d將HO_Response訊息傳送給AAA 180c。
步驟4-11:AAA 180c將HO_Response(KSIHO)訊息傳送給WLAN AP 120。應注意的是,在傳統實作中不使用KSIHO密鑰,而在本揭示中引入KSIHO密鑰,用以向UE 110發信號通知在WLAN存取中將使用PMK來產生HO_KASME。KSIHO在本文和申請專利範圍中通常被稱為「客製化密鑰集索引」,以反映其相較於傳統實作的新穎性。當然,雖然可使用不同的術語來稱呼客製化密鑰集索引而功能相同,此處所使用的命名法反映了KSIHO與傳統密鑰集索引KSI之功能的相似性。客製化密鑰集索引從AAA 180c被發送到WLAN AP 120,用於將WLAN AP 120配置成操作為EPC存取點。客製化密鑰集索引被定義為在當前現有的標準,例如,3GPP標準,或者更具體的,例如,3GPP TS23.402和3GPP TS33.402中未定義的密鑰集索引。
步驟4-12:WLAN AP 120將HO_Response(KSIHO)訊息轉發給UE 110。
步驟4-13:UE 110以與由AAA 180c所進行的相同的方式從PMK導出密鑰HO_PMK。UE 110以與由MME 180d所進行的相同的方式從密鑰HO_PMK導出密鑰HO_KASME以及從密鑰HO_KASME導出密鑰HO_KeNB。UE 110以與由E-UTRAN AP 130所執行的相同的方式產生密鑰HO_KRRCint、HO_KRRCenc、HO_KUPint、及HO_KUPenc。可如附錄中所述來執行密鑰HO_PMK、HO_KASME、HO_KeNB、HO_KRRCint、HO_KRRCenc、HO_KUPint、及HO_KUPenc的推導,其中以PMK、HO_PMK、HO_KASME及HO_KeNB分別作為輸入密鑰。
步驟4-14:UE 110連接至E-UTRAN AP 130,使用密鑰HO_KRRCint、HO_KRRCenc、HO_KUPint、及HO_KUPenc來保護鏈路安全。UE 110將HO_Completed訊息傳送給E-UTRAN AP 130。
步驟4-15:E-UTRAN AP 130將HO_Notify訊息傳送給MME 180d。
步驟4-16:MME 180d向HSS 180b發起訂戶端設定檔擷取及MME註冊。
步驟4-17:WLAN存取資源被所有實體釋放。
除非另有明確地說明,否則每個數值和範圍應被解釋為是近似的,如同在該值或範圍的值之前的「約(about)」或「大約(approximately)」之詞。
將進一步理解的是,在不脫離如所附之申請專利範圍中所描述之本發明的範圍的情況下,本領域之技術人員可以對已經描述和示出以解釋本發明之本質的部件的細節、材料和配置做出各種改變。
在申請專利範圍中使用的圖式編號及/或圖式參考標記旨在標識申請專利保護之標的的一或多個可能的實施例,以有助於對申請專利範圍的解釋。這樣的使用不應被解釋為必然地將那些申請專利範圍的範圍限制到附圖中所示的實施例。
雖然在以下方法請求項(若有的話)中的元素以具有相應標記的特定順序描述,除非請求項陳述另外暗示用於執行這些元素中的一些或全部的特定順序,否則這些元素不必旨在被限制為以該特定順序執行。
本文對「一個實施例」或「一實施例」的引用意味著結合該實施例所描述的特定特徵、結構、或特性可被包括在本發明的至少一個實施例中。在說明書中的各個位置出現的「在一個實施例中」的短句不一定全部指稱相同的實施例,單獨或替代的實施例也不一定與其他實施例相互排斥。這同樣適用於「執行(implementation)」一詞。
亦為了此說明的目的,「耦接(couple)」、「耦接(coupling)」、「被耦接(coupled)」、「連接(connect)」、「連接(connecting)」、或「被連接(connected)」之術語指稱本領域中已知或之後將開發的允許能量在兩個或更多個元件之間傳遞,並且預期插入一或更多個額外元件,僅
管非必要,的任何方式。相反的,「直接耦接」、「直接連接」等等的術語暗示不存在此種額外元件。
本申請中的申請專利範圍所涵蓋的實施例限於(1)由本說明書所實現的以及(2)對應於法定標的的實施例。明確地否認未實施的實施例以及對應於非法定標的的實施例,即使它們形式上落入申請專利範圍的範圍內。
描述和附圖僅示出本發明的原理。因此,應當理解的是,本領域的普通技術人員將能夠設計出,僅管本文沒有明確地描述或示出,體現本發明之原理並且包括在其精神和範圍內的各種佈置。此外,本文所描述的所有範例主要旨在明確地僅用於教學目的,以協助讀者理解本發明的原理以及發明人為促進本領域而貢獻的概念,並且應被解釋為不限於這些具體說明的範例和條件。而且,記載本發明的原理、態樣、及實施例以及其特定範例的本文所有陳述旨在涵蓋其等同物。
可透過使用專用的硬體以及能夠與適當的軟體相關聯地執行軟體的硬體來提供圖式中所示的各種組件的功能,包括被標記為「處理器」的任何功能性方塊。當由處理器提供時,可以由單一專用的處理器、由單一共用的處理器、或者由複數個單獨的處理器,其中一些可以是共用的來提供該等功能。此外,「處理器」或「控制器」之術語的明確使用不應被解釋為排他地指稱能夠執行軟體的硬體,並且可隱含地包括,但不限於,數位信號處理器(DSP)硬體、特殊應用積體電路(ASIC)、現場可程式閘陣
列(FPGA)、用於儲存軟體的唯讀記憶體(ROM)、隨機存取記憶體(RAM)、及非揮發性儲存器。亦可包括其他傳統的及/或客製化的硬體。類似地,圖式中所示的任何開關僅是概念性的。它們的功能可以透過程式邏輯、透過專用邏輯、透過程式控制及專用邏輯的交互結合適當的電腦硬體之操作來執行,特定技術可由實施者選擇,如從上下文可更具體地理解。
本領域之普通技術人員應當理解的是,本文的任何方塊圖表示體現本發明之原理的說明性電路的概念性視圖。類似地,應當理解的是,任何流程圖、流程圖解、狀態轉換圖、虛擬碼等表示各種程序,其可實質上表示於電腦可讀取媒體中並且因此由電腦或處理器執行,不管是否明確地示出此種電腦或處理器。
僅管本發明的多個實施例已示於隨附的圖式中,並且已於前面的實施方式中描述,但應當理解的是,本發明不限於揭露的實施例,而是能夠不脫離由隨附之申請專利範圍所闡述和定義的本發明來進行多種重新配置、修改和取代。
參考3GPP TS33.220的B.2,通用密鑰推導函數定義如下:
●derivedKey=HMAC-SHA-256(Key,S)
●S=FC∥P0∥L0∥P1∥L1∥P2∥L2∥P3∥L3∥...∥Pn∥Ln
其中- FC是單一八位元組,用以區分演算法的不同實例,- P0是靜態ASCII編碼字串,- L0是P0的長度的兩個八位元組表示,- P1...Pn是n個輸入參數,以及- L1...Ln是相應的輸入參數P1...Pn之長度的兩個八位元組表示。
依據3GPP TS33.220之B.2項中所定義的密鑰推導函數(KDF),所有的密鑰HO_PMK,HO_KASME,HO_KeNB,HO_KRRCint,HO_KRRCenc,HO_KUPint,及HO_KUPenc定義如下:
●HO_PMK=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x31†
.P0="ho_pmk"
.L0=P0的長度為8個八位元組
●HO_KASME=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x32†
.P0="ho_kasme"
.L0=P0的長度為8個八位元組
●HO_KeNB=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x33†
.P0="ho_kenb"
.L0=P0的長度為8個八位元組
●HO_KRRCint=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x34†
.P0="ho_krrcint"
.L0=P0的長度為8個八位元組
●HO_KRRCenc=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x35†
.P0="ho_krrcenc"
.L0=P0的長度為8個八位元組
●HO_KUPint=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x36†
.P0="ho_kupint"
.L0=P0的長度為8個八位元組
●HO_KUPenc=HMAC-SHA-256(Key,S)
- S=FC∥P0∥L0
.FC=0x37†
.P0="ho_kupenc"
.L0=P0的長度為8個八位元組
†這些是範例值,在其他特定的實現中可以不同。
100‧‧‧基於軟體定義網路(SDN)/網路功能虛擬化(NFV)的框架
110‧‧‧用戶設備(UE)裝置
120‧‧‧無線區域網路(WLAN)存取點
130‧‧‧演進UTRAN(E-UTRAN)存取點
140‧‧‧軟體定義網路(SDN)控制器
150‧‧‧交換機
160‧‧‧交換機
170‧‧‧雲
180a‧‧‧內容傳遞網路
180b‧‧‧歸屬用戶伺服器(Home Subscriber Server)
180c‧‧‧驗證(authentication)、授權(authorization)及帳號管理(accounting)伺服器
180d‧‧‧行動管理實體
180e‧‧‧策略和計費規則功能
180f‧‧‧存取網路搜尋與選擇功能
180g‧‧‧資源控制
180h‧‧‧服務/封包資料網路閘道器
Claims (33)
- 一種裝置,包含:收發器;記憶體;及處理器,其被配置成執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:經由該收發器提供在包含該處理器之用戶設備(UE)裝置和第一類型的第一演進封包核心(EPC)存取節點之間的初始連接;檢測第二類型的第二EPC存取節點的存在;將交遞請求指向到該第一EPC存取節點;從該第一存取節點接收交遞回應,該回應包括加密密鑰集識別符;從該密鑰集識別符導出交遞密鑰;及依據該交遞密鑰提供該UE裝置和該第二存取節點之間的連接。
- 如申請專利範圍第1項的裝置,其中該第一存取節點包含E-UTRAN存取點,且該第二存取節點包含無線區域網路(WLAN)存取點。
- 如申請專利範圍第2項的裝置,其中該交遞請求包括該UE的識別以及該WLAN存取點的識別。
- 如申請專利範圍第1項的裝置,其中該第一存取節點包含無線區域網路(WLAN)存取點,且該第二存取節點包含E-UTRAN存取點。
- 如申請專利範圍第4項的裝置,其中該交遞請求包括該UE裝置的識別以及該E-UTRAN存取點的識別。
- 如申請專利範圍第1項的裝置,其中依據該交遞密鑰提供連接包括依據該交遞密鑰導出主會話密鑰集。
- 如申請專利範圍第1項的裝置,其中該交遞密鑰包含基於該密鑰識別符的成對的主密鑰。
- 一種裝置,包含:收發器;記憶體;及處理器,其被配置成執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:經由該收發器從用戶設備(UE)裝置接收交遞請求;將該交遞請求指向至行動管理實體(MME);從該MME接收交遞回應,該回應包括加密密鑰集識別符;及將該交遞回應指向至該UE。
- 如申請專利範圍第8項的裝置,其中該交遞請求包括該UE裝置的識別及無線區域網路(WLAN)存取點的網路存取識別符。
- 如申請專利範圍第8項的裝置,其中該交遞回應包括密鑰識別符。
- 一種裝置,包含:收發器;記憶體;及 處理器,其被配置成執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:經由該收發器從行動管理實體(MME)接收交遞密鑰協商請求;將密鑰協商回應指向至該MME;從用戶設備(UE)裝置接收回應於該密鑰協商回應而產生的訊息,其指示該UE已經完成從無線區域網路存取點至包含該處理器的E-UTRAN的交遞;及提供該UE和演進封包核心之間的連接。
- 如申請專利範圍第11項的裝置,其中該處理器進一步被配置成從與該交遞密鑰協商請求一起接收的密鑰導出一組交遞密鑰,並且該密鑰協商回應包括有該些交遞密鑰。
- 如申請專利範圍第11項的裝置,其中該交遞密鑰協商請求包括該UE裝置的識別。
- 一種裝置,包含:收發器;記憶體;及處理器,其被配置成執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:從AAA伺服器接收交遞密鑰協商請求;將交遞密鑰協商回應指向至該AAA伺服器;從UE接收交遞完成訊息;及提供該UE和演進封包核心之間的連接。
- 如申請專利範圍第14項的裝置,其中該交遞密鑰協商請求包括用戶設備裝置的識別,請求從E-UTRAN存取點至包含該處理器的無線區域網路存取點的連接的交遞。
- 如申請專利範圍第15項的裝置,其中該交遞密鑰協商請求還包括主會話密鑰(MSK)及擴展主會話密鑰(EMSK)。
- 如申請專利範圍第14項的裝置,其中該處理器進一步由該些指令配置成將訊息指向至該AAA伺服器,通知該AAA伺服器包含該處理器的WLAN存取點已經準備好提供該UE和EPC之間的連接。
- 一種裝置,包含:收發器;記憶體;及處理器,其被配置成執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:將交遞請求指向至AAA伺服器;從該AAA伺服器接收交遞回應;回應於接收到該交遞回應,將該交遞回應指向至用戶設備(UE)裝置;及停止提供該UE裝置和演進封包核心之間的連接。
- 如申請專利範圍第18項的裝置,其中該處理器進一步被配置成回應於從該UE裝置接收到請求,將該交遞請求指向至該AAA伺服器,以將該UE裝置和演進封包 核心之間的連接從包含該處理器的WLAN存取點交遞至E-UTRAN存取點。
- 如申請專利範圍第18項的裝置,其中該交遞回應包括客製化密鑰集索引(custom key set index),且該處理器被配置成以該交遞回應將該客製化密鑰集索引指向至該UE裝置。
- 一種方法,包含:配置處理器與記憶體和收發器本地通訊;進一步配置該處理器執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:經由該收發器從用戶設備(UE)裝置接收交遞請求;將該交遞請求指向至行動管理實體(MME);從該MME接收交遞回應,該回應包括加密密鑰集識別符;及將該交遞回應指向至該UE。
- 如申請專利範圍第21項的方法,其中該交遞請求包括該UE裝置的識別及無線區域網路(WLAN)存取點的網路存取識別符。
- 如申請專利範圍第21項的方法,其中該交遞回應包括密鑰識別符。
- 一種方法,包含:配置處理器與記憶體和收發器本地通訊;進一步配置該處理器執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以: 從行動管理實體(MME)接收交遞密鑰協商請求;將密鑰協商回應指向至該MME;從用戶設備(UE)裝置接收回應於該密鑰協商回應而產生的訊息,其指示該UE已經完成從無線區域網路存取點至包含該處理器的E-UTRAN的交遞;及提供該UE和演進封包核心之間的連接。
- 如申請專利範圍第24項的方法,其中該處理器進一步被配置成從與該交遞密鑰協商請求一起接收的密鑰導出一組交遞密鑰,並且該密鑰協商回應包括有該些交遞密鑰。
- 如申請專利範圍第24項的方法,其中該交遞密鑰協商請求包括該UE裝置的識別。
- 一種方法,包含:配置處理器與記憶體和收發器本地通訊;進一步配置該處理器執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:從AAA伺服器接收交遞密鑰協商請求;將交遞密鑰協商回應指向至該AAA伺服器;從UE接收交遞完成訊息;及提供該UE和演進封包核心(EPC)之間的連接。
- 如申請專利範圍第27項的方法,其中該交遞密鑰協商請求包括用戶設備裝置的識別,請求從E-UTRAN存取點至包含該處理器的無線區域網路存取點的連接的交遞。
- 如申請專利範圍第28項的方法,其中該交遞密鑰協商請求還包括主會話密鑰(MSK)及擴展主會話密鑰(EMSK)。
- 如申請專利範圍第27項的方法,其中該處理器進一步由該些指令配置成將訊息指向至該AAA伺服器,通知該AAA伺服器包含該處理器的WLAN存取點已經準備好提供該UE和該EPC之間的連接。
- 一種方法,包含:配置處理器與記憶體和收發器本地通訊;進一步配置該處理器以執行儲存在該記憶體中的指令,當該些指令被執行時,配置該處理器以:將交遞請求指向至AAA伺服器;從該AAA伺服器接收交遞回應;回應於接收到該交遞回應,將該交遞回應指向至用戶設備(UE)裝置;及停止提供該UE裝置和演進封包核心之間的連接。
- 如申請專利範圍第31項的方法,其中該處理器進一步被配置成回應於從該UE裝置接收到請求,將該交遞請求指向至該AAA伺服器,以將該UE裝置和演進封包核心之間的連接從包含該處理器的WLAN存取點交遞至E-UTRAN存取點。
- 如申請專利範圍第31項的方法,其中該交遞回應包括客製化密鑰集索引,且該處理器被配置成以該交遞回應將該客製化密鑰集索引指向至該UE裝置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2015/094911 WO2017084043A1 (en) | 2015-11-18 | 2015-11-18 | Handover between e-utran and wlan |
??PCT/CN2015/094911 | 2015-11-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201731316A true TW201731316A (zh) | 2017-09-01 |
TWI642315B TWI642315B (zh) | 2018-11-21 |
Family
ID=58717208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105135756A TWI642315B (zh) | 2015-11-18 | 2016-11-03 | E-utran及wlan間之交遞 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10674416B2 (zh) |
CN (1) | CN108293183B (zh) |
TW (1) | TWI642315B (zh) |
WO (1) | WO2017084043A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
CN110972216B (zh) * | 2018-09-30 | 2022-04-29 | 华为技术有限公司 | 通信方法和装置 |
US10716037B2 (en) * | 2018-10-11 | 2020-07-14 | International Business Machines Corporation | Assessment of machine learning performance with limited test data |
CN111641582B (zh) * | 2019-03-01 | 2021-11-09 | 华为技术有限公司 | 一种安全保护方法及装置 |
US11777935B2 (en) * | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
US11706619B2 (en) * | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
CN100388850C (zh) * | 2003-12-18 | 2008-05-14 | 中国电子科技集团公司第三十研究所 | 数字蜂窝移动通信系统用户切换时的双向鉴别方法 |
US8553643B2 (en) * | 2005-07-19 | 2013-10-08 | Qualcomm Incorporated | Inter-system handover using legacy interface |
KR100950653B1 (ko) * | 2006-02-28 | 2010-04-01 | 삼성전자주식회사 | 이종 통신 시스템들에서 데이터 송수신 방법 및 시스템 |
US20080019320A1 (en) * | 2006-07-18 | 2008-01-24 | Nokia Corporation | Method, device, computer program, and apparatus providing embedded status information in handover control signaling |
CN101523765B (zh) * | 2006-09-28 | 2013-06-12 | 三星电子株式会社 | 异构无线网络中提供用户设备发起和协助反向切换的系统及方法 |
US8867484B2 (en) * | 2007-03-21 | 2014-10-21 | Nokia Corporation | Method, apparatus and computer program product for handover failure recovery |
CN101309500B (zh) * | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
US20090129272A1 (en) * | 2007-11-20 | 2009-05-21 | Motorola, Inc. | Method and apparatus to control data rate in a wireless communication system |
CN101577909B (zh) * | 2008-05-05 | 2011-03-23 | 大唐移动通信设备有限公司 | 非3gpp接入系统信任类型的获取方法、系统及装置 |
CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
CN101577911B (zh) * | 2008-09-19 | 2011-09-21 | 中兴通讯股份有限公司 | 切换方法和系统 |
CN101888630B (zh) * | 2009-05-11 | 2014-06-11 | 华为终端有限公司 | 一种切换接入网的认证方法、系统和装置 |
CN101925059B (zh) * | 2009-06-12 | 2014-06-11 | 中兴通讯股份有限公司 | 一种切换的过程中密钥的生成方法及系统 |
CN101835152A (zh) * | 2010-04-16 | 2010-09-15 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
WO2012147270A1 (en) * | 2011-04-28 | 2012-11-01 | Panasonic Corporation | Communication system, mobile terminal, router, and mobility management entity |
CN102790965B (zh) * | 2011-05-18 | 2016-09-14 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
JP6184406B2 (ja) | 2011-07-05 | 2017-08-23 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Utlanからlteへの(rsrvcc)ハンドオーバ |
CN103096500B (zh) * | 2011-11-01 | 2016-03-09 | 中国电信股份有限公司 | Epc、网络融合系统及终端接入epc的方法 |
CN102546154B (zh) * | 2011-12-19 | 2015-09-16 | 上海顶竹通讯技术有限公司 | 移动通信网络中终端的切换方法 |
CN103517252A (zh) * | 2012-06-21 | 2014-01-15 | 中兴通讯股份有限公司 | 分组网关标识信息的更新方法、aaa服务器和分组网关 |
US9817720B2 (en) * | 2012-10-29 | 2017-11-14 | Nokia Solutions And Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
JP6122149B2 (ja) * | 2013-01-20 | 2017-04-26 | エルジー エレクトロニクス インコーポレイティド | 無線lanにオフロードされたトラフィックに対するハンドオーバ決定方法及び端末 |
US9179380B1 (en) * | 2013-12-18 | 2015-11-03 | Sprint Spectrum L.P. | Method of performing handover in a wireless communication network |
GB2527518A (en) * | 2014-06-23 | 2015-12-30 | Nec Corp | Communication system |
US10383011B2 (en) * | 2014-11-12 | 2019-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Reducing latency and saving resources on ‘un’ interface in case of handover from pico base station |
CN104853392B (zh) * | 2015-04-02 | 2018-09-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端的移动性管理方法及装置 |
-
2015
- 2015-11-18 WO PCT/CN2015/094911 patent/WO2017084043A1/en active Application Filing
- 2015-11-18 CN CN201580084666.2A patent/CN108293183B/zh active Active
- 2015-11-18 US US15/776,965 patent/US10674416B2/en active Active
-
2016
- 2016-11-03 TW TW105135756A patent/TWI642315B/zh active
Also Published As
Publication number | Publication date |
---|---|
US20180352490A1 (en) | 2018-12-06 |
US10674416B2 (en) | 2020-06-02 |
TWI642315B (zh) | 2018-11-21 |
WO2017084043A1 (en) | 2017-05-26 |
CN108293183B (zh) | 2021-06-01 |
CN108293183A (zh) | 2018-07-17 |
WO2017084043A8 (en) | 2018-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI642315B (zh) | E-utran及wlan間之交遞 | |
US10728757B2 (en) | Security implementation method, related apparatus, and system | |
CN109661829B (zh) | 用于将无线设备与局域网之间的连接从源接入节点切换到目标接入节点的技术 | |
US10841302B2 (en) | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system | |
RU2669780C2 (ru) | Взаимодействие и интеграция различных сетей радиодоступа | |
US11032706B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
US8731194B2 (en) | Method of establishing security association in inter-rat handover | |
CN107925879B (zh) | 一种基于蜂窝接入网络节点的网络接入标识符的认证方法 | |
US8341395B2 (en) | Media independent handover protocol security | |
US10911948B2 (en) | Method and system for performing network access authentication based on non-3GPP network, and related device | |
US8549293B2 (en) | Method of establishing fast security association for handover between heterogeneous radio access networks | |
US8417219B2 (en) | Pre-authentication method for inter-rat handover | |
TWI744287B (zh) | 無線廣域網路無線區域網路聚合保全 | |
KR20100077382A (ko) | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 | |
JP6123035B1 (ja) | Twagとueとの間でのwlcpメッセージ交換の保護 | |
EP4366352A1 (en) | Securing communications at a change of connection | |
WO2016015750A1 (en) | Authentication in a communications network |