TW201806437A - 用於無線設備與區域網路之間的連接的從源存取節點向目標存取節點的切換的技術 - Google Patents
用於無線設備與區域網路之間的連接的從源存取節點向目標存取節點的切換的技術 Download PDFInfo
- Publication number
- TW201806437A TW201806437A TW106124083A TW106124083A TW201806437A TW 201806437 A TW201806437 A TW 201806437A TW 106124083 A TW106124083 A TW 106124083A TW 106124083 A TW106124083 A TW 106124083A TW 201806437 A TW201806437 A TW 201806437A
- Authority
- TW
- Taiwan
- Prior art keywords
- lan
- security key
- wireless device
- connection
- authentication
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 373
- 238000004891 communication Methods 0.000 claims abstract description 368
- 230000001413 cellular effect Effects 0.000 claims description 71
- 238000005516 engineering process Methods 0.000 claims description 65
- 238000005259 measurement Methods 0.000 claims description 36
- 230000008054 signal transmission Effects 0.000 claims description 5
- 230000011664 signaling Effects 0.000 claims description 5
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 2
- 239000010931 gold Substances 0.000 claims description 2
- 229910052737 gold Inorganic materials 0.000 claims description 2
- 230000008569 process Effects 0.000 description 78
- 230000006870 function Effects 0.000 description 53
- 230000007704 transition Effects 0.000 description 31
- 230000005540 biological transmission Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 25
- 230000008901 benefit Effects 0.000 description 15
- 241000700159 Rattus Species 0.000 description 9
- 238000012790 confirmation Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 238000001228 spectrum Methods 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 6
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 239000000463 material Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000004566 building material Substances 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0077—Transmission or use of information for re-establishing the radio link of access information of target access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
- H04W36/304—Reselection being triggered by specific parameters by measured or perceived connection quality data due to measured or perceived resources with higher communication quality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
- H04W48/12—Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/02—Selection of wireless resources by user or terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
- H04W74/0833—Random access procedures, e.g. with 4-step access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了用於無線通訊的方法、系統和設備。在一種方法中,無線設備可以基於第一安全金鑰,經由與源存取節點(AN)的第一連接與區域網路(LAN)安全地通訊。該無線設備可以執行從該源AN到目標AN的切換。該無線設備可以基於該第一安全金鑰匯出第二安全金鑰,並且基於該第二安全金鑰和針對該第二安全金鑰的約束策略,經由與該目標AN的第二連接與該LAN安全地通訊。該無線設備可以執行認證程序,以便獲得可能不受該約束策略支配的第三安全金鑰,並且基於該第三安全金鑰,經由與該目標AN的該第二連接與該LAN安全地通訊。
Description
本專利申請案主張以下各項的優先權:由Hampel等人於2017年3月2日提出申請的、已經轉讓給本案的受讓人的、名稱為「TECHNIQUES FOR HANDOVER OF A CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK, FROM A SOURCE ACCESS NODE TO A TARGET ACCESS NODE」的美國專利申請案第15/448,304號;及由Hampel等人於2016年8月5日提出申請的、已經轉讓給本案的受讓人的、名稱為「TECHNIQUES FOR ESTABLISHING A SECURE CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK VIA AN ACCESS NODE」的美國臨時專利申請案第62/371,650號;由Hampel等人於2016年8月5日提出申請的、已經轉讓給本案的受讓人的、名稱為「TECHNIQUES FOR HANDOVER OF A CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK, FROM A SOURCE ACCESS NODE TO A TARGET ACCESS NODE」的美國臨時專利申請案第62/371,586號;及由Hampel等人於2016年8月5日提出申請的、名稱為「TECHNIQUES FOR FAST TRANSITION OF A CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK, FROM A SOURCE ACCESS NODE TO A TARGET ACCESS NODE」的美國臨時專利申請案第62/371,593號,這些專利申請案和臨時專利申請案中的每項申請案已經轉讓給本案的受讓人,故以引用方式將其整體上明確地併入本文。
概括地說,以下內容係關於無線通訊,並且更具體地說,以下內容係關於與無線設備從區域網路(LAN)的源存取節點(AN)向LAN的目標AN的切換相關聯的操作。
無線通訊系統被廣泛地部署,以便提供諸如是語音、視訊、封包資料、訊息傳遞、廣播等此類各種類型的通訊內容。這些系統可以是能夠經由共享可用的系統資源(例如,時間、頻率和功率)來支援與多個使用者的通訊的。此類多工存取系統的實例包括分碼多工存取(CDMA)系統、分時多工存取(TDMA)系統、分頻多工存取(FDMA)系統和正交分頻多工存取(OFDMA)系統。無線多工存取通訊系統可以包括一些基地台,每個基地台同時支援可以各自被稱為無線設備的多個通訊設備的通訊。
蜂巢封包存取系統允許行動設備與IP網路連接並且交換網際網路協定(IP)封包。蜂巢封包存取系統已主要針對由行動網路服務供應商進行的大規模部署被開發。亦存在使用基於電氣和電子工程師協會(IEEE)802的協定的一些基於LAN的封包存取系統。基於LAN的封包存取系統有時被部署在較小規模的環境中,諸如企業、工廠和其他類型的私有房屋中。伴隨蜂巢RAT的漸增的效能,在基於LAN的封包存取系統中使用這些蜂巢RAT的態樣可能是可取的。
一種無線設備(例如,使用者設備(UE))可以建立與區域網路(LAN)的安全連接,該建立是經由該LAN的存取節點(AN)(例如,該LAN的無線電存取網路(RAN)的節點)進行的。在某些情況下,可以與使用蜂巢無線電存取技術(RAT)的AN建立該連接。該LAN可以包括認證器,該認證器可以是與該AN共置的,或者可以被寄宿在被遠離該AN地放置的該LAN的節點處。在某些情況下,該AN可以與諸如是核心網路(CN)此類中央網路節點通訊,並且該中央網路節點可以包含第二認證器。在建立與該AN的該連接時,該無線設備可以決定要將哪個認證器用於認證,並且可以在建立與該LAN的連接時執行利用被包括在該LAN中的(例如,位於該AN處或者遠離該AN的)該認證器進行的認證。該無線設備可以接收(例如,作為該認證的部分)對如作為非存取層(NAS)層或者無線電資源控制(RRC)層的針對該認證的協定終點的指示。該無線設備可以建立用於執行該認證的無線電承載(例如,與同該AN的已建立的連接相關聯的)。該無線電承載可以作為建立與該AN的該連接的一部分被建立。在某些情況下,執行該認證可以包括:經由該無線電承載與該認證器交換認證資訊,以及至少部分地基於所交換的認證資訊產生安全金鑰。隨後可以至少部分地基於該安全金鑰保護與該LAN的通訊。
根據本案內容的態樣,LAN協定可以被修改為支援以網路為中心的切換操作,以便促進從源AN到目標AN的平滑過渡,並且相應地減少否則在使用LAN的傳統切換程序時將經歷的服務中斷。例如,所描述的對LAN協定的修改可以支援臨時安全金鑰的使用,臨時安全金鑰的使用可以被用於實現根據約束策略的與目標AN的無線連接。該約束策略可以例如包括:針對使用該臨時安全金鑰的到期時間、在使用該臨時安全金鑰時被允許的資料的量及/或可以與該臨時安全金鑰一起被使用的具體的無線電承載。源AN可以向該目標AN提供該臨時安全金鑰,這由於增強型安全協定而可以被所修改的LAN協定允許,該增強型安全協定使AN能夠被委託以此類安全資訊的交換。這層信任不可以出現在傳統LAN部署(例如,根據Wi-Fi協定操作的那些部署)中,因此,傳統LAN的存取點之間的安全資訊的此類交換將不被允許。
因此,根據本案內容,在經網路協調的切換程序的發起時,無線設備可以至少部分地基於由源AN向目標AN提供的臨時安全金鑰和針對該臨時安全金鑰的約束策略與LAN安全地通訊。該無線設備可以隨後執行認證程序以便獲得不受該約束策略支配的另一個金鑰(例如,經由被該臨時安全金鑰支援的連接),並且至少部分地基於該另一個安全金鑰與該LAN安全地通訊。相應地,無線設備可以從被根據經修改的協定操作並且根據減少服務中斷的臨時安全金鑰進行通訊同時亦執行諸如是根據Wi-Fi協定或者可以被部署在該LAN處的其他專有安全解決方案的認證此類與該LAN的更實質的認證的由LAN的設備協調的經修改的切換程序中獲益。
根據本案內容的態樣,LAN協定可以被修改為支援以網路為中心的切換操作,以便促進從源AN到目標AN的平滑過渡,並且相應地減少否則在使用LAN的傳統切換程序時將被經歷的服務中斷。例如,所描述的對LAN協定的修改可以支援隨以網路為中心的切換使用快速過渡參數,這可以允許認證在網路發起的切換命令向無線設備被發出之前發生,並且因此使從源AN到目標AN的切換能夠更迅速地發生。該快速過渡參數可以被無線設備發送給AN,並且該AN(例如,源AN)可以被委託以對該快速過渡參數進行快取記憶體以用於在隨後的切換期間轉發。無線設備在AN處對快速過渡參數的委託由於增強型安全協定而可以被所修改的LAN協定允許,該增強型安全協定使AN能夠被委託以對此類安全資訊的該快取記憶體和交換。這層信任不可以出現在傳統LAN部署(例如,根據Wi-Fi協定操作的那些部署),並且因此,傳統LAN的存取點之間的快速過渡參數資訊的此類交換將不被允許。
因此,根據本案內容,在針對無線設備的經網路協調的切換程序的發起時,源AN可以向目標AN轉發該無線設備的被快取記憶體的快速過渡參數。該目標AN可以至少部分地基於該快速過渡參數執行隨後的認證(例如,利用該LAN的認證節點或者利用被與該目標AN共置的認證器)。該目標AN可以向該源AN轉發與該認證相關聯的安全參數,並且該源AN可以向該無線設備發送包括該安全參數的切換命令。相應地,該無線設備可以從包括AN之間的快速過渡參數的交換的由根據經修改的協定操作的LAN的設備協調的經修改的切換程序中獲益。因為特定的認證操作可以被該LAN的設備在不涉及該無線設備的情況下根據經修改的LAN協定進行協調,並且亦可以在該無線設備終止與源AN的連接之前被執行,所以所描述的操作可以減少無線設備的服務中斷。
根據至少一種實現,一種用於無線設備處的無線通訊的方法包括:與LAN安全地通訊,該通訊是至少部分地基於第一安全金鑰經由與該LAN的源AN的第一連接進行的;執行從該LAN的該源AN向該LAN的目標AN的切換;至少部分地基於該第一安全金鑰匯出第二安全金鑰;至少部分地基於該第二安全金鑰和針對該第二安全金鑰的約束策略,經由與該LAN的該目標AN的第二連接與該LAN安全地通訊;經由該第二連接利用該LAN的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對該第二安全金鑰的該約束策略支配的金鑰);及至少部分地基於該第三安全金鑰經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
根據至少另一種實現,一種用於無線設備處的無線通訊的裝置包括:用於與區域網路LAN安全地通訊的單元,該通訊是至少部分地基於第一安全金鑰經由與該LAN的源AN的第一連接進行的;用於執行從該LAN的該源AN向該LAN的目標AN的切換的單元;用於至少部分地基於該第一安全金鑰匯出第二安全金鑰的單元;用於至少部分地基於該第二安全金鑰和針對該第二安全金鑰的約束策略,經由與該LAN的該目標AN的第二連接與該LAN安全地通訊的單元;用於經由該第二連接利用該LAN的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對該第二安全金鑰的該約束策略支配的金鑰)的單元;及用於至少部分地基於該第三安全金鑰經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊的單元。
根據至少另一種實現,一種用於無線設備處的無線通訊的裝置包括:處理器和與該處理器電子地通訊的記憶體。指令被儲存在該記憶體中,並且是在被該處理器執行時可操作為使該裝置執行以下操作的:與LAN安全地通訊,該通訊是至少部分地基於第一安全金鑰經由與該LAN的源存取節點AN的第一連接進行的;執行從該LAN的該源AN向該LAN的目標AN的切換;至少部分地基於該第一安全金鑰匯出第二安全金鑰;至少部分地基於該第二安全金鑰和針對該第二安全金鑰的約束策略,經由與該LAN的該目標AN的第二連接與該LAN安全地通訊;經由該第二連接利用該LAN的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對該第二安全金鑰的該約束策略支配的金鑰);及至少部分地基於該第三安全金鑰經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
根據至少另一種實現,一種非暫時性電腦可讀取媒體儲存用於無線設備處的無線通訊的電腦可執行代碼。該代碼是可執行為執行以下操作的:與LAN安全地通訊,該通訊是至少部分地基於第一安全金鑰經由與該LAN的源AN的第一連接進行的;執行從該LAN的該源AN向該LAN的目標AN的切換;至少部分地基於該第一安全金鑰匯出第二安全金鑰;至少部分地基於該第二安全金鑰和針對該第二安全金鑰的約束策略,經由與該LAN的該目標AN的第二連接與該LAN安全地通訊;經由該第二連接利用該LAN的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對該第二安全金鑰的該約束策略支配的金鑰);及至少部分地基於該第三安全金鑰經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,針對該第二安全金鑰的該約束策略可以包括以下各項中的至少一項:在其內該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的時間間隔;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的封包的數量;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一或多個無線電承載的集合;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的無線電承載類型;或者其組合。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,至少部分地基於該第三安全金鑰與該LAN安全地通訊發生在與至少部分地基於該第二安全金鑰與該LAN安全地通訊不同的時間處。
用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、單元或者指令:從至少部分地基於該第二安全金鑰與該LAN安全地通訊切換到至少部分地基於該第三安全金鑰與該LAN安全地通訊,該切換是至少部分地基於以下各項的:從該目標AN接收的配置訊息、該第三安全金鑰的可用性或者其組合。
用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、單元或者指令:在以下各項中的至少一項中接收針對該第二安全金鑰的該約束策略:從該LAN接收的配置資訊、從該LAN的該源AN接收的切換命令訊息、從該目標AN接收的配置資訊或者其組合。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該認證程序在第一無線電承載上被執行,並且至少部分地基於該第三安全金鑰與該LAN的安全通訊是在第二無線電承載上被執行的,該第二無線電承載是與該第一無線電承載不同的。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該第一無線電承載包括以下各項中的至少一項:訊號傳遞無線電承載、資料無線電承載或者其組合。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該認證節點包括認證伺服器,並且該認證程序是至少部分地基於可擴展認證協定(EAP)的。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該認證節點包括無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:懇求者金鑰保存者辨識符(ID)、認證器金鑰保存者ID、成對主金鑰(PMK)ID、PMK名稱或者其組合。
用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、單元或者指令:從該LAN的該源AN接收針對該目標AN的配置資訊;及至少部分地基於所接收的針對該LAN的該目標AN的配置資訊建立與該LAN的該目標AN的該第二連接。
用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、單元或者指令:量測從該LAN的該目標AN接收的至少一個信號;及至少部分地基於該量測接收切換命令。
在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該第一連接和該第二連接是至少部分地基於蜂巢RAT的。
根據至少一種實現,一種LAN的AN處的無線通訊的方法包括:建立與無線設備的連接;從該LAN的第一網路節點接收第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的約束策略相關聯的;對與在該無線設備與該LAN的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼;至少部分地基於所中繼的認證資訊從該LAN的該第二網路節點接收第二安全金鑰;至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊(例如,不受針對該第一安全金鑰的該約束策略支配的安全的通訊)。
根據至少另一種實現,一種用於LAN的AN處的無線通訊的裝置包括:用於建立與無線設備的連接的單元;用於從該LAN的第一網路節點接收第一安全金鑰的單元,該第一安全金鑰是與針對該第一安全金鑰的約束策略相關聯的;用於對與在該無線設備與該LAN的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼的單元;用於至少部分地基於所中繼的認證資訊從該LAN的該第二網路節點接收第二安全金鑰的單元;用於至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊的單元,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及用於至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊(例如,不受針對該第一安全金鑰的該約束策略支配的安全的通訊)的單元。
根據至少另一種實現,一種用於LAN的AN處的無線通訊的裝置包括:處理器和與該處理器電子地通訊的記憶體。指令被儲存在該記憶體中,並且是在被該處理器執行時可操作為使該裝置執行以下操作的:建立與無線設備的連接;從該LAN的第一網路節點接收第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的約束策略相關聯的;對與在該無線設備與該LAN的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼;至少部分地基於所中繼的認證資訊從該LAN的該第二網路節點接收第二安全金鑰;至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊(例如,不受約束於針對該第一安全金鑰的該約束策略的安全的通訊)。
根據至少另一種實現,一種非暫時性電腦可讀取媒體儲存用於無線設備處的無線通訊的電腦可執行代碼。該代碼是可執行為執行以下操作的:建立與無線設備的連接;從該LAN的第一網路節點接收第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的約束策略相關聯的;對與在該無線設備與該LAN的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼;至少部分地基於所中繼的認證資訊從該LAN的該第二網路節點接收第二安全金鑰;至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊(例如,不受針對該第一安全金鑰的該約束策略支配的安全的通訊)。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,針對該第一安全金鑰的該約束策略包括以下各項中的至少一項:在其內該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的時間間隔;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的封包的數量;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一或多個無線電承載的集合;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的無線電承載類型;或者其組合。
用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、單元或者指令:從至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊切換到至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,該切換是至少部分地基於以下各項的:針對該第一安全金鑰的該約束策略、該第二安全金鑰的可用性或者其組合。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該認證程序在與該連接相關聯的第一無線電承載上被執行,並且該安全的通訊在與該連接相關聯的第二無線電承載上被發送,與該連接相關聯的該第二無線電承載是不同於與該連接相關聯的該第一無線電承載的。
用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、單元或者指令:至少部分地基於該第二安全金鑰匯出第三安全金鑰(例如,不受針對該第一安全金鑰的該約束策略支配的另一個安全金鑰)。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,與該連接相關聯的該第一無線電承載包括以下各項中的至少一項:訊號傳遞無線電承載、資料無線電承載或者其組合。
用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、單元或者指令:將針對該第一安全金鑰的該約束策略發送給以下各項中的至少一項:該第一網路節點、該無線設備或者其組合。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該第二網路節點包括無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:懇求者金鑰保存者辨識符(ID)、認證器金鑰保存者ID、成對主金鑰(PMK)ID、PMK名稱或者其組合。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該第二節點包括認證伺服器,並且該認證程序是至少部分地基於可擴展認證協定(EAP)的。
在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中,該連接是至少部分地基於蜂巢無線電存取技術(RAT)的。
前述內容已相當寬泛地概述了根據本案內容的實例的特徵和技術優勢,以便隨後的詳細描述內容可以被更好地理解。將在下文中描述額外的特徵和優勢。所揭示的概念和具體實例可以被輕鬆地用作修改或者設計用於實現本案內容的相同目的的其他結構的基礎。此類等效的構造不脫離所附請求項的範疇。本文中揭示的概念的特性,其組織和操作方法兩者,連同關聯的優勢,在結合附圖考慮時從下面的描述內容中將被更好地理解。僅出於說明和描述的目的而不作為對請求項的限制的定義而提供了附圖之每一者圖。
所揭示的實例說明了使無線設備(例如,使用者設備(UE))能夠經由LAN的存取節點(AN)建立與區域網路(LAN)的安全連接的技術。在某些實例中,可以使用蜂巢無線電存取技術(RAT)建立連接。無線設備可以在與LAN安全地通訊之前使用被與AN共置的認證器或者被放置在LAN中的其他地方的認證器(例如,中央認證伺服器、被放置在LAN的核心網路處的認證器等)執行認證。一旦被建立,則連接可以經由執行切換程序或者快速過渡程序被轉移到目標AN。
初始在用於使無線設備能夠經由蜂巢RAT建立與LAN的連接的無線通訊系統的上下文中描述了本案內容的態樣。本案內容提供針對該無線通訊系統的架構和該架構內的各種設備之間的訊號傳遞流的各種實例。本案內容的態樣亦經由和參考涉及經由蜂巢RAT連接到LAN的裝置圖、系統圖和流程圖被說明和描述。
圖1圖示根據本案內容的各種態樣的無線通訊系統100的實例。無線通訊系統100包括基地台105、無線設備115和核心網路(CN)130。在某系實例中,無線通訊系統100可以包括長期進化(LTE)/高級LTE(LTE-A)網路。
基地台105可以經由一或多個基地台天線與無線設備115無線地通訊。每個基地台105可以為分別的地理覆蓋區域110提供通訊覆蓋。無線通訊系統100中所示的通訊鏈路125可以包括從無線設備115到基地台105的上行鏈路(UL)傳輸或者從基地台105到無線設備115的下行鏈路(DL)傳輸。無線設備115可以被散佈在無線通訊系統100的各處,並且每個無線設備115可以是固定的或者行動的。無線設備115亦可以被稱為使用者設備(UE)、行動站、用戶站、用戶單元、無線單元、遠端單元、行動用戶站、行動終端、無線終端、遠端終端機、存取終端(AT)、手持裝置、使用者代理、客戶端等術語。無線設備115亦可以是蜂巢式電話、個人數位助理(PDA)、無線數據機、無線通訊設備、手持型設備、平板型電腦、膝上型電腦、無線電話、無線區域迴路(WLL)站、物聯網路(IoT)設備、萬物網路(IoE)設備、機器型通訊(MTC)設備、家電、汽車等。
基地台105可以與CN 103和與彼此通訊。例如,基地台105可以經由回載鏈路132(例如,S1等)與CN 130對接。基地台105可以經由回載鏈路134(例如,X2等)直接地或者間接地(例如,經由CN 130)與彼此通訊。基地台105可以為與無線設備115的通訊執行無線電配置和排程,或者可以在基地台控制器(未圖示)的控制下操作。在某些實例中,基地台105可以是巨集細胞、小型細胞、熱點等。基地台105亦可以被稱為進化型節點B(eNB)105。
基地台105可以經由S1介面被連接到CN 130。CN 130可以是可以包括一或多個網路節點的進化型封包核心(EPC)的實例。在一個實例中,CN 130可以包括至少一個行動性管理實體(MME)、至少一個服務閘道(S-GW)和至少一個封包資料網路(PDN)閘道(P-GW)。MME、S-GW及/或P-GW可以被實現為單個網路節點或者更多地是分離的網路節點。MME可以是處理無線設備115與EPC之間的訊號傳遞的控制節點。全部使用者IP封包可以被傳輸經由S-GW,S-GW自身可以被連接到P-GW。P-GW可以提供IP位址分配以及其他功能。P-GW可以被連接到網路服務供應商IP服務。服務供應商IP服務可以包括網際網路、網內網路、IP多媒體子系統(IMS)和封包交換(PS)流傳送服務(PSS)。
在某些情況下,無線通訊系統100可以利用增強型分量載波(eCC)。eCC可以以包括以下各項的一或多個特徵為特徵:較寬的頻寬、較短的符號持續時間、較短的持續時間傳輸時間間隔(TTI)和經修改的控制通道配置。在某些情況下,eCC可以是與載波聚合配置或者雙連接配置(例如,在多個服務細胞具有次最優或者非理想的回載鏈路時)相關聯的。eCC亦可以被配置為用於在非許可頻譜或者共享頻譜(其中多於一個服務供應商被允許使用該頻譜)中使用。以寬頻寬為特性的eCC可以包括的一或多個段,該一或多個段可以被不能夠監控整個頻寬或者優選使用有限的頻寬(例如,為了節約功率)的無線設備115利用。
在某些情況下,eCC可以利用與其他CC不同的符號持續時間,這可以包括使用與其他CC的符號持續時間相比減小的符號持續時間。較短的符號持續時間是與增加的次載波間隔相關聯的。利用eCC的諸如是無線設備115或者基地台105之類的設備可以以減少的符號持續時間(例如,16.67微秒)發送寬頻信號(例如,20、40、60、80 Mhz等)。eCC中的TTI可以由一或多個符號組成。在某些情況下,TTI持續時間(例如,TTI中的符號的數量)可以是可變的。
無線通訊系統100可以是跨大型服務覆蓋區域提供無線封包存取系統存取的廣域網路(WAN)的實例。相應地,無線通訊系統100的通訊協定可以由RAT(例如,蜂巢RAT)以支援與WAN應用相關聯的各種操作條件的方式來提供。經由對照,傳統區域網路(LAN)可以跨相對小的服務覆蓋區域提供無線通訊,並且因此可以由RAT(例如,Wi-Fi RAT)以使得支援與LAN應用相關聯的條件的方式來提供。
根據本案內容的態樣,無線通訊設備(例如,無線設備115、LAN的AN)可以實現用於存取基於LAN的封包存取系統的實例無線通訊系統100的態樣,諸如蜂巢RAT的態樣。例如,蜂巢RAT的各種態樣可以被整合到現有的LAN的設備中(例如,升級現有的存取點(AP)、諸如是LAN分佈系統(DS)此類傳統LAN的中央節點、諸如是認證、授權和計費(AAA)伺服器(例如,縮寫為「AAA」)之類的LAN的認證伺服器等),這可以支援蜂巢通訊協定的部署,而不要求整個蜂巢網路被部署。此類實現可以允許LAN利用諸如是涉及蜂巢RAT的那些技術的先進技術,同時重用現有的LAN基礎設施,並且亦維持可能對於LAN是適當的的安全性原則。此類實現亦可以允許用於存取同一個LAN的多個RAT(例如,蜂巢RAT和Wi-Fi RAT)的同時操作。
LAN部署的各種實例可以從所描述的諸如是蜂巢RAT的態樣的先進存取技術向依賴於傳統LAN技術的現有的LAN基礎設施中的整合中獲益。例如,根據本案內容所描述的特徵可以為企業中的高QoS應用中的LAN應用和工廠自動化中的任務關鍵型應用提供益處。例如,在工廠自動化中,閉合迴路控制應用可能要求跨具有高可靠性(下至10-9)的空中介面的短往返時間(小於1毫秒)。諸如是與傳統LAN應用相關聯的那些技術的非許可技術達到這些效能目標可能有問題,因為它們在共享頻譜中操作,其中(例如,根據Wi-Fi協定的)站(STA)在偵測繁忙的通道時必須後退。非許可頻帶亦可能遭受由於被隱藏節點問題導致的不受控的干擾。這些缺點不可以應用於例如在經許可頻帶中操作的蜂巢RAT。另外,預期蜂巢RAT的效能隨蜂巢RAT的例如從4G到5G的進化而提高。針對根據本案內容所描述的方法的另一個用例是可以將5G毫米波(mm波)技術用於最後一公里跳躍的固定無線存取(FWA)。
儘管某些用例可以利用由無線電存取網路(RAN)和核心網路(CN)組成的整個蜂巢RAT系統的部署來解決,但此類解決方案可能與已是適當的的現有的基於LAN的基礎設施衝突。因此,可以經由將蜂巢連接的特定的態樣整合到現有的LAN基礎設施中,同時重用諸如是認證伺服器(例如,AAA)和DS的現有的LAN基礎設施而不需要蜂巢CN來達到獨特的益處。
圖2圖示根據本案內容的各種態樣的用於經由蜂巢RAT連接到全球和本端IP網路的無線通訊系統200的實例。例如,無線通訊系統200可以示出參考圖1描述的無線通訊系統100的態樣。無線通訊系統200可以包括可以是參考圖1描述的對應的設備的實例的具有基地台105-a(例如,eNB)的RAN 204、無線設備115-a和CN 130-a。
在一個實例中,無線通訊系統200可以根據第三代合作夥伴計畫(3GPP)架構操作,並且根據蜂巢RAT提供對一或多個PDN的存取。例如,無線通訊系統200可以實現與諸如是全球IP網路208的一或多個基於IP的網路(例如,網際網路)的連接,並且可以由針對大規模部署(例如,用於在廣大的覆蓋區域上提供IP封包存取)的行動網路服務供應商(MNO)來操作。
RAN 204可以包括一或多個基地台105(例如,節點B、進化型節點B等),包括基地台105-a,其支援用於為諸如是無線設備115-a的一或多個無線設備提供無線連接的一或多個蜂巢RAT。蜂巢RAT的實例包括W-CDMA、LTE、5G RAT、使用經許可或者非許可頻譜的RAT以及其派生物及/或組合。RAN 204亦可以包括可以與基地台105-a共置的本端閘道(L-GW)214。L-GW 214可以在基地台105-a與本端IP網路210之間提供介面。
CN 130-a可以支援控制平面(C平面)任務(例如,認證、授權、通信期管理、策略控制和計費)和使用者平面(U平面)任務(例如,無線設備115-a與全球IP網路208之間的IP傳輸量轉發)。CN 130-a可以包括用於執行C平面和U平面任務的一或多個網路節點,包括歸屬用戶伺服器(HSS)、封包資料網路閘道(PGW)、S-GW和行動性管理實體(MME)。
圖3圖示根據本案內容的各種態樣的使用Wi-Fi存取作為實例的用於對傳統LAN 340的傳統存取的架構300。與3GPP相反,諸如是IEEE 802.11此類Wi-Fi協定僅指定無線電空中介面和用於支援架構300的無線電空中介面的STA(例如,STA 242)和AP 244上的對應的功能。經由AP 244的向傳統LAN 340的資料傳輸可以被歸於傳統LAN DS 346,傳統LAN DS 346具有不是被例如IEEE 802.11指定並且包括各種專有安全性解決方案的協定堆疊和轉發機制。儘管IEEE 802.11i引入了穩健安全網路(RSN)概念,其引入了STA 242與AP 244之間的相互認證和安全連接的建立,但其僅指定STA 242與AP 244上的認證器之間的與安全性相關的訊息。同時,其建立了用於認證器建立用於支援STA 242與網路中的認證器伺服器(例如,AAA 248)之間的擴展的安全性交握的隧道的單元。隧道可以在空中介面上使用經由LAN的EAP(EAPOL),儘管隧道未被該標準在網路側另外指定。
例如,IEEE 802.11i依賴於經由存取鏈路的4向交握來根據成對主金鑰(PMK)建立新鮮的建鑰材料,用以確保在STA 242和AP 244上被使用的金鑰是相同的,並且用以斷言STA 242和AP 244已無歧義地就密碼套件達成協定。其亦將建鑰材料拘束到STA 242(例如,媒體存取控制(MAC)位址)和AP 244(例如,基本服務集辨識符(BSS ID))的憑證。因此,從一個AP 244向另一個AP 244(未圖示)的移動要求重新認證,這可以是漫長的程序(例如,取決於LAN安全性解決方案)。
例如,IEEE 802.11r進一步引入了用於減少針對利用與AAA的EAP的部署的與行動性相關的等待時間的快速BSS過渡(FT)的概念。該概念建立額外的金鑰分層層級和關聯的金鑰保存者。對於802.11r,集中式無線LAN控制器(WLC)可以被用作兩個分層實體中的較高的分層實體(例如,R0金鑰保存者(R0KH),並且AP 244可以被用作兩個分層實體中的較低的分層實體(例如,R1金鑰保存者(R1KH)))。由於STA 242的初始認證建立STA 242與(集中式)R0KH之間的安全性關聯,所以STA 242可以更快速地從源AP 244切換到目標AP 244,並且經由目標AP(R1KH)利用WLC(R0KH)重新建立新的建鑰材料,而不經歷與AAA的新的EAP交握。然而,新的建鑰材料的建立要求4向交握,其具有與802.11i相似的目的。
根據本案內容的某些技術適用於將蜂巢RAT的態樣整合到LAN基礎設施中。對於此類整合,對如由IEEE針對802.11建立的LAN基礎設施作出一些相似的假設。與圖2中所示的3GPP架構相反,被整合或者附著到LAN基礎設施的蜂巢RAT可以被假設不具有任何經由3GPP CN的強制的支援(例如,可以具有可選的支援)。
本案內容的某些態樣與用於使用蜂巢RAT的態樣建立與LAN基礎設施的連接的技術有關。該等技術提供經由蜂巢RAT對LAN基礎設施的安全存取。這可以利用蜂巢RAT的在被應用於LAN基礎設施時的效能優勢。這亦可以例如允許重用現有的LAN基礎設施來支援蜂巢RAT。另外,基於IEEE 802的RAT可以與蜂巢RAT一起被用於對同一個LAN的存取,因為基礎設施可以被共享。
圖4圖示根據本案內容的各種態樣的針對對LAN 440的基於蜂巢RAT的存取的參考架構400。與LAN 440相關聯的無線電存取節點被一般地稱為AN 405,並且尋求對LAN 440的存取的無線設備115-b可以是參考圖1和2描述的無線設備115的實例。儘管在參考架構400中圖示僅一個AN 405,但額外的AN 405(未圖示)可以提供對LAN 440的無線存取,並且與LAN 440相關聯的複數個AN 405可以集體被稱為LAN 440的RAN。
蜂巢RAT的態樣可以被使用以便經由AN 405將無線設備115-b連接到LAN 440。在某些實例中,AN 405可以包括用於對與無線設備(例如,無線設備115-b)的連接進行認證的認證器(例如,與AN 405共置的認證器)。補充地或者替換地,LAN 440可以支援不是與AN 405共置的的另一個認證節點,諸如認證伺服器410,其可以與LAN DS 446通訊。在各種實例中,認證節點可以是LAN 440的獨立的設備,或者是與LAN 440的其他設備共置或者以其他方式整合在一起的。例如,在某些實例中,認證伺服器410可以與LAN DS 446整合在一起、被包含在LAN 440的CN 130中(未圖示)或者是LAN 440的某個其他的中央節點。在某些實例中,認證伺服器410可以是與LAN 440分離的,諸如分離的蜂巢服務供應商網路(例如,參考圖1描述的無線通訊系統100)的CN 130,其可以與LAN 440通訊(例如,經由與LAN DS 446的回載鏈路)。在某些實例中,認證伺服器410可以是由多個AN 405可存取以便經由根據本案內容的態樣的EAP(例如,經由控制平面的EAP、經由使用者平面的EAP、經由RRC的EAP、經由NAS的EAP等)對無線設備115進行認證的。在某些實例中,認證伺服器410可以是用於支援使用諸如是與蜂巢RAT相關聯的那些技術之類的先進技術對LAN 440的存取的已根據本案內容的態樣被修改的LAN基礎設施的AAA 248的實例。LAN 440因此可以包括用於執行與無線設備115-b的認證的認證器的集合,這可以包括被與分別的AN 405共置的複數個認證器和未被與AN 405共置的一或多個認證節點(例如,一或多個認證伺服器410)。
根據本案內容的態樣,無線設備115-b可以決定執行與具體的認證終點的認證以便建立與LAN 440的安全的通訊。所描述的特徵可以是與傳統系統相反的,傳統系統可以將設備預配置為根據具體的通訊協定執行認證。例如,在根據3GPP協定操作時,參考圖1描述的無線通訊系統100的無線設備115可以被配置為執行與由具體的蜂巢網路服務供應商配置的CN 130的認證。在另一個實例中,在根據傳統LAN協定(例如,Wi-Fi協定)操作時,參考圖3描述的傳統LAN 340的STA 242可以被配置為執行與AP 244的認證。在任一種情況下,無線通訊系統100和傳統LAN 340可能不支援針對設備執行與不同的協定終點的認證的靈活性。因此,經由支援如本文中描述的對執行與具體的認證終點的認證的決定,LAN 440可以支援針對無線設備115-b建立與LAN 440的安全的通訊的更靈活的認證。
例如,無線設備115-b可以接收終點的針對與LAN 440的認證的指示,該指示可以包括對被與AN 405共置的認證器、位於認證伺服器410處的認證器、位於LAN DS 336處的認證器或者位於某個其他網路節點處(例如,位於LAN 440的CN 130-a處及/或位於不是LAN 440的一部分的蜂巢服務供應商網路的CN 130-a(未圖示)處)的認證器的一或多個指示。在某些實例中,無線設備115-b可以接收對如作為RRC層或者NAS層的用於認證的協定終點的指示。RRC層可以被用於執行利用被與AN 405共置的認證器的進行認證,並且NAS層可以被用於執行利用諸如是位於LAN上的其他地方處或者由蜂巢網路服務供應商操作的CN(例如,與LAN分離的)處的未被與AN 405共置的認證器進行的認證。RRC層可以是與執行經由訊號傳遞無線電承載(SRB)(例如,與被與AN 405共置的認證器)的認證相關聯的。一個此類實例是經由RRC層經由SRB被執行的與被與AN 405共置的認證器的EAP認證。另一個實例可以是在AN 405根據3GPP協定執行正常地與CN 130相關聯的功能時。補充地或者替換地,無線設備115-b可以接收對如作為NAS層的用於認證的協定終點的指示,該指示可以是與執行經由資料無線電承載(DRB)(例如,與可以是或者可以不是作為LAN 440的一部分的認證器的未被與AN 405共置的認證器或者與使用經由NAS層的訊號傳遞執行認證的AN 405的認證器)的認證相關聯的。一個此類實例是利用使用經由NAS層的EAPOL經由DRB被執行的與LAN DS 336的認證器的EAP認證。另一個實例是使用經由NAS層的訊號傳遞的利用蜂巢服務供應商網路的CN 130的認證器進行的認證。在某些實例中,可以執行與多個分別的認證器的多個認證,使得無線設備115-b可以利用基於蜂巢RAT的認證的態樣,同時亦遵守LAN 440的基礎設施安全性原則(例如,根據Wi-Fi協定或者根據其他專有的解決方案的)。因此,根據本案內容,可以至少部分地基於可以向無線設備115-b指示的各種認證器及/或認證協定或者程序來建立與LAN 440的安全的通訊。
本案內容的某些態樣描述了用於例如使用蜂巢RAT的態樣(例如,4G、LTE、LTE-A、5G等的態樣)的與LAN 440的連接的切換的技術。該等技術可以對於被整合到LAN 440中的蜂巢RAT(例如,5G企業部署)利用基於3GPP的行動性協定。這樣,可以在可以亦實現其他協定(例如,Wi-Fi協定、專有安全解決方案等)的LAN 440的現有的架構中支援諸如是無瑕疵的並且無損耗的通信期遷移此類3GPP切換的好處。同時,可以遵守通常需要經由切換之後的目標AN 405的與認證伺服器(例如,AAA 248)的認證的LAN的安全性原則(例如,不與蜂巢RAT相關聯的那些安全性原則)(例如,諸如是Wi-Fi協定或者專有安全協定的可以是與傳統LAN 340相關聯的的安全性原則)。LAN 440可以同時支援經由使用諸如是Wi-Fi協定此類其他協定的AN 405的通訊,以便支援向下相容及/或改進針對與LAN 440連接的靈活性。此外,所描述的技術亦可以支援經由不與LAN 440相關聯的諸如是蜂巢服務提供者的CN 130-a此類蜂巢CN(例如,參考圖1描述的無線通訊系統100的CN 130)的無線設備115-b與LAN 440和與PDN(例如,圖2的全球IP網路208)的併發的連接。諸如是切換和快速過渡技術的另外的技術可以構建在如本文中描述的已經經由蜂巢RAT的態樣被建立的與LAN 440的安全的連接上。
圖5圖示根據本案內容的各種態樣的針對對傳統LAN 340-a的基於Wi-Fi的傳統存取的認證的參考架構500。STA 242-a可以建立與第一AP 244-a(例如,源AP 244)的連接、執行與第一AP 244-a及/或AAA 248-b的認證(例如,使用EAP)並且至少部分地基於認證與傳統LAN 340-a(例如,與傳統LAN DS 346-a)安全地通訊。在移動到第二AP 244(例如,目標AP 244)的覆蓋區域中時,STA 242-a可以建立與第二AP 244-b的連接,並且在經由AP2 244-b與傳統LAN 340-a(例如,傳統LAN DS 346-a)安全地通訊之前執行與第二AP 244-b及/或AAA 248-b的另一個認證。因此,參考架構500圖示傳統LAN 340-a的基於STA的行動性的實例,其中STA 242-a在沒有傳統LAN 340-a對第一APP 244-a與第二AP 244-b之間的切換進行協調的操作的情況下執行切換操作。
圖6圖示根據本案內容的各種態樣的針對對LAN 440-a的基於蜂巢RAT的存取的切換的參考架構600。參考架構600圖示無線設備115-c的基於網路的LAN行動性的實例,其中切換操作經由LAN 440-a的操作來協調。
例如,無線設備115-c可以建立與LAN 440-a的源AN 405-a的連接、執行利用位於源AN 405-a處的認證器及/或位於認證伺服器410-a處的認證器進行的認證(例如,使用EAP),並且至少部分地基於認證與LAN 440-a(例如,LAN DS 446-a)安全地通訊。在被與LAN 440-a連接在一起時,無線設備115-c可以執行對從源AN 405-a和一或多個目標AN 405(例如,目標AN 405-b)接收的信號的量測,並且向LAN 440-a(例如,向源AN 405-a、向目標AN 405-b、向認證伺服器410-a及/或向LAN DS 446-a)轉發量測。至少部分地基於被轉發的量測,LAN 440-a的設備可以作出對將無線設備115-c從源AN 405-a切換到目標AN 405-b的決策。例如,源AN 405-a可以從無線設備115-c接收通訊量測,至少部分地基於決定與目標AN 405-b的通訊條件可能更好作出切換決策,以及至少部分地基於切換決策向目標AN 405-b發送切換請求。若目標AN 405-b對請求進行確認,則源AN 405-a可以向無線設備115-c及/或目標AN 405-b轉發切換參數。
因此,根據本案內容的態樣,在移動到LAN 440-a的目標AN 105-d的覆蓋區域中時,無線設備115-c可以至少部分地基於被LAN 440-a(例如,源AN 405-a、目標AN 405-b、認證伺服器410-a、LAN DS 446-a等)執行的切換操作建立與目標AN 405-b的連接。在某些實例中,無線設備115-c可以在經由目標AN 405-b與LAN 440-a(例如,LAN DS 446-a)安全地通訊之前執行利用位於目標AN 405-b處的認證器及/或位於認證伺服器410-a處的認證器進行的認證。在某些實例中,無線設備的上下文和臨時安全金鑰(例如,受約束策略支配的安全金鑰)的從源AN 405-a到目標AN 405-b的切換(例如,經由X2介面,經由LAN DS 446-a或者直接地從源AN 405-a到目標405-b)可以減少可能否則是與LAN的傳統切換和認證程序相關聯的服務中斷。
本案內容的某些態樣與用於與使用蜂巢RAT的LAN 440的目標AN 405的連接的快速過渡的技術有關。該等技術應用兩層金鑰分層,這可以包括與由IEEE 802.11r引入的技術相似的態樣,以便支援整合蜂巢RAT的態樣的LAN 440的AN 405之間的快速過渡。這樣,蜂巢行動性可以利用針對快速BSS過渡被開發或者部署的LAN 440的現有的安全架構和協定(例如,傳統LAN 340的基礎設施)。該等技術例如可以構建在如本文中描述的已經由蜂巢RAT的態樣被建立的與LAN 440的安全的連接上。
因此,根據本案內容的態樣,被LAN 440-a支援的基於網路的行動性克服了依賴於無線設備作出切換決策的傳統LAN 340(例如,參考圖5描述的傳統LAN 340-a,其根據諸如是與Wi-Fi協定相關聯的那些協定的傳統LAN協定來操作)的各種限制。例如,根據本文中描述的已修改的技術,LAN 440-a支援由AN 405作出的切換決策、用於經由目標AN 405-b的對LAN 440-a的受約束的存取的臨時網路金鑰的交換和用於促進源AN 405-a與目標AN 405-b之間的切換的FT參數的快取記憶體和交換。
圖7圖示根據本案內容的各種態樣的針對使用FT技術的對傳統LAN 340-b的基於Wi-Fi的傳統存取的參考架構。STA 242-b可以建立與傳統LAN 340-b的第一AP 244-c(例如,R1KH)的連接、經由第一AP 244-c執行與AAA 248-d的認證(例如,使用EAP)、建立與第一AP 244-c的安全性關聯,並且至少部分地基於安全性關聯與傳統LAN 340-b(例如,傳統LAN DS 346-b)安全地通訊。在建立與第一AP 244-c的連接時,STA 242-b可以發送FT參數。在移動到傳統LAN 340-b的第二AP 244-d的覆蓋區域中時,STA 242-b可以建立與第二AP 244-d的連接,並且第二AP 244-d可以從WLC 705獲得FT參數。第二AP 244-d可以至少部分地基於FT參數匯出安全金鑰(例如,工作階段金鑰),並且比沒有FT參數的認證更快速地利用FT參數對STA 242-b進行認證。
圖8圖示根據本案內容的各種態樣的針對使用FT技術的對LAN 440-b的基於蜂巢RAT的存取的參考架構。無線設備115-d可以建立與LAN 440-b的源AN 405-c(R1KH)的連接、執行利用位於源AN 405-c處的認證器及/或位於認證伺服器410-b處的認證器進行的認證(例如,使用EAP),並且至少部分地基於認證與LAN 440-b(例如,LAN DS 446-b)安全地通訊。
根據本案內容的態樣,LAN 440-b的源AN 405-c可以對用於在隨後的切換期間進行轉發的FT參數進行快取記憶體。此類轉發可以被LAN 440-b支援,因為AN 405可以實現在其中AN 405對於交換此類參數信任彼此的安全協定。LAN 440-b的該信任是與在其中亦未在AN 244之間(例如,如參考圖7描述的AP 244-c與244-d之間)建立此類安全協定的傳統LAN 340(例如,參考圖7描述的傳統LAN 340-b)相反的。換句話說,傳統LAN 340-b的AP 244亦未建立支援AP 244之間的FT參數的交換的信任。因此,根據本案內容的態樣,LAN 440-b可以實現AN 405處的先進安全協定,以便促進無線設備115-d的從源AN 405-c到目標AN 405-d的快速切換。
在移動到LAN 440-b的目標AN 405-d(例如,另一個R1KH)的覆蓋區域中時,無線設備115-d可以建立與目標AN 405-d的連接,並且目標AN 405-d可以從源AN 405-d獲得FT參數。在某些實例中,FT參數可以由目標AN 405-d直接從源AN 405-c接收(例如,經由X2介面,經由LAN DS 446-b或者直接地從源AN 405-d),這在傳統LAN協定下可能不可接受,因為AP 244之間的直接的通訊在傳統協定下可能不是安全的或者受信任的。目標AN 405-d可以至少部分地基於FT參數匯出安全金鑰(例如,工作階段金鑰),並且比沒有FT參數的認證更快速地利用FT參數對無線設備115-d進行認證,同時亦利用根據本案內容的可以在源AN 405-c與目標AN 405-d之間被提供的額外的信任。
圖9圖示根據本案內容的各種態樣的可以被用於支援針對對LAN 440的基於蜂巢RAT的存取的C平面功能的無線設備115-e處的協定堆疊905-a和AN 405-e處的協定堆疊910-a的圖示900。圖示900作為實例圖示如包括PHY/MAC/RLC/PDCP層的4G蜂巢RAT的較低層協定(例如,L1/L2堆疊)。其他的L1/L2堆疊是可能的。使用4G協定作為實例,C平面可以支援在無線設備115-e和AN 405-e處被終止的無線電資源控制(RRC)。
圖10圖示根據本案內容的各種態樣的可以被用於支援針對對LAN的基於蜂巢RAT的存取的U平面功能的AN 405-f處的協定堆疊910-b和無線設備115-f處的協定堆疊905-b的圖示1000。圖示1000作為實例圖示如包括PHY/MAC/RLC/PDCP層的4G蜂巢RAT的較低層協定(例如,L1/L2堆疊)。其他的L1/L2堆疊是可能的。使用4G作為實例,U平面可以在無線設備115-f與AN 405-f之間支援IEEE 802.3。AN 405-f可以在無線設備115-f與LAN DS 446-c之間對封包進行中繼。AN 105-h與LAN DS 446-c之間的U平面協定堆疊未被指定。
例如,IEEE 802.11r不定義R0KH與R1KH之間的具體的協定和協定堆疊,而僅定義必須被傳輸的參數。在所描述的技術採用分兩層的安全性分層時,相同的規範可以適用。
圖11圖示根據本案內容的各種態樣的無線設備115-g處的協定堆疊905-c、AN 405-g處的協定堆疊910-c和認證伺服器410-c處的協定堆疊915-c的圖示1100,上述各項可以被用於與使用IEEE 802.1x的態樣的認證伺服器410-c的經由經由C平面的EAP的認證。在無線設備115-g與AN 405-g之間的蜂巢鏈路上,EAP交換可以被封裝在RRC中(例如,使用訊號傳遞無線電承載(SRB))。在AN 405-g與認證伺服器410-c之間,協定堆疊未被指定。圖示1100圖示半徑/直徑作為可以在AN 405-g與認證伺服器410-c之間被使用的協定的實例。
圖12圖示根據本案內容的各種態樣的無線設備115-h處的協定堆疊905-d、AN 405-h處的協定堆疊910-d和認證伺服器410-d處的協定堆疊915-d的圖示1200,上述各項可以被用於經由經由U平面的EAP的認證。在圖示1200中,認證伺服器410-d可以使用例如IEEE 802.1x的態樣。在無線設備115-h與AN 405-h之間的蜂巢鏈路上,EAP交換可以位於使用資料無線電承載(DRB)的資料平面之上。在AN 405-h與認證伺服器410-d之間,協定堆疊未被指定。圖示1200圖示半徑/直徑作為可以在AN 405-h與認證伺服器410-d之間被使用的協定的實例。
例如在無線設備115-h和AN 405被裝備有例如預共享金鑰(PSK)的情況下,對EAP的使用不是強制的。
對於源AN 405與目標AN 405之間的X2介面,支援X2專用的訊號傳遞訊息和X2傳輸量的任何協定堆疊可以被使用。在一個實施例中,X2可以在使用者資料包通訊協定(UDP)/IP/DS協定堆疊之上運行,其中X2/UDP/IP協定堆疊是符合3GPP技術規範(TS)36.423和3GPP S 36.424的。可以例如對於具有針對IPv4的EtherType = 0x0800和針對IPv6的EtherType = 0x86DD的基於扁平乙太網路的DS支援IP/DS協定層的分層。
圖13圖示根據本案內容的各種態樣的用於建立無線設備115-j與LAN 440-c之間的經由AN 405-i的安全連接的實例訊息流1300。訊息流1300圖示無線設備115-j、AN 405-i和LAN 440-c的可選的認證伺服器410-e之間的訊息。無線設備115-i可以是參考圖1、2、4、6、8、9、10、11和12描述的無線設備115的態樣的實例。AN 405-i可以是參考圖4、6、8、9、10、11和12描述的AN 405的態樣的實例。認證伺服器410-e可以是參考圖4、6、8、11和12描述的認證伺服器410的態樣的實例。
在訊息流1300中,在無線設備115-i與AN 410-i之間被發送的訊息可以經由至少部分地基於(例如,實現其態樣)蜂巢RAT(例如,LTE/LTE-A RAT)的連接被發送。在使用所描述的技術中的某些或者全部技術的替換的訊息流中,可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-i與AN 405-i之間發送訊息。在某些實例中,在無線設備115-i與AN 405-i之間被發送的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-i、AN 405-i和可選的認證伺服器410-e之間被發送的訊息的參數,這些參數是與所描述的技術相關的。在某些實例中,訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數的其他參數。
在1305處,AN 405-i可以廣播系統資訊(例如,發送系統資訊區塊(SIB))。系統資訊可以包括用於配置用於與AN 405-i通訊的介面(例如,蜂巢介面或者LTE/LTE-A介面)的參數。在某些實例中,系統資訊可以包括關於針對與LAN 400-c的通訊(例如,經由AN 405-i與LAN 440-c的LAN DS 446的通訊)的認證被AN 405-i支援的指示。指示可以指示認證經由RRC層或者NAS層(例如,經由乙太網路、EAPOL等)被支援,或者與LAN 440-c中的認證器(例如,被與AN 405-i共置的認證器及/或認證伺服器410-e的認證器)的認證被支援。在某些實例中,指示可以亦指示利用諸如是位於蜂巢服務供應商網路的CN 130(例如,參考圖1描述的無線通訊系統100的CN 130)處的認證器之類的不位於LAN 440-c中的認證器進行的認證被支援。關於針對與LAN 440-c的通訊的認證被支援的指示可以是明確的或者暗含的。暗含的指示可以例如包括無線設備115-i可以用於對被儲存在無線設備115-i處的AN 405-i的配置編制索引的網路辨識符或者服務供應商辨識符(例如,指示AN 405-i借助於RRC層、NAS層、乙太網路、與AN 405-i相關聯(被共置在其處)的認證器、與認證伺服器410-e相關聯的認證器等支援針對與LAN 440-c的通訊的認證的資訊)。
在某些實例中,在1305處被廣播的系統資訊可以包括對諸如是使用PSK的認證、與認證伺服器410-e的認證或者預認證此類被支援的認證的類型的指定。在預認證的情況下,無線設備115-i可以至少部分地基於作為與認證伺服器410-e的在先認證的一部分(例如,作為經由LAN 440-c的不同的AN 405(未圖示)被執行的認證程序的一部分)被建立的PMK執行認證程序。
在某些實例中,在1305處被廣播的系統資訊可以包括諸如是細胞專用的參數(例如,實體細胞身份(PCI))、細胞全域身份(CGI)、封閉用戶群組ID(CSG ID)、針對下行鏈路的進化型絕對射頻通道號(EARFCN-DL)、LAN 440-c上的AN 405-i的MAC位址或者其任意組合)的參數。參數可以被包括在於1360處被執行的金鑰匯出中,或者可以被無線設備115-i用於檢索針對AN 405-i的PSK或者PMK(例如,在預認證被支援時)。
在1310處,無線設備115-i可以發起與AN 405-i的隨機存取程序(例如,RACH程序),用以建立與AN 405-i的細胞無線電網路臨時辨識符(C-RNTI),並且用以從AN 405-i獲得時序對準資訊。隨機存取程序可以是至少部分地基於在1305處被接收的參數或者被儲存在無線設備115-i處的針對AN 405-i的配置的。
在1315處,無線設備115-i可以向AN 405-i發送RRC連接請求訊息。RRC連接請求訊息可以包括在1310處被建立的C-RNTI。RRC連接請求訊息可以亦指示為了建立連接哪些類型的操作被無線設備115-i需要,例如,執行本端LAN存取或者LAN 440-c對提供服務的服務供應商的中央網路節點(例如,CN)的存取等。
在1320處,AN 405-i可以經由向無線設備115-i發送RRC連接建立訊息對在1315處被接收的RRC連接請求訊息作出回應。RRC連接建立訊息可以辨識或者建立被用於認證訊息的至少一個無線電承載(RB)。至少一個RB可以包括SRB或者DRB。AN 405-i可以至少部分地基於LAN 440-c的本端策略或者RRC連接請求訊息中的指示決定是否SRB或者DRB或者這兩者應當被建立。在某些實例中,SRB可以根據參考圖11描述的C平面協定堆疊905-c、910-c和915-c被建立,並且SRB可以支援傳輸被封裝在RRC中的認證資料(例如,EAP認證資料)。在某些實例中,DRB可以根據參考圖12描述的U平面協定堆疊905-d、910-d和915-d被建立,並且DRB可以支援傳輸被封裝在乙太網路中的用於經由NAS層經由LAN DS 446向認證伺服器410-e傳輸的認證資料(例如,EAP認證資料)。RRC連接建立訊息可以例如包括以下各項中的一些項或者全部項:被指示為被包括在系統資訊廣播中的資訊;將被包括在1360處的安全金鑰的匯出中的諸如是新鮮值(nonce)(例如,新鮮值-AN)此類隨機參數;LAN 440-c上的AN 405-i的MAC位址(例如,用於為經由經由DRB的EAPOL(經由LAN的可擴展認證協定(EAP))的認證作準備);或者無線設備MAC位址的配置。
在1325處,無線設備115-i可以經由向AN 405-i發送RRC連接建立完成訊息對在1320處被接收的RRC連接建立訊息作出回應。在某些實例中,1325處的通訊可以亦包括對於FT認證的請求,其中FT認證可以包括如本文中描述的對FT參數的決定、交換及/或快取記憶體。在某些實例中,對於FT認證的請求可以是至少部分地基於從AN 405-i接收對基於網路的FT的支援的指示的。支援的此類指示可以由AN 405-i例如在1305處的SIB中、在1310處的RACH訊息期間、在1325處的RRC連接建立訊息期間或者在無線設備115-k與AN 405-i之間的任何其他通訊期間提供。在某些實例中,來自AN 405-i的對基於網路的FT的支援的指示可以回應於1325處的FT認證請求被提供,並且可以在受保護的通訊中被提供(例如,作為1370處的AS安全模式命令的一部分、在1380處的RRC連接重新配置訊息期間或者在認證程序之後的無線設備115-i與AN 405-i之間的某個其他的通訊期間)。在某些實例中,無線設備115-i可以至少部分地基於接收對基於網路的FT的支援的指示相應地向AN 405-i發送FT參數的集合。
因此,1305直到1325可以說明與建立無線設備115-i與AN 405-i之間的連接相對應的操作的實例,並且無線設備115-i可以隨後決定經由已建立的連接執行認證。根據本案內容的態樣,這些操作可以亦包括針對無線設備115-i與LAN 440-c之間的認證的終點的指示。例如,指示可以辨識如被與AN 405-i共置或者以其他方式整合在一起的認證器及/或如作為認證伺服器410-e的一部分的認證器,認證伺服器410-e可以不是與AN 405-i共置的。在某些實例中,認證終點的指示可以被包括在從AN 405-i去往無線設備115-i的訊息中(例如,1305處的SIB或者1320處的RRC連接回應中)。此類訊息可以包括對如作為NAS層(其可以與使用認證伺服器410-e處的認證器、LAN 440-c的另一個節點或者不是LAN 440-c的一部分的認證器進行的認證相對應)或者RRC層(其可以與使用AN 405-i處的認證器進行的認證相對應)的用於認證的協定終點的指示。在某些實例中,對用於認證的協定終點的指示可以由AN 405-i回應於由無線設備115-i發送的查詢(例如,在1305-1325的連接建立期間或者某個其他時間)而發送。無線設備115-i因此可以決定至少部分地基於所接收的對用於認證的協定終點的指示及/或可以被儲存在無線設備115-i處並且至少部分地基於接收與AN 405-i相關聯的辨識符(例如,在1305-1325的連接建立操作期間)被檢索的AN 405-i的任何其他配置資訊來執行認證。
在某些實例中,(例如,至少部分地基於所接收的對用於認證的協定終點的指示),無線設備115-i可以決定將用於認證的一或多個認證器(例如,決定使用被與AN 405-i共置的認證器或者位於認證伺服器410-e處的認證器中的一個認證器或者全部兩個認證器),並且發送關於無線設備115-i已決定執行認證的指示,該指示可以亦包括關於將執行利用AN 405-i處的認證器及/或位於認證伺服器410-e處的認證器進行的認證的指示。此類指示可以由無線設備115-i在1315或者1325處作為作為RRC連接建立訊息的一部分的明確的指示來發送。在某些實例中,無線設備115-i可以選擇用於執行1310處的RACH程序的特定的資源(例如,與RACH程序相關聯的具體的前序信號),並且關於將在具體的認證器處執行認證的指示可以是至少部分地基於所選擇的資源的暗含的指示。換句話說,無線設備115-i可以將在1310處的RACH程序期間使用具體的前序信號決定為對將把哪個協定終點用於認證的暗含的指示。
1325處的RRC連接建立完成訊息可以確認可以被用於認證訊息的RB的建立,並且可以例如包括對無線設備115-i的能力的指示,包括被支援的密碼套件。1325處的RRC連接建立完成訊息可以亦包括PSK或者PMK的辨識符(若可用的話)以及允許AN 405-i檢索針對無線設備115-i被快取記憶體的PSK或者PMK的無線設備115-i的辨識符。無線設備115-i可以至少部分地基於在1305或者1320處獲得的AN 405-i的PCI、CGI或者MAC位址檢索這些金鑰辨識符。RRC連接建立完成訊息可以亦包括將被包括在1360處的安全金鑰的匯出中的諸如是新鮮值(例如,新鮮值-UE)此類隨機參數或者無線設備115-i的MAC位址(例如,若無線設備115-i的MAC位址未在1320處被AN 405-i供應並且被配置的話)。無線設備115-i的MAC位址可以被用於為經由經由DRB的EAPOL的認證和為無線設備115-i與LAN 440-c之間的傳輸量轉發(例如,無線設備115-i與LAN 440-c的LAN DS 446之間的傳輸量轉發)作準備。
在1330處,AN 405-i可以可選地觸發無線設備115-i與認證伺服器410-e之間的認證程序。無線設備115-i與認證伺服器410-e之間的認證程序可以例如在AN 405-i處的認證器不可以至少部分地基於由無線設備115-i提供的資訊分配PSK或者PMK時或者在使用PSK或者預認證的認證不被AN 405-i處的認證器支援時被觸發。在某些實例中,發無線設備115-i與認證伺服器410-a之間的認證程序可以是至少部分地基於從無線設備115-i接收的對於執行利用認證伺服器410-e處的認證器進行的認證的指示的。
根據在無線設備115-i與認證伺服器410-e之間被執行的認證程序,無線設備115-i和認證伺服器410-e中的每項可以在1335或者1340處匯出主工作階段金鑰(MSK)。根據MSK,無線設備115-i和認證伺服器410-e中的每項可以在1345或者1350處匯出PMK。無線設備115-i與認證伺服器410-e之間的認證程序可以例如使用EAP。EAP訊息可以以各種方式(例如包括經由在1320處被辨識的RB原生地)經由AN 405-i在無線設備115-i與認證伺服器410-e之間被交換。在該實例中,RB的封包資料彙聚協定(PDCP)層可以攜帶關於EAP封包被封裝在蜂巢鏈路上的指示符(例如,封包可以被標記為與與封包相關聯的PDCP PDU標頭中的認證有關)。在另一個實例中,EAP訊息可以經由專用於認證資訊的交換的RB在無線設備115-i與認證伺服器410-e之間被交換。在該實例中,專用RB的邏輯通道ID可以將在專用RB上被發送的封包標記為與EAP有關。在另一個實例中,參考圖11,EAP訊息可以在被標記為與認證有關(例如,在標有EAP指示符的RRC容器中)的RRC訊息(例如,針對經由NAS層經由LAN DS 446向認證伺服器410-e的傳輸被封裝的)中在無線設備115-i與認證伺服器410-e之間被交換。在另一個實例中,參考圖12,EAP訊息可以在經由攜帶Ethertype = EAP的傳輸量的NAS層經由DRB被發送的乙太網路封包(EAPOL)中在無線設備115-i與認證伺服器410-e之間被交換。
在無線設備115-i與認證伺服器410-e之間的認證程序被執行時,以及在認證伺服器410-e成功地匯出PMK時,認證伺服器410-e可以在1355處向AN 405-i轉發PMK。在某些實例中,PMK可以被轉發到AN 405-i。其後,並且不論無線設備115-i與認證伺服器410-e之間的可選的認證程序在1330處是否被執行,無線設備115-i和AN 405-i兩者都應當在1360或者1365之前具有對PMK的擁有。
在1360或者1365處,無線設備115-i和AN 405-i中的每項可以使用金鑰匯出函數(KDF)來根據PMK匯出新鮮工作階段金鑰,KAN(亦即,安全金鑰)。KDF的一個實例是IEEE 802.11i中的被用於根據PMK匯出成對暫態金鑰(PTK)的KDF。除了AN 405-i的諸如是PCI的AN專用ID、CGI、CSG-ID、EARFCN-DL、MAC位址或者其任意組合之外,KDF可以是至少部分地基於在無線設備115-i和AN 405-i之間被交換的隨機參數(例如,新鮮值-UE和新鮮值-AN)。另外的安全金鑰可以根據工作階段金鑰KAN被匯出,以便與LAN 440-c安全地通訊(例如,以便經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊)。諸如是使用者平面安全金鑰KUPenc或者KUPint或者RRC安全金鑰KRRCenc或者KRRCint之類的這些另外的安全金鑰可以被用於保護可以至少部分地基於另外的安全金鑰被建立的如例如在3GPP TS 33.401中定義的分別經由無線設備115-i與LAN 440-c(例如,利用LAN 440-c的LAN DS 446)之間的DRB或者SRB被發送的傳輸量。
因此,1330-1365的操作可以說明與可選地執行與作為位於未被與AN 405-i共置的認證伺服器410-e處的認證器的協定終點的認證相關聯的操作的實例,該認證可以與在1305處被接收的將協定終點辨識為NAS層的指示相對應。在此類實例中,AN 405-a可以經由LAN DS 446被通訊地耦合到認證伺服器410-e(見圖4),並且認證訊息可以被封裝在乙太網路封包中以便例如經由LAN DS 446在AN 405-a與認證伺服器410-e之間傳輸。若,替代地,認證伺服器410-e被與AN 405-i共置,則1305處的對用於認證的協定終點的指示將辨識RRC層,並且協認證伺服器410-e將經由RRC層與無線設備115-i通訊。儘管關於作為LAN 440-v的一部分的認證伺服器410-e描述了實例訊息流1300的認證程序,但在各種實施例中,所描述的認證程序可以替換地或者額外地由被與AN 405-i共置的認證器或者在LAN 440-c之外的認證器(例如,蜂巢服務供應商網路的CN 130的認證器)處執行。
在1370處,AN 405-i可以向無線設備115-i發送存取層(AS)安全模式命令訊息。AS安全模式命令訊息可以指示將被無線設備115-i用於與LAN 440-c安全地通訊(例如,用於經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊)的具體的密碼套件,並且可以包括使用KAN來證明AN的關於KAN的確認的訊息完整性代碼。
在1375處,無線設備115-i可以經由向AN 405-i發送AS安全模式命令完成訊息對在1370處接收的AS安全模式命令訊息作出回應。AS安全模式命令完成訊息可以包括使用KAN來證明無線設備的關於KAN的確認的訊息完整性代碼。
在1380處,AN 405-i可以向無線設備115-i發送RRC連接重新配置訊息,以便建立哪些DRB和SRB至少部分地基於KAN被保護。
在1385處,無線設備115-i可以配置在1380處被辨識的RB,並且可以經由向AN 405-i發送RRC連接重新配置完成訊息對在1380處接收的RRC連接重新配置訊息作出回應。其後,無線設備115-i可以經由在受保護的DRB上發送具有其MAC位址的乙太網路封包來與LAN 440-c安全地通訊(例如,經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊)。
圖14圖示根據本案內容的各種態樣的用於執行具有與LAN 440-d的安全連接的無線設備115-j的從源AN 405-j向目標AN 405-k的切換的實例訊息流1400。訊息流1400說明了無線設備115-j、源AN 405-j、目標AN 405-k和LAN 440-d的可選的認證節點(例如,認證伺服器410-f)之間的訊息。無線設備115-j可以是參考圖1、2、4、6、8、9、10、11和12描述的無線設備115的態樣的態樣的實例。源AN 405-j和目標AN 405-k可以是參考圖1、2、4、6、8、9、10、11和12描述的AN 405的態樣的實例。認證伺服器410-f可以是參考圖4、6、8、11和12描述的認證伺服器410的態樣的實例。
在訊息流1400中,在無線設備115-j與源AN 410-j之間或者無線設備115-j與目標AN 405-k之間被發送的訊息可以經由至少部分地基於(例如,實現其態樣)蜂巢RAT(例如,LTE/LTE-A RAT)的連接來被發送。在使用所描述的技術中的某些或者全部技術的替換的訊息流中,可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-j與源AN 405-j之間或者無線設備115-j與目標AN 405-k之間發送訊息。在某些實例中,在無線設備115-j與源AN 410-j之間或者無線設備115-j與目標AN 405-k之間被發送的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-j、源AN 405-j、目標AN 405-k和可選的認證伺服器410-f之間被發送的訊息的參數,這些參數是與所描述的技術相關的。在某些實例中,訊息可以包括其他參數,諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數。
在1405處,無線設備115-j可以經由根據如參考圖13描述的訊息流1300的各種操作建立的連接經由源AN 405-j被連接到LAN 440-d。源AN 405-j可以向無線設備115-j發送RRC連接重新配置訊息,以便建立哪些DRB和SRB至少部分地基於第一安全金鑰KAN被保護。在某些實例中,RRC連接重新配置訊息可以為無線設備115-j提供量測配置。量測配置可以使無線設備115-j能夠量測與源AN 405-j和潛在的目標AN 405(例如,包括目標AN 405-k)的通訊的參數。回應於接收RRC連接重新配置訊息,無線設備115-j可以配置所辨識的RB,並且經由向源AN 405-j發送RRC連接重新配置完成訊息(未圖示)對RRC連接重新配置訊息作出回應。在某些實例中,RRC連接重新配置訊息和RRC連接重新配置完成訊息可以是參考圖13描述的訊息流1300的在1375和1380處被發送的RRC連接重新配置訊息和RRC連接重新配置完成訊息的實例。
在1410處,無線設備115-j可以經由與源AN 405-j的連接與LAN 440-d安全地通訊(例如,與LAN 440-d的LAN DS 446安全地傳送UL和DL資料)。1405處的通訊可以包括經由無線設備115-j與源AN 405-j之間的受保護的DRB發送具有無線設備115-j的MAC位址的乙太網路封包。
在1415處,無線設備115-j可以使用在1405處接收的量測配置來量測從目標AN 405-k接收的通訊。例如,無線設備115-j可以量測從目標AN 405-k接收的通訊的信號強度。
在1420處,無線設備115-j可以接收被目標AN 405-k廣播的系統資訊(例如,SIB)。系統資訊可以包括參考參照圖13描述的訊息流1300的1305處的操作描述的資訊中的任一項資訊。在某些實例中,無線設備115-j可以對所接收的系統資訊的僅一部分(例如,對於獲得目標AN 405-k的PCI或者CGI足夠的系統資訊)進行解碼。
在1425處,無線設備115-j可以向源AN 405-j發送量測報告。除了諸如是目標AN 405-k的PCI或者CGI此類辨識資訊之外,量測報告可以包括與對與目標AN 405-k的通訊的量測相關的資訊。在無線設備115-j由於與目標AN 405-k的預認證而保存PMK時,無線設備115-j可以將PMK的PMK_ID包括在量測報告中。量測可以亦包括諸如是新鮮值(例如,新鮮值-UE)或者新鮮值-UE-ID之類的隨機參數,其可以被源AN 405-j用於在訊息流1400的稍後的階段處辨識具體的新鮮值-UE。
在1427處,源AN 405-j可以至少部分地基於量測報告決定發起無線設備115-j的從源AN 405-j向目標AN 405-k的切換。這是與其中由STA 242(例如,參考圖5描述的STA 242-a)作出行動性決策的傳統LAN 340(例如,參考圖5描述的傳統LAN 340-a)的操作相反的。經由提供如本文中描述的基於網路的行動性,LAN 440-d的設備可以有利地協調在源AN 405-j與目標AN 405-k之間切換無線設備115-j的態樣,這可以減少由於源AN 405-j與目標AN 405-k的覆蓋區域之間的惡化的無線電狀況及/或移動導致的停機時間,減少用於執行無線設備115-j與LAN 440-d之間的認證的時間的量,並且減少無線設備115-j與LAN 440-d之間的通訊等待時間。
在1430處,源AN 405-j可以向目標AN 405-k發送切換(HO)請求訊息(例如,至少部分地基於在1425處接收的量測報告)。切換請求訊息可以包括無線設備115-j的上下文。在某些實例中,切換請求訊息可以是經由LAN 440-d被路由的X2訊息。在某些實例中,源AN可以經由至少部分地基於被包括在來自無線設備115-j的量測報告中的PCI或者CGI對查閱資料表編制索引,來檢索目標AN 405-k的傳輸位址。切換請求訊息可以亦包括根據(例如,至少部分地基於)第一安全金鑰KAN被匯出的可以被稱為KAN*的臨時安全金鑰。可以使用KDF(例如,如在3GPP TS 33.401中描述的用於根據KeNB匯出KeNB*的KDF)匯出臨時安全金鑰。除了在量測報告中被提供的PMK_ID(若有的話)之外,切換請求訊息可以亦包括在量測報告中從無線設備115-j接收的新鮮值-UE或者新鮮值-UE-ID。
在1432處,在接受切換請求時,目標AN 405-k可以以切換請求確認(ACK)訊息對源AN 405-j作出回應。目標AN 405-k可以在切換請求ACK訊息中包括保存使無線設備115-j能夠連接到目標AN 405-k的RRC配置的容器。RRC配置可以包括在切換請求訊息中被接收的除了新鮮值-UE-ID(若有的話)之外的諸如是新鮮值(例如,新鮮值-AN)此類隨機參數。容器可以亦保存指示臨時安全金鑰KAN*可以如何被用於經由目標AN 405-k與LAN 440-d(例如,LAN 440-d的LAN DS 446)安全地通訊的臨時安全金鑰使用策略。切換請求ACK訊息可以亦指示從由源AN 405-j向目標AN 405-k發送的無線設備115-j安全能力中選擇的密碼套件。切換請求ACK訊息可以亦包括對無線設備115-j是否需要在與目標AN 405-k安全地通訊之前執行與認證伺服器(例如,可選的認證伺服器410-f)的認證交握的指示。在源AN 405-j向目標AN 405-k轉發PMK_ID並且目標AN 405-k能夠檢索對應的PMK時,對無線設備115-j是否需要執行與認證伺服器410的認證交握的指示可以不是必要的。
臨時安全金鑰使用策略(例如,臨時安全金鑰的約束策略)可以包括以下各項中的至少一項:對在其內臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊來說有效的時間間隔的指示(例如,到期時間);對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊來說有效的封包的數量的指示;對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊來說有效的一或多個承載的集合的指示;對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊來說有效的承載類型的指示;或者其組合。
在1435處,源AN 405-j可以在RRC連接重新配置訊息中向無線設備115-j轉發從目標AN 405-k接收的RRC配置。在某些實例中,源AN 405-j可以亦向無線設備115-j轉發臨時安全金鑰KAN*。然而,在某些實例中,無線設備115-j可以在無線設備115-j處單獨地匯出KAN*(例如,至少部分地基於相似的程序、至少部分地基於如參考1430描述的被源405-j用於匯出KAN*的KAN)。在該點處,無線設備115-j和目標AN 405-k保存針對直接蜂巢連接的RRC配置以及隨機參數新鮮值-UE和新鮮值-AN。
在1440處,源AN 405-j可以在SN傳輸訊息中向目標AN 405-k發送當前的PDCP序號(SN);並且在1445處,源AN 405-j可以經由X2介面向目標AN 405-k發送針對無線設備115-j被緩衝的DL資料。
在1450處,無線設備115-j可以執行與目標AN 405-k的RACH交握。
在1455處,無線設備115-j可以向目標AN 405-k發送RRC連接重新配置完成訊息,因此建立無線設備115-j與目標AN 405-k之間的連接。已建立的連接可以包括受保護的DRB,其中保護是至少部分地基於臨時安全金鑰KAN*(例如,至少部分地基於無線設備115-j已知的KAN*和目標AN 405-k已知的KAN*的比較)的,並且在其中對受保護的DRB的使用是至少部分地基於針對臨時安全金鑰的使用策略的。無線設備可以例如在從LAN 440-d接收的配置資訊中、在從源AN 405-j接收的切換命令訊息中及/或在從目標AN 405-k接收的配置資訊中接收使用策略。受保護的DRB可以被用於與LAN 440-d(例如,與LAN 440-d的LAN DS 446)切換式乙太網路傳輸量。RRC配置可以亦作為連接的一部分建立用於RRC訊息的SRB,並且可以建立可用於利用認證伺服器(例如,可選的認證伺服器410-f)執行認證程序的第二DRB,如由對無線設備115-j是否需要執行與認證伺服器的認證交握的指示所指示的。因此,1427直到1455的操作可以說明執行無線設備115-j的從源AN 405-j向目標AN 405-k的切換的實例。
在1460處,無線設備115-j可以使用受保護的DRB來經由目標AN 405-k與LAN 440-d交換UL和DL乙太網路傳輸量。受保護的DRB可以至少部分地基於臨時安全金鑰KAN*被保護,其中臨時安全金鑰的使用是受被包含在被無線設備115-j在1435處接收的RRC連接重新配置訊息中的策略支配的。
在1465處,並且至少部分地基於關於無線設備115-j需要執行與認證伺服器的認證交握的指示,無線設備115-j可以經由與目標AN 405-k相關聯的第二DRB(例如,與臨時安全金鑰KAN*相關聯的DRB)利用認證伺服器410-f執行認證程序。因此,目標AN 405-k可以充當針對目標AN 405-l與認證伺服器410-f之間的認證程序的中繼器。在某些實例中,認證程序可以是至少部分地基於與認證伺服器410-f的EAP交握的。根據該認證程序,無線設備115-j和認證伺服器410-f可以匯出MSK(分別在1470和1472處),並且隨後根據MSK匯出PMK(分別在1475和1477處)。
因此,1465直到1477處的操作說明了執行與認證伺服器410的認證的實例,其中認證是至少部分地基於EAP的。可以例如經由至少部分地基於臨時安全金鑰KAN*的經由目標AN 405-k的連接來實現認證。在某些實例中,可以執行與諸如是中央建鑰節點805(未圖示)此類LAN 440-d的另一個節點的認證,並且認證程序可以是至少部分地基於懇求者金鑰保存者辨識符(ID)、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合的。諸如是各種專有安全解決方案的其他安全解決方案可以是在LAN 440-d處可能的。
根據本案內容的態樣,1460及/或1465處的通訊可以涉及至少部分地基於臨時安全金鑰KAN*和針對臨時安全金鑰KAN*的使用策略(例如,約束策略)的通訊。例如,至少部分地基於臨時安全金鑰的通訊可以包括固定持續時間(例如,固定量的時間或者固定量的資料(例如,固定數量的資料封包))內的資料通訊及/或經由專用通訊鏈路(例如,針對1460處的UL和DL資料通訊的專用無線電承載及/或針對用於建立更實質的重新認證的1465處的通訊的專用無線電承載)的通訊。這些操作可以促進無線設備115-j的針對各種通訊的比否則將被傳統LAN 340(例如,參考圖5描述的傳統LAN 340-a)允許的切換更平滑及/或更迅速的切換。例如,傳統LAN 340的安全性原則可能不允許AP 244之間的安全資訊的此類轉發,並且可能要求STA 242的更實質的認證(例如,與目標AP的新的重新認證及/或與AAA 248的完整認證),並且因此不允許臨時安全金鑰被交換。
經由對比,因為使用特定的協定(例如,蜂巢RAT的態樣)來支援允許在AN 405之間提供此類臨時安全金鑰的源AN 405-j與目標AN 405-k之間的安全的層,所以可以在更實質的認證被執行(例如,與認證伺服器410-f的)之前在LAN 440-d中允許至少部分地基於臨時安全金鑰KAN*的通訊。因此,至少部分地基於臨時安全金鑰KAN*的1460及/或1465處的通訊可以經由限制或者避免與諸如是以STA為中心的切換程序此類傳統LAN 340的切換程序相關聯的通訊中斷來提供無線設備115-j的從源AN 405-j向目標AN 405-k的更平滑的切換。然而,經由根據關聯的使用策略限制至少部分地基於臨時安全金鑰KAN*的通訊,LAN 440-d的各種安全性原則(例如,根據Wi-Fi協定的安全性原則或者某些其他專有安全性原則)可以仍然被支援(例如,至少部分地基於臨時安全金鑰KAN*的到期、至少部分地基於對於不支援臨時安全金鑰的無線設備115將臨時安全金鑰KAN*的使用限於特定類型的通訊或者特定的無線電承載等)。
在1480處,認證伺服器410-f可以向目標AN 405-k發送PMK。分別在1485和1487處,無線設備115-j和目標AN 405-k可以各自至少部分地基於PMK、新鮮值-UE和新鮮值-AN匯出第二安全金鑰。第二安全金鑰可以充當針對經由可以實施蜂巢RAT的態樣的無線設備115-j與目標AN 405-k之間的連接的無線設備115-j與LAN 440-d之間的安全的通訊的新KAN。
在1490處,目標AN 405-k可以向無線設備115-j發送RRC連接重新配置訊息,用以配置在其中保護是至少部分地基於第二安全金鑰的的受保護的DRB。RRC連接重新配置訊息可以包括使用第二安全金鑰來向無線設備115-j驗證目標AN 405-k具有第二安全金鑰的確認的訊息完整性代碼。
在1495處,無線設備115-j可以經由發送RRC連接重新配置完成訊息對在1490處接收的RRC連接重新配置訊息作出回應。RRC連接重新配置完成訊息可以包括使用第二安全金鑰來向目標AN 405-k驗證無線設備115-j具有第二安全金鑰的確認的訊息完整性代碼。
在1497處,無線設備115-j可以經由在無線設備115-j與目標AN 405-k之間被建立的連接的新被配置的DRB與LAN 440-d(例如,LAN 440-d的LAN DS 446)切換式乙太網路傳輸量。
因此,根據本案內容的態樣,無線設備115-j可以根據臨時安全金鑰KAN*和針對臨時安全金鑰KAN*的使用策略並且亦根據不受與臨時安全金鑰KAN*相關聯的使用策略支配的1480的第二安全金鑰經由在無線設備115-j與目標AN 405-k之間被建立的連接與LAN 440-d安全地通訊。在某些實例中,這可以包括在不同時間處發生的至少部分地基於臨時安全金鑰的安全的通訊和至少部分地基於第二安全金鑰的通訊。在某些實例中,這些安全的通訊可以包括從至少部分地基於臨時安全金鑰與LAN 440-d安全地通訊切換到至少部分地基於第二安全金鑰與LAN 440-d安全地通訊,並且切換可以是至少部分地基於從目標AN 405-k接收的配置訊息(例如,在1490處被發送的RRC連接重新配置訊息)、第二安全金鑰的可用性或者其組合的。
如本文中使用的,至少部分地基於被描述為「不受」針對另一個安全金鑰的約束策略「支配」的安全金鑰的安全的通訊可以指在其中另一個安全金鑰的約束策略中沒有任何約束策略被應用的通訊、在其中另一個安全金鑰的約束策略的某個子集被應用的通訊、在其中完全不同的約束策略被應用的通訊、在其中沒有任何約束策略適用的通訊等。換句話說,至少部分地基於兩個不同的安全金鑰的安全的通訊可以是基於不同的約束策略的。
在訊息流1400的變型中,認證伺服器410-f可以是中央建鑰節點805(例如,無線LAN控制器)或者以其他方式被與中央建鑰節點805整合在一起,並且利用中央建鑰節點805被執行的認證程序可以是至少部分地基於以下各項的:懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。
圖15圖示根據本案內容的各種態樣的用於建立無線設備115-l與LAN 440-e之間的安全連接的實例訊息流1500。訊息流1500說明了無線設備115-l、LAN 440-e的AN 405-l、LAN 440-e的中央建鑰節點805-a和LAN 440-e的認證伺服器410-g之間的訊息。無線設備115-l可以是參考圖1、2、4、6、8、9、10、11和12描述的無線設備115的態樣的實例。AN 405-l可以是參考圖4、6、8、9、10、11和12描述的AN 405的態樣的實例。中央建鑰節點805-a可以是參考圖8描述的中央建鑰節點805的態樣的實例。認證伺服器410-g可以是參考圖4、6、8、11和12描述的認證伺服器410的態樣的實例。
在訊息流1500中,在無線設備115-k與AN之間被發送的訊息可以經由至少部分地基於(例如,實現其態樣)蜂巢RAT(例如,LTE/LTE-A RAT)的連接被發送。在使用所描述的技術中的某些或者全部技術的替換的訊息流中,可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-k與AN 405-l之間發送訊息。在某些實例中,在無線設備115-k與AN 410-l之間被發送的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-k、AN 405-l和認證伺服器410-g之間被發送的訊息的參數,這些參數是與所描述的技術相關的。在某些實例中,訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數之類的其他參數。
在某些實例中,作為訊息流1500的一部分被發送的訊息可以是作為參考圖13描述的訊息流1300的一部分被發送的訊息的實例,並且可以包括作為訊息流1300的一部分被發送的對應(包括其整體)的訊息的態樣。
在1505處,AN 405-l可以廣播系統資訊(例如,發送SIB)。系統資訊可以包括用於配置用於與AN 405-l通訊的介面(例如,蜂巢介面或者LTE/LTE-A介面)的參數。在某些實例中,系統資訊可以包括快速過渡移動域ID(MDID)。至少部分地基於MDID,無線設備115-k可以辨識R0KH(例如,中央建鑰節點805-a)的變更(若有的話)。
在1510處,無線設備115-k可以發起與AN 405-l的隨機存取程序(例如,RACH程序),用以建立與AN 405-l的C-RNTI,並且用以從AN 405-l獲得時序對準資訊。隨機存取程序可以是至少部分地基於在1505處接收的參數或者被儲存在無線設備115-k處的針對AN 405-l的配置的。
在1515處,無線設備115-k可以向AN 405-l發送RRC連接請求訊息。RRC連接請求訊息可以包括在1510處被建立的C-RNTI。
在1520處,AN 405-l可以經由向無線設備115-k發送RRC連接建立訊息對在1515處接收的RRC連接請求訊息作出回應。RRC連接建立訊息可以辨識(或者建立)被用於認證訊息的至少一個RB。至少一個RB可以包括SRB或者DRB。RRC連接建立訊息可以例如包括以下各項中的一些項或者全部項:被指示為將被包括在系統資訊廣播中的資訊(包括MDID,若其不在系統資訊廣播中被發送的話);將被包括在1575或者1577處的安全金鑰的匯出中的諸如是新鮮值(例如,新鮮值-AN)的隨機參數;R1-金鑰-保存者-ID(R1KH-ID)和R0-金鑰-保存者-ID(R0KH-ID);或者LAN 440-e上的無線設備115-k的MAC位址(其可以充當諸如是S1-金鑰-保存者ID(S1KH-ID)的懇求者金鑰保存者ID)。在某些實例中,R1KH-ID可以是LAN 440-e上的AN 405-l的MAC位址。在某些實例中,R0KH-ID可以是被稱為WLC的網路節點(例如,中央建鑰節點805-a)的辨識符。
在1525處,無線設備115-k可以經由向AN 405-l發送RRC連接建立完成訊息對在1520處接收的RRC連接建立訊息作出回應。RRC連接建立完成訊息可以確認被用於認證訊息的RB的建立,並且可以例如包括S1KH-ID,S1KH-ID在某些實例中可以是無線設備115-k的MAC位址。在無線設備115-k的MAC位址充當S1KH-ID並且在RRC連接建立訊息(1520處)中從AN 405-l被接收時,S1KH-ID可以不被包括在RRC連接建立訊息中。RRC連接建立完成訊息可以亦包括將被包括在1575或者1577處的安全金鑰的匯出中的諸如是新鮮值(例如,新鮮值-UE)的隨機參數。
在某些實例中,1525處的通訊可以亦包括對於FT認證的請求,該請求可以包括對如本文中描述的FT參數的決定、交換及/或快取記憶體。在某些實例中,對於FT認證的請求可以是至少部分地基於從AN 405-l接收對於基於網路的FT的支援的指示的。此類支援指示可以由AN 405-l例如在1505處的SIB中、1510處的RACH訊息期間、1525處的RRC連接建立訊息期間或者無線設備115-k與AN 405-l之間的任何其他通訊期間提供。在某些實例中,來自AN 405-l的對針對基於網路的FT的支援的指示可以回應於1525處的FT認證請求被提供,並且可以在受保護的通訊中被提供(例如,作為1580處的AS安全模式命令的一部分、在1590處的RRC連接重新配置訊息期間或者在認證程序之後的無線設備115-k與AN 405-l之間的某些其他通訊期間)。在某些實例中,無線設備115-k可以至少部分地基於接收對針對基於網路的FT的支援的指示相應地向AN 405-l發送FT參數的集合。
在1530處,AN 405-l可以觸發無線設備115-k與認證伺服器410-g之間的認證程序。根據在無線設備115-k與認證伺服器410-g之間被執行的認證程序,無線設備115-k和認證伺服器410-g中的每項可以在1535或者1540處匯出MSK。根據MSK,無線設備115-k和認證伺服器410-g中的每項可以在1545或者1550處匯出PMKR0。無線設備115-k與認證伺服器410-g之間的認證程序可以例如使用EAP。可以例如包括在於1520處被辨識的RB上原生地這樣地以各種方式在無線設備115-k與認證伺服器410-g之間(例如,經由AN 405-l)交換EAP訊息。可以經由中央建鑰節點805-a對EAP傳輸進行路由。
在1555處,認證伺服器410-g可以在安全的通道上向中央建鑰節點805-a轉發PMKR0。在1560和1565處,中央建鑰節點805-a和無線設備115-k可以分別使用KDF(例如,使用在IEEE 802.11r中定義的KDF)根據PMKR0匯出PMKR1。KDF可以是至少部分地基於AN 405-l和無線設備115-k的MAC位址的。在1570處,中央建鑰節點805-a可以向AN 405-l發送PMKR1。
在1575和1577處,無線設備115-k和AN 405-l中的每項可以使用KDF來根據PMKR1匯出新鮮工作階段金鑰KAN(例如,安全金鑰)。KDF的一個實例是IEEE 802.11i中的被用於根據PMK匯出PTK的KDF。除了諸如是AN 405-l的PCI、CGI或者MAC位址此類AN專用的ID之外,KDF可以是至少部分地基於在無線設備115-k與AN 405-l之間被交換的隨機參數(例如,新鮮值-UE和新鮮值-AN)的。可以根據工作階段金鑰KAN匯出另外的安全金鑰,以便與LAN 440-e(例如,與LAN 440-e的LAN DS 446)安全地通訊。諸如是KUP和KRRC此類這些另外的安全金鑰可以被用於保護如例如在3GPP TS 33.401中定義的分別經由DRB或者SRB被發送的傳輸量。
在1580處,AN 405-l可以向無線設備115-k發送AS安全模式命令訊息。AS安全模式命令訊息可以指示將被無線設備115-k用於與LAN 440-e安全地通訊的具體的密碼套件,並且可以包括使用KAN來證明AN的關於KAN的確認的訊息完整性代碼。
在1585處,無線設備115-k可以經由向AN 405-l發送AS安全模式命令完成訊息對在1580處接收的AS安全模式命令訊息作出回應。AS安全模式命令完成訊息可以包括使用KAN來證明無線設備的關於KAN的確認的訊息完整性代碼。
在1590處,AN 405-l可以向無線設備115-k發送RRC連接重新配置訊息,以便建立哪些DRB和SRB至少部分地基於KAN被保護。
在1595處,無線設備115-k可以配置在1590處被辨識的RB,並且可以經由向AN 405-l發送RRC連接重新配置完成訊息對在1590處接收的RRC連接重新配置訊息作出回應。其後,無線設備115-k可以經由在受保護的DRB上發送具有其MAC位址的乙太網路封包來與LAN 440-e(例如,與LAN 440-e的LAN DS 446)安全地通訊。
圖16圖示根據本案內容的各種態樣的用於執行與LAN 440-f的安全連接的從源AN 405-m向目標AN 405-n的快速過渡的實例訊息流1600。訊息流1600說明了無線設備115-l、源AN 405-m、目標AN 405-n和中央建鑰節點805-b之間的訊息。無線設備115-l可以是參考圖1、2、4、6、8、9、10、11和12描述的無線設備115的態樣的實例。源AN 405-m和目標AN 405-n可以是參考圖4、6、8、9、10、11和12描述的AN 405的態樣的實例。中央建鑰節點805-b可以是參考圖8和15描述的中央建鑰節點805的態樣的實例。
在訊息流1600中,在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間被發送的訊息可以經由至少部分地基於(例如,實現其態樣)蜂巢RAT(例如,LTE/LTE-A RAT)的連接被發送。在使用所描述的技術中的某些或者全部技術的替換的訊息流中,可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間發送訊息。在某些實例中,在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間被發送的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-l、源AN 405-m、目標AN 405-n和中央建鑰節點805-b之間被發送的訊息的參數,這些參數是與所描述的技術相關的。在某些實例中,訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數此類其他參數。
在1605處,無線設備115-l可以被連接到源AN 405-m(例如,經由第一連接,第一連接可以是例如根據參考圖13和15描述的訊息流1300及/或1500的操作建立的),並且源AN 405-m可以向無線設備115-l發送RRC連接重新配置訊息,以便建立哪些DRB和SRB至少部分地基於第一安全金鑰KAN被保護。在某些實例中,RRC連接重新配置訊息可以為無線設備115-l提供量測配置。量測配置可以使無線設備115-l能夠量測與源AN 405-m和潛在的目標AN(例如,包括目標AN 405-n)的通訊的參數。可以隨後將這些所量測的參數提供給LAN 440-f,以便支援如根據本案內容描述的基於網路的行動性操作。LAN 440-f的基於網路的行動性操作是與可以根據以STA為中心的行動性操作來操作的傳統LAN 340(例如,參考圖7描述的傳統LAN 340-b)相反的。因此,如本文中描述的,用於支援LAN 440-f的基於網路的行動性操作的修改可以相比於傳統LAN 340改進切換操作,包括與FT參數的交換有關的那些操作。
回應於接收RRC連接重新配置訊息,無線設備115-l可以配置所辨識的RB,並且經由向源AN 405-m發送RRC連接重新配置完成訊息(未圖示)對RRC連接重新配置訊息作出回應。在某些實例中,RRC連接重新配置訊息和RRC連接重新配置完成訊息可以是參考圖13描述的訊息流1300中的在1380和1385處被發送的RRC連接重新配置訊息和RRC連接重新配置完成訊息的態樣的實例。
在1610處,無線設備115-l可以經由在受保護的DRB上發送具有其MAC位址的乙太網路封包經由與源AN 405-m的第一連接與LAN 440-f(例如,LAN 440-f的LAN DS 446)安全地通訊。
在1615處,無線設備115-l可以使用在1605處接收的量測配置來量測從目標AN 405-n接收的通訊。例如,無線設備115-l可以量測從目標AN 405-n接收的通訊的信號強度。
在1620處,無線設備115-l可以接收被目標AN 405-n廣播的系統資訊(例如,SIB)。系統資訊可以包括例如以下各項的資訊中的任何資訊:參考圖13描述的訊息流1300的1305處的SIB、參考圖14描述的訊息流1400的1420處的SIB及/或參考圖15描述的訊息流1500的1505處的SIB。在某些實例中,無線設備115-l可以解碼所接收的系統資訊的僅一部分,諸如對於獲得目標AN 405-n的PCI或者CGI足夠的系統資訊。
在1625處,無線設備115-l可以向源AN 405-m發送量測報告。除了目標AN 405-n的諸如是PCI或者CGI此類辨識資訊之外,量測報告可以包括與來自目標AN 405-n的通訊的量測相關的資訊。量測報告可以包括可以被源AN 405-m用於在訊息流1600的稍後的階段處辨識具體的新鮮值-UE的諸如是新鮮值(例如,新鮮值-UE)或者新鮮值-UE-ID此類隨機參數。
根據本案內容的態樣,無線設備115-l可以向源AN 405-m發送與認證有關的FT參數的集合,以用於在源AN 405-m處進行快取記憶體,對於隨後的切換向源AN 405-m委託FT參數。FT參數可以包括建鑰材料及/或與無線設備115-l的身份有關的資訊,此類資訊例如包括與懇求者金鑰保存者辨識符(例如,S1KH-ID)有關的資訊、與第一認證器金鑰保存者ID有關的資訊、與安全金鑰有關的資訊、快速基本服務集(BSS)過渡參數的集合或者其組合。可以在各種訊息中將FT參數提供給源AN 405-m,包括在1610處的UL資料中、利用1625處的量測報告或者利用在無線設備115-l與源AN 405-m之間的連接的建立期間被交換的其他訊息(例如,如參考參考圖13和15描述的訊息流1300和1500描述的)。在某些實例中,由無線設備115-l發送FT參數可以是至少部分地基於接收對如參考圖13和15描述的對於基於網路的FT的支援的指示的。隨後,源AN 405-m可以對FT參數的集合進行快取記憶體以便在切換期間進行轉發。
在1630處,源AN 405-m可以至少部分地基於該量測報告決定發起無線設備115-l的從源AN 405-m向目標AN 405-n的切換。
在1635處,源AN 405-m可以向目標AN 405-n發送HO請求訊息。HO請求訊息可以包括無線設備的上下文。在某些實例中,HO請求訊息可以是經由LAN 440-f(例如,經由LAN 440-f的LAN DS 446)被路由的X2訊息。在某些實例中,源AN 405-m可以經由至少部分地基於被包括在來自無線設備115-l的量測報告中的PCI或者CGI對查閱資料表編制索引來檢索目標AN 405-n的傳輸位址。HO請求訊息亦可以例如包括諸如是S1KH-ID(例如,無線設備115-l的MAC位址)、R0KH-ID(例如,中央建鑰節點805-b的ID)、根據PMKR0匯出的PMKR0名稱(如例如由IEEE 802.11r定義的)、新鮮值-UE(以及最終地,新鮮值-UE-ID)、無線設備115-l的能力資訊(例如,被無線設備115-l支援的密碼套件)或者其組合此類FT參數。
經由在源AN 405-m處對無線設備115-l的FT參數進行快取記憶體和在切換期間將FT參數從源AN 405-m提供給目標AN 405-n,LAN 440-f可以提供相比於不支援此類操作的傳統LAN 340的改進了的切換操作。例如,因為LAN 440-f已被修改為支援AN 405之間的FT參數交換,所以源AN 405-m和目標AN 405-n可能已建立支援AN 405之間的此類安全參數的直接交換的安全協定。另一態樣,根據傳統協定操作的傳統LAN 340(例如,參考圖7描述的傳統LAN 340-b)可能不具有AP 244之間的此類被建立的信任,並且因此將不支援此類交換(例如,在R1金鑰保存者之間)。
另外,因為LAN 440-f利用基於網路的行動性操作來操作,所以切換決策和操作可以被如本文中描述的LAN 440-f中的各種設備協調。相應地,在切換操作被LAN 440-f的設備發起和執行時,無線設備115-l可以被併發地與源AN 405-m連接在一起和經由源AN 405-m進行通訊,並且此類切換決策和操作可以是對於無線設備115-l透明的。另一態樣,傳統LAN 340(例如,參考圖7描述的傳統LAN 340-b)執行以STA為中心的行動性操作,並且相應地不可以支援此類併發的連接。相反,根據傳統LAN 340的以STA為中心的行動性協定,STA 242可以執行與源AP 244的通訊,決定與目標AP 244連接在一起,並且可以在執行用於建立與目標AP 244的連接的切換操作時經歷通訊的顯著的中斷。在1640處,在使用中央建鑰節點805-b來使用FT參數提供經更新的安全金鑰的實例中,代表新的R1KH的目標AN 405-n可以至少部分地基於R0KH-ID辨識中央建鑰節點805-b,並且向中央建鑰節點805-b轉發FT資訊(例如,從無線設備115-l接收的FT參數的至少一部分)。被轉發的資訊可以例如包括S1KH-ID(例如,無線設備115-l的MAC位址)、R1KH-ID(例如,目標AN 405-n的MAC位址)、PMKR0名稱和R0KH-ID。
在1645處,中央建鑰節點805-b可以至少部分地基於S1KH-ID和PMKR0名稱檢索PMKR0。在1650處,中央建鑰節點805-b可以使用KDF(例如,被IEEE 802.11i用於根據PMK匯出PTK的KDF)至少部分地基於S1KH-ID和目標AN 405-n的R1KH-ID匯出PMKR1。在1655處,中央建鑰節點805-b可以使用受保護的連接向目標AN 405-n發送PMKR1。
在1660處,目標AN 405-n可以選擇隨機參數(例如,新鮮值-AN),並且根據PMKR1、新鮮值-AN和新鮮值-UE匯出新鮮工作階段金鑰KAN。目標AN 405-n可以利用1665處的HO請求ACK訊息對來自源AN 405-m的HO請求作出回應。HO請求ACK訊息可以包括用於保存針對無線設備115-l的用於連接到目標AN 405-n的RRC配置的容器。RRC配置可以包括至少部分地基於FT參數的安全參數的集合。安全參數的集合可以例如包括新鮮值-AN、新鮮值-UE-ID、R1KH-ID(例如,目標AN 405-n的MAC位址)、金鑰壽命間隔、重連期限間隔、密碼套件選擇器和使用KAN來證明該安全金鑰的確認的訊息完整性代碼(MIC)。因為KAN是在1660處至少部分地基於1650的PMKR1匯出的,並且PMKR1是在1650處至少部分地基於無線設備115-l的S1KH-ID(FT參數的實例)匯出的,所以安全參數的集合因此可以是至少部分地基於針對安全參數的至少該集合的FT參數包括使用KAN來證明安全金鑰的確認的MIC的。然而,存在其他的實例,其中被交換的FT參數可以被用於產生可以被源AN 405從目標AN 405轉發到無線設備115以便促進無線設備115的從源AN 405向目標AN 405的被網路協調的切換的安全參數的集合。
在1670處,源AN 405-m可以在RRC連接重新配置訊息中將從目標AN 405-m獲得的RRC配置轉發給無線設備115-l。在該點處,無線設備115-l和目標AN 405-n保存針對無線設備115-l與目標AN 405-n之間的直接蜂巢連接的RRC配置,包括目標AN 405-n的R1KH-ID以及隨機參數新鮮值-UE和新鮮值-AN。在1675和1680處,無線設備115-l可以匯出PMKR1和工作階段金鑰KAN,並且可以對被包含在隨RRC連接重新配置訊息被包括的安全參數的集合中的MIC進行驗證。
在1685處,無線設備115-l可以執行與目標AN 405-n的RACH交握。
在1690處,無線設備115-l可以向目標AN 405-n發送RRC連接重新配置完成訊息,因此建立在其中保護是至少部分地基於安全金鑰KAN的的受保護的DRB。RRC連接重新配置完成訊息可以包括使用KAN來證明該金鑰的確認的MIC。目標AN 405-n可以對MIC進行驗證。受保護的DRB可以被用於與LAN 440-f(例如,與LAN 440-f的LAN DS 446)的乙太網路傳輸量的交換。RRC配置亦可以建立用於RRC訊息的SRB,並且可以建立可用於利用認證伺服器410執行認證程序的第二DRB(未圖示),如由對無線設備115-l是否需要執行與認證伺服器410的認證交握的指示所指示的。
在1695處,無線設備115-l可以使用受保護的DRB來與LAN 440-f(例如,與LAN 440-f的LAN DS 446)交換UL和DL乙太網路傳輸量。受保護的DRB可以至少部分地基於安全金鑰KAN被保護。
相應地,如本文中描述的,針對無線設備115-l與LAN 440-f之間的通訊的訊息流1600有利地支援在其中LAN 440-f提供基於網路的行動性操作的經修改的方法,其中無線設備115-l可以提供針對LAN 440-f的AN 405(例如,源AN 405-m和目標AN 405-n)之間的直接交換被委託的FT參數。這些FT參數可以被LAN 440-f的設備(例如,源AN 405-m、目標AN 405-n和中央建鑰節點805-b)用於促進AN 405之間的更平滑的切換,以及執行對無線設備115-l透明的切換操作,以及支援在此類切換操作發生時無線設備115-l與LAN 440-f之間的併發的通訊,從而相比於在根據傳統LAN 340的協定(例如,Wi-Fi協定)操作時可能被經歷的那些通訊中斷,減少切換期間的通訊中斷。
圖17圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備1705的方塊圖1700。設備1705可以是如參考圖1、2、4、6、8和9-16描述的無線設備115的態樣的實例。設備1705可以包括接收器1710、無線設備通訊管理器1715和發射器1720。設備1705可以亦包括處理器。這些組件之每一者組件可以與彼此通訊(例如,經由一或多個匯流排)。
接收器1710可以接收與各種資訊通道相關聯的諸如是封包、使用者資料或者控制資訊此類資訊(例如,控制通道、資料通道和與用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術相關的資訊等)。可以將所接收的資訊繼續傳遞給設備1705的其他組件。接收器1710可以是參考圖19描述的收發機1935的態樣的實例。接收器1710可以包括或者與單個天線或者複數個天線相關聯。
發射器1720可以發送由設備1705的其他組件產生的信號。在某些實例中,可以將發射器1720與接收器1710共置在收發機模組中。例如,發射器1720可以是參考圖19描述的收發機1935的態樣的實例。發射器1720可以包括或者與單個天線或者複數個天線相關聯。
無線設備通訊管理器1715及/或其各種子組件中的至少一些子組件可以用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若用被處理器執行的軟體來實現,則無線設備通訊管理器1715及/或其各種子組件中的至少一些子組件的功能可以被通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或者其他可程式設計邏輯裝置、個別閘門或者電晶體邏輯、個別的硬體組件或者被設計為執行本案內容中描述的功能的其任意組合執行。無線設備通訊管理器1715及/或其各種子組件中的至少一些子組件可以是在實體上位於各種位置處的,包括是分散式的使得功能的部分被一或多個實體設備在不同的實體位置處實現。在某些實例中,根據本案內容的各種態樣,無線設備通訊管理器1715及/或其各種子組件中的至少一些子組件可以是單獨的並且不同的組件。在其他實例中,根據本案內容的各種態樣,可以將無線設備通訊管理器1715及/或其各種子組件中的至少一些子組件與包括但不限於I/O組件、收發機、網路服務器、另一個計算設備、本案內容中描述的一或多個其他組件或者其組合的一或多個其他硬體組件組合在一起。無線設備通訊管理器1715亦可以是參考圖19描述的無線設備通訊管理器1915的態樣的實例。
在其中無線設備通訊管理器1715支援如本文中描述的用於建立與LAN 440的經由AN 405的安全連接的經修改的技術的實例中,無線設備通訊管理器1715可以(例如,與接收器1710及/或發射器1720協調地)建立與LAN 440的AN 405的連接,決定執行認證,接收對如作為NAS層或者RRC層的用於認證的協定終點的指示,並且基於所接收的指示經由與AN 405已建立的連接執行與協定終點的認證。
在其中無線設備通訊管理器1715支援如本文中描述的用於與LAN 440的連接的從源AN 405向目標AN 405的切換的經修改的技術的實例中,無線設備通訊管理器1715可以(例如,與接收器1710及/或發射器1720協調地)基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊,執行從LAN 440的源AN 405向LAN 440的目標AN 405的切換,基於第一安全金鑰匯出第二安全金鑰,基於第二安全金鑰和針對第二安全金鑰的約束策略,經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊,經由第二連接利用與LAN 440的目標AN 405相關聯的認證節點執行認證程序以便獲得第三安全金鑰,第三安全金鑰是不受約束策略支配的,並且基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。
在其中無線設備通訊管理器1715支援用於與LAN 440的連接的從源AN 405向目標AN 405的快速過渡的經修改的技術的實例中,無線設備通訊管理器1715可以(例如,與接收器1710及/或發射器1720協調地)經由第一連接向LAN 440的源AN 405發送用於在用於切換的源AN 405處進行快取記憶體的關於認證的FT參數的集合,經由第一連接從源AN 405接收用於決定用於切換的AN 405的配置,經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的切換的命令,命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是基於FT參數的集合的,並且基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。
圖18圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的無線設備通訊管理器1815的方塊圖1800。無線設備通訊管理器1815可以是如參考圖17和19描述的無線設備通訊管理器1715或者無線設備通訊管理器1915的態樣的實例。無線設備通訊管理器1815可以包括無線設備連線管理員1820、無線設備認證管理器1825、無線設備LAN通訊管理器1830、無線設備切換管理器1835、無線設備金鑰管理器1840、無線設備FT管理器1845和無線設備承載管理器1850。這些模組之每一者模組可以與彼此直接或者間接地通訊(例如,經由一或多個匯流排)。無線設備通訊管理器1815可以亦與發射器和接收器(未圖示)通訊,發射器和接收器可以是參考圖17描述的接收器1710及/或發射器1720的態樣的實例。無線設備通訊管理器1815可以與發射器及/或接收器協調地操作以便支援本文中描述的各種操作。
無線設備連線管理員1820可以建立如本文中描述的與LAN 440的AN 405的連接。在某些實例中,無線設備連線管理員1820可以接收與AN 405相關聯的辨識符,基於所接收的辨識符檢索AN 405的配置,並且基於所接收的針對AN 405的配置資訊建立與其的連接。在某些實例中,由無線設備連線管理員1820建立的連接可以使用蜂巢RAT來建立。在某些實例中,無線設備連線管理員1820可以選擇用於執行隨機存取程序的至少一個資源,並且使用至少一個所選擇的資源執行與AN 405的隨機存取程序,其中用於執行隨機存取程序的至少一個所選擇的資源包括關於將利用認證器執行認證的指示。
無線設備認證管理器1825可以管理如本文中描述的在無線設備115與LAN 440之間被執行的認證的態樣。例如,無線設備認證管理器1825可以決定執行認證,接收對如作為NAS層或者RRC層的用於認證的協定終點的指示,並且基於所接收的指示經由與AN 405已建立的連接執行與協定終點的認證。在某些情況下,決定執行認證可以包括:選擇被與AN 405共置的認證器或者被託管在放置得遠離AN 405的LAN 440的節點處的認證器——第二認證器或者這兩者來執行認證。在某些情況下,無線設備認證管理器1825可以基於被儲存在無線設備115處的AN 405的配置決定執行認證。
在某些實例中,無線設備認證管理器1825可以接收關於AN 405使用認證器執行認證的指示,並且決定執行認證可以是基於接收關於AN 405使用認證器執行認證的指示的。在某些情況下,在以下各項中的至少一項中接收關於AN 405使用認證器執行認證的指示:系統資訊、對無線設備115的查詢的回應、RACH建立訊息或者其組合。在某些實例中,無線設備認證管理器1825可以向AN 405發送關於將利用認證器執行認證的指示。在某些情況下,所發送的將利用認證器執行認證的指示在RRC連接建立訊息中被發送。
在各種實例中,可以經由RRC層及/或NAS層執行認證。在某些情況下,經由RRC層或者乙太網路執行認證(例如,將認證訊息封裝在用於經由NAS層經由AN並且經由LAN從無線設備向認證器傳輸的乙太網路封包中)。在某些情況下,可以執行利用諸如是無線LAN控制器此類認證節點的認證,並且認證程序可以是基於以下各項的:懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。在某些情況下,認證節點包括認證伺服器,並且認證程序可以是基於EAP的。在某些情況下,用於認證的協定終點包括認證器,並且執行認證包括無線設備認證管理器1825經由與同AN 405的已建立的連接相關聯的無線電承載與認證器交換認證資訊。在某些情況下,認證可以是基於經由與同AN 405的已建立的連接相關聯的無線電承載被執行的可擴展認證協定(EAP)的。
在某些實例中,無線設備認證管理器1825可以關於接收AN 405使用第二認證器執行認證的指示,其中第二認證器被包含在與AN 405相關聯的CN(例如,包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等)中。在此類實例中,無線設備認證管理器1825可以決定經由AN 405利用第二認證器執行第二認證。在某些情況下,經由NAS層執行第二認證。
在某些實例中,無線設備認證管理器1825可以支援用於與LAN 440的連接的從源AN 405向目標AN 405的切換的經修改的技術。例如,無線設備認證管理器1825可以經由與LAN 440的目標AN 405已建立的連接執行認證程序。可以經由至少部分地基於臨時安全金鑰(例如,受約束策略支配的金鑰)的通訊執行認證程序。可以利用與目標AN 405相關聯的認證節點執行經由目標AN 405的認證,並且利用認證節點的認證可以提供不受安全金鑰約束策略支配的安全金鑰。
無線設備LAN通訊管理器1830可以管理如本文中描述的在支援與LAN 440的安全的通訊時被無線設備115執行的操作。例如,無線設備LAN通訊管理器1830可以支援基於安全金鑰經由與LAN 440的AN 405的連接與LAN 440安全地通訊。在某些實例中,無線設備LAN通訊管理器1830可以基於所產生的安全金鑰經由經由與同AN 405的已建立的連接相關聯的無線電承載的連接與LAN 440安全地通訊。
在某些實例中,被無線設備LAN通訊管理器1830執行的安全的通訊可以是基於不同的安全金鑰的,並且基於不同的安全金鑰的通訊可以在不同的時間處發生。在某些實例中,無線設備LAN通訊管理器1830可以從基於第一安全金鑰與LAN 440安全地通訊切換到基於第二安全金鑰與LAN 440安全地通訊,並且切換可以是基於以下各項的:從目標AN 405接收的配置訊息、第二安全金鑰的可用性或者其組合。
在某些實例中,無線設備LAN通訊管理器1830可以基於安全金鑰和針對安全金鑰的約束策略與LAN 440安全地通訊。在某些情況下,針對安全金鑰的約束策略包括以下各項中的至少一項:在其內安全金鑰對於經由第二連接與LAN 440安全地通訊來說有效的時間間隔;對於其安全金鑰對於經由第二連接與LAN 440安全地通訊來說有效的封包的數量;對於其安全金鑰對於經由第二連接與LAN 440安全地通訊來說有效的一或多個無線電承載的集合;對於其安全金鑰對於經由第二連接與LAN 440安全地通訊來說有效的無線電承載類型;或者其組合。無線設備LAN通訊管理器1830可以在以下各項中的至少一項中接收針對安全金鑰的約束策略:從LAN 440接收的配置資訊、從LAN 440的源AN 405接收的切換命令訊息、從目標AN 405接收的配置資訊或者其組合。
無線設備切換管理器1835可以管理如本文中描述的在支援從源AN 405向目標AN 405的切換時被無線設備115執行的操作。例如,無線設備切換管理器1835可以從LAN 440的源AN 405接收用於決定用於切換的AN 405的配置。配置可以是與伴隨無線設備115的量測配置相關聯的,並且無線設備切換管理器1835可以隨後量測從LAN 440的目標AN 405接收的至少一個信號。
無線設備切換管理器1835可以隨後向源AN 405發送包括關於目標AN 405的資訊的量測報告,關於目標AN 405的資訊是基於配置的,並且隨後從源AN 405接收對於執行向LAN 440的目標AN 405的切換的命令。對於執行切換的命令可以包括目標AN 405的配置資訊及/或基於由無線設備115提供的FT參數的集合的與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合。在某些情況下,安全參數的集合包括以下各項中的至少一項:關於金鑰保存者辨識符(ID)的資訊、密碼套件選擇參數、在其內安全金鑰有效的時間間隔、隨機參數、隨機參數辨識符、安全金鑰的確認的證明或者其組合。無線設備切換管理器1835可以接收切換命令(例如,基於對來自目標AN 405的信號的量測),並且執行從LAN 440的源AN 405向LAN 440的目標AN 405的切換。
無線設備金鑰管理器1840可以執行如本文中描述的與無線設備115處的金鑰產生和管理相關聯的操作。例如,無線設備金鑰管理器1840可以如本文中描述的那樣基於被交換的認證資訊及/或隨機參數產生安全金鑰。在某些實例中,無線設備金鑰管理器1840可以基於另一個安全金鑰匯出安全金鑰(例如,臨時安全性,受約束於使用策略)。在某些實例中,無線設備金鑰管理器1840可以向目標AN 405發送基於FT參數的集合、安全參數的集合或者其組合的安全金鑰的確認的證明。
無線設備FT管理器1845可以管理如本文中描述的與從源AN 405向目標AN 405的快速過渡相關聯的被無線設備115執行的操作。例如,無線設備FT管理器1845可以經由第一連接向LAN 440的源AN 405發送用於在用於切換的源AN 405處進行快取記憶體的關於認證的FT參數的集合。在某些實例中,無線設備FT管理器1845可以從源AN 405接收對針對基於網路的FT的支援的指示,可以基於接收對針對基於網路的FT的支援的指示向源AN 405發送FT參數的集合。在某些情況下,FT參數的集合包括以下各項中的至少一項:關於懇求者金鑰保存者ID的資訊、關於第一認證器金鑰保存者ID的資訊、關於安全金鑰的資訊、快速基本服務集(BSS)過渡參數的集合或者其組合。
無線設備承載管理器1850可以管理如本文中描述的與無線電承載相關聯(如與同AN 405的已建立的連接相關聯)的無線設備115處的操作。例如,無線設備承載管理器1850可以基於安全金鑰建立一或多個無線電承載。在某些情況下,可以經由與同AN 405的已建立的連接相關聯的無線電承載執行認證。在某些情況下,被無線設備承載管理器1850管理的一或多個無線電承載可以包括以下各項中的至少一項:訊號傳遞無線電承載、資料無線電承載或者其組合。
圖19圖示根據本案內容的各種態樣的包括支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備1905的系統1900的圖。設備1905可以是如參考圖1、2、4、6、8和9直到18描述的無線設備115或者設備1705的實例或者包括無線設備115或者設備1705的組件。設備1905可以包括用於雙向的語音和資料通訊的組件,此類組件包括用於發送和接收通訊的組件,包括無線設備通訊管理器1915、處理器1920、記憶體1925、軟體1930、收發機1935、天線1940及/或I/O控制器1945。這些組件可以經由一或多個匯流排(例如,匯流排1910)電子地通訊。
處理器1920可以包括智慧硬體設備(例如,通用處理器、DSP、中央處理單元(CPU)、微控制器、ASIC、FPGA、可程式設計邏輯裝置、個別閘門或者電晶體邏輯組件、個別的硬體組件或者其任意組合)。在某些情況下,處理器1920可以被配置為使用記憶體控制器操作記憶體陣列。在其他情況下,記憶體控制器可以被整合到處理器1920中。處理器1920可以被配置為執行被儲存在記憶體中的電腦可讀取指令,以便執行各種功能(例如,支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的功能或者任務)。
記憶體1925可以包括隨機存取記憶體(RAM)和唯讀記憶體(ROM)。記憶體1925可以儲存包括指令的電腦可讀、電腦可執行軟體1930,指令在被(例如,被處理器1920)執行時,使設備1905執行本文中描述的各種功能。在某些情況下,記憶體1925特別可以包含基本輸入/輸出系統(BIOS),BIOS可以控制諸如是與外設組件或者設備的互動之類的基本硬體及/或軟體操作。
軟體1930可以包括用於實現本案內容的態樣的代碼,包括用於支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的代碼。軟體1930可以被儲存在諸如是系統記憶體此類非暫時性電腦可讀取媒體或者其他記憶體中。在某些情況下,軟體1930可以不是可以被處理器直接執行的,但可以使電腦(例如,在被編譯並且被執行時)執行本文中描述的功能。
收發機1935可以如上面描述的那樣經由一或多個天線、有線的或者無線的鏈路雙向地進行通訊。例如,收發機1935可以代表無線收發機,並且可以與另一個無線收發機雙向地通訊。收發機1935可以亦包括數據機,數據機用於對封包進行調制,並且將經調制的封包提供給天線以用於傳輸,以及用於對從天線接收的封包進行解調。在某些情況下,設備1905可以包括單個天線1940。然而,在某些情況下,設備1905可以具有多於一個天線1940,多於一個天線1940可以是能夠併發地發送或者接收多個無線傳輸的。
I/O控制器1945可以管理設備1905的輸入和輸出信號。I/O控制器1945亦可以管理未被整合到設備1905中的外設。在某些情況下,I/O控制器1945可以代表去往外部的外設的實體連接或者埠。在某些情況下,I/O控制器1945可以採用諸如是iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或者另一種已知的作業系統之類的作業系統。在其他情況下,I/O控制器1945可以代表數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備或者與數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備互動。在某些情況下,I/O控制器1945可以被實現為處理器的一部分。在某些情況下,使用者可以經由I/O控制器1945或者經由被I/O控制器1945控制的硬體組件與設備1905互動。
無線設備通訊管理器1915可以是參考圖17和18描述的無線設備通訊管理器1715和1815的態樣的實例。無線設備通訊管理器1915可以執行如本文中描述的與同LAN 440的經由AN 405的安全連接的建立相關的各種操作,及/或可以管理至少部分地被設備1905的其他部分執行的此類操作的態樣。例如,無線設備通訊管理器1915可以與收發機1935和天線1940及/或I/O控制器1945協調地執行通訊操作。在某些實例中,無線設備通訊管理器1915可以被體現在獨立的處理器中,並且可以與處理器1920協調地執行操作。在某些實例中,無線設備通訊管理器1915可以被體現在軟體/韌體代碼(例如,如被儲存在記憶體1925中或者無線設備1905上的其他地方的)中,並且被處理器1920執行。
圖20圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備2005的方塊圖2000。設備2005可以是如參考圖1描述的AN 405的態樣的實例。設備2005可以包括接收器2010、AN通訊管理器2015和發射器2020。設備2005亦可以包括處理器。這些組件之每一者組件可以與彼此通訊(例如,經由一或多個匯流排)。
接收器2010可以接收與各種資訊通道相關聯的諸如是封包、使用者資料或者控制資訊此類資訊(例如,控制通道、資料通道和與用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術相關的資訊等)。可以將所接收的資訊繼續傳遞給設備2005的其他組件。接收器2010可以是參考圖23描述的收發機2335的態樣的實例。接收器2010可以包括或者與單個天線或者複數個天線相關聯。
發射器2020可以發送由設備2005的其他組件產生的信號。在某些實例中,可以將發射器2020與接收器2010共置在收發機模組中。例如,發射器2020可以是參考圖23描述的收發機2335的態樣的實例。發射器2020可以包括單個天線,或者其可以包括天線的集合。
AN通訊管理器2015及/或其各種子組件中的至少一些子組件可以用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若用被處理器執行的軟體來實現,則AN通訊管理器2015及/或其各種子組件中的至少一些子組件的功能可以被通用處理器、DSP、ASIC、FPGA或者其他可程式設計邏輯裝置、個別閘門或者電晶體邏輯、個別的硬體組件或者被設計為執行本案內容中描述的功能的其任意組合執行。AN通訊管理器2015及/或其各種子組件中的至少一些子組件可以是在實體上位於各種位置處的,包括是分散式的使得功能的部分被一或多個實體設備在不同的實體位置處實現。在某些實例中,根據本案內容的各種態樣,AN通訊管理器2015及/或其各種子組件中的至少一些子組件可以是單獨的並且不同的組件。在其他實例中,根據本案內容的各種態樣,可以將AN通訊管理器2015及/或其各種子組件中的至少一些子組件與包括但不限於I/O組件、收發機、網路服務器、另一個計算設備、本案內容中描述的一或多個其他組件或者其組合的一或多個其他硬體組件組合在一起。AN通訊管理器2015亦可以是參考圖22描述的AN通訊管理器2215的態樣的實例。
在其中AN通訊管理器2015支援如本文中描述的用於建立與LAN 440的經由AN 405的安全連接的經修改的技術的實例中,AN通訊管理器2015可以建立與無線設備115的連接,決定無線設備115已決定執行認證,發送對如作為非存取層(NAS)層或者RRC層的用於認證的協定終點的指示,並且提供用於無線設備115與協定終點之間的認證的通訊。
在其中AN通訊管理器2015支援如本文中描述的用於與LAN 440的連接的從源AN 405向目標AN 405的切換的經修改的技術的實例中,目標AN 405處的AN通訊管理器2015可以建立與無線設備115的連接;從LAN 440的第一網路節點(例如,源AN 405)接收第一安全金鑰,第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的;對與在無線設備115與LAN 440的第二網路節點(例如,諸如是認證伺服器410之類的認證節點)之間被執行的認證程序相關聯的認證資訊進行中繼;基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰;基於第一安全金鑰經由連接發送無線設備115與LAN 440之間的安全的通訊,其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用;並且基於第二安全金鑰經由連接發送無線設備115與LAN 440之間的安全的通訊,其中第二安全金鑰的使用是不受約束策略支配的。
在其中AN通訊管理器2015支援用於與LAN 440的連接的從源AN 405向目標AN 405的快速過渡的經修改的技術的實例中,源AN 405處的AN通訊管理器2015可以經由第一連接從無線設備115接收關於認證的FT參數的集合;對FT參數的集合進行快取記憶體以用於在切換期間進行轉發;在切換期間向LAN 440的目標AN 405發送FT參數的集合;從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是基於FT參數的集合的;並且經由第一連接向無線設備115發送對於執行向目標AN 405的切換的命令,命令包括安全參數的集合。
圖21圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的AN通訊管理器2115的方塊圖2100。AN通訊管理器2115可以是參考圖20和23描述的AN通訊管理器2015或者AN通訊管理器2315的態樣的實例。AN通訊管理器2115可以包括AN連線管理員2120、AN認證管理器2125、AN認證通訊管理器2130、AN金鑰管理器2135、AN LAN通訊管理器2140、AN FT管理器2145、AN切換管理器2150、AN承載管理器2155和AN認證器2160。這些模組之每一者模組可以與彼此直接或者間接地通訊(例如,經由一或多個匯流排)。AN通訊管理器2115可以亦與發射器和接收器(未圖示)通訊,發射器和接收器可以是參考圖20描述的接收器2010及/或發射器2020的態樣的實例。AN通訊管理器2115可以與發射器及/或接收器協調地操作以便支援本文中描述的各種操作。
AN連線管理員2120可以建立與無線設備115的連接。在某些情況下,可以使用蜂巢RAT或者至少部分地基於蜂巢RAT建立連接。
AN認證管理器2125可以管理如被AN 405執行的認證操作。例如,AN認證管理器2125可以發送關於AN 405使用認證器執行認證的指示。在某些情況下,在以下各項中的至少一項中發送關於AN 405使用認證器執行認證的指示:系統資訊、對無線設備115的查詢的回應、RACH建立訊息或者其組合。在某些情況下,安全參數的集合是基於至少一個隨機參數的。
回應於所發送的對於認證終點是認證器的指示,AN認證管理器2125可以從無線設備115接收關於將利用認證器執行與無線設備115的認證的指示。在某些情況下,在RRC連接建立訊息中接收關於將利用認證器執行認證的指示。在某些情況下,經由至少一個資源在來自無線設備115的隨機存取訊息中接收關於將利用認證器執行認證的指示。
在某些實例中,AN認證管理器2125可以決定無線設備115已決定執行認證,並且發送對如作為NAS層或者RRC層的用於認證的協定終點的指示。AN認證管理器2125亦可以發送AN 405關於使用被包含在與AN 405相關聯的CN(例如,包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等)中的認證器來執行認證的指示。在某些實例中,AN認證管理器2125可以決定無線設備115已決定利用另一個認證器執行隨後的認證,其中另一個認證器被包含在與AN 405通訊的CN中。
在某些實例中,AN認證管理器2125可以經由在AN 405與無線設備115之間被建立的連接交換至少一個隨機參數,並且向目標AN 405發送該至少一個隨機參數。AN認證管理器2125亦可以向以下各項中的至少一項發送與安全金鑰相關聯的約束策略:目標AN 405、無線設備115或者其組合。
在某些情況下,用於執行認證的認證節點包括無線LAN控制器,並且認證程序是基於以下各項的:懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。在某些情況下,用於執行認證的認證節點包括認證伺服器,並且認證程序是基於EAP的。
AN認證通訊管理器2130可以管理如關於認證通訊的AN 405的通訊操作。例如,AN認證通訊管理器2130可以提供用於無線設備115與被指示為用於認證的協定終點之間的認證的通訊。在某些情況下,提供用於認證的通訊包括發送關於經由與無線設備115已建立的連接的認證程序的訊息,並且認證程序可以是基於EAP的。AN認證通訊管理器2130亦可以發送與第二認證相關聯的訊息,並且對與在無線設備115與LAN 440的另一個網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。在各種實例中,可以經由RRC層、NAS層或者乙太網路執行認證程序。
在某些情況下,在與連接相關聯的第一無線電承載上執行認證程序,並且提供用於認證的通訊包括:經由與與無線設備115已建立的連接相關聯的無線電承載發送與認證相關聯的訊息。例如,AN認證通訊管理器2130可以經由無線電承載與無線設備115交換認證資訊及/或隨機參數。在某些實例中,在與連接相關聯的第二無線電承載上發送安全的通訊,與連接相關聯的第二無線電承載是和與連接相關聯的第一無線電承載不同的。在某些情況下,經由RRC層發送訊息。
AN金鑰管理器2135可以執行如本文中描述的與AN 405處的金鑰產生和管理相關聯的操作。例如,AN金鑰管理器2135可以基於被交換的認證資訊及/或隨機參數產生安全金鑰。在某些實例中,AN金鑰管理器2135可以從LAN 440的第一網路節點(例如,源AN 405)接收第一安全金鑰,第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的;並且基於被中繼的認證資訊從LAN 440的第二網路節點(例如,諸如是認證伺服器此類認證節點)接收第二安全金鑰。在某些實例中,AN金鑰管理器可以基於第二安全金鑰匯出第三安全金鑰,其中第三安全金鑰是不受約束策略支配的。
AN LAN通訊管理器2140可以如本文中描述的那樣建立與無線設備115的連接。例如,AN LAN通訊管理器2140可以基於安全金鑰經由已建立的連接發送無線設備115與LAN 440之間的安全的通訊。在某些實例中,AN LAN通訊管理器2140可以經由經由與連接相關聯的無線電承載的連接與LAN 440安全地通訊。
在各種實例中,可以經由或者可以不經由針對安全金鑰的約束策略決定安全金鑰的使用。在某些情況下,針對安全金鑰的約束策略包括以下各項中的至少一項:在其內安全金鑰對於無線設備115經由連接與LAN 440安全地通訊來說有效的時間間隔;對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊來說有效的封包的數量;對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊來說有效的一或多個無線電承載的集合;對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊來說有效的無線電承載類型;或者其組合。在某些實例中,AN LAN通訊管理器2140可以從基於第一安全金鑰發送無線設備115與LAN 440之間的安全的通訊切換到基於第二安全金鑰發送無線設備115與LAN 440之間的安全的通訊,其中切換是基於針對第一安全金鑰的約束策略、第二安全金鑰的可用性或者其組合的。
AN FT管理器2145可以管理如本文中描述的與從源AN 405向目標AN 405的快速過渡相關聯的被AN 405執行的操作。例如,AN FT管理器2145可以經由與無線設備115已建立的連接從無線設備115接收關於認證的FT參數的集合;並且對FT參數的集合進行快取記憶體以用於在切換期間進行轉發。AN FT管理器2145可以在切換期間向LAN 440的目標AN 405發送FT參數的集合。在某些實例中,AN FT管理器2145可以向無線設備115發送對針對基於網路的FT的支援的指示。在某些情況下,FT參數的集合包括以下各項中的至少一項:關於懇求者金鑰保存者ID的資訊、關於第一認證器金鑰保存者ID的資訊、關於安全金鑰的資訊、快速基本服務集(BSS)過渡參數的集合或者其組合。
AN切換管理器2150可以管理如本文中描述的在支援從源AN 405向目標AN 405的切換時被AN 405執行的操作。例如,AN切換管理器2150可以經由與無線設備115已建立的連接向無線設備115發送用於決定用於切換的AN 405的配置。在某些實例中,AN切換管理器2150可以經由連接從無線設備115接收包括關於目標AN 405的資訊的量測報告,關於目標AN 405的資訊是基於配置的。
在某些實例中,AN切換管理器2150可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是基於FT參數的集合的;經由第一連接向無線設備115發送對於執行向目標AN 405的切換的命令,命令包括安全參數的集合。在某些情況下,安全參數的集合包括以下各項中的至少一項:關於金鑰保存者ID的資訊、密碼套件選擇參數、在其內安全金鑰來說有效的時間間隔、隨機參數、隨機參數辨識符、安全金鑰的確認的證明或者其組合。
AN承載管理器2155可以管理如本文中描述的與無線電承載相關聯(如與同無線設備115的已建立的連接相關聯)的AN 405處的操作。在某些實例中,AN承載管理器2155可以基於安全金鑰建立一或多個無線電承載。在某些情況下,被AN承載管理器2155管理的一或多個無線電承載可以包括以下各項中的至少一項:訊號傳遞無線電承載、資料無線電承載或者其組合。
在某些實例中,AN認證器2160可以是被與AN 405共置的認證器,並且AN認證器可以執行如本文中描述的AN 405處的認證操作。
圖22圖示根據本案內容的各種態樣的包括支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備2205的系統2200的圖。設備2205可以是如參考圖4、6、8、9直到16和20描述的設備2005的AN 405的實例或者包括此類設備2005的AN 405的組件。設備2205可以包括用於雙向的語音和資料通訊的組件,此類組件包括用於發送和接收通訊的組件,包括AN通訊管理器2215、處理器2220、記憶體2225、軟體2230、收發機2235及/或I/O控制器2240。這些組件可以經由一或多個匯流排(例如,匯流排2210)電子地通訊。
處理器2220可以包括智慧硬體設備(例如,通用處理器、DSP、CPU、微控制器、ASIC、FPGA、可程式設計邏輯裝置、個別閘門或者電晶體邏輯組件、個別的硬體組件或者其任意組合)。在某些情況下,處理器2220可以被配置為使用記憶體控制器操作記憶體陣列。在其他情況下,記憶體控制器可以被整合到處理器2220中。處理器2220可以被配置為執行被儲存在記憶體中的電腦可讀取指令,以便執行各種功能(例如,支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的功能或者任務)。
記憶體2225可以包括RAM和ROM。記憶體2225可以儲存包括指令的電腦可讀、電腦可執行軟體2230,指令在被(例如,被處理器2220)執行時,使設備2205執行本文中描述的各種功能。在某些情況下,記憶體2225特別可以包含BIOS,BIOS可以控制諸如是與外設組件或者設備的互動的基本硬體及/或軟體操作。
軟體2230可以包括用於實現本案內容的態樣的代碼,包括用於支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的代碼。軟體2230可以被儲存在諸如是系統記憶體此類非暫時性電腦可讀取媒體或者其他記憶體中。在某些情況下,軟體2230可以不是可以被處理器直接執行的,但可以使電腦(例如,在被編譯並且被執行時)執行本文中描述的功能。
收發機2235可以如上面描述的那樣經由一或多個天線、有線的或者無線的鏈路雙向地進行通訊。例如,收發機2235可以代表無線收發機,並且可以與另一個無線收發機雙向地通訊。收發機2235可以亦包括數據機,數據機用於對封包進行調制,並且將經調制的封包提供給天線以用於傳輸,以及用於對從天線接收的封包進行解調。在某些情況下,設備2205可以包括單個天線2237。然而,在某些情況下,設備2205可以具有多於一個天線2237,多於一個天線2237可以是能夠併發地發送或者接收多個無線傳輸的。
I/O控制器2240可以管理設備2205的輸入和輸出信號。I/O控制器2240亦可以管理未被整合到設備2205中的外設。在某些情況下,I/O控制器2240可以代表去往外部的外設的實體連接或者埠。在某些情況下,I/O控制器2240可以採用諸如是iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或者另一種已知的作業系統此類作業系統。在其他情況下,I/O控制器2240可以代表或者與數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備互動。在某些情況下,I/O控制器2240可以被實現為處理器的一部分。在某些情況下,使用者可以經由I/O控制器2240或者經由被I/O控制器2240控制的硬體組件與設備2205互動。
AN通訊管理器2215可以是參考圖20和21描述的AN設備通訊管理器2015和2115的態樣的實例。AN通訊管理器2215可以執行如本文中描述的和與要存取LAN 440的無線設備115的安全連接的建立相關的各種操作,及/或可以管理至少部分地被設備2205的其他部分執行的此類操作的態樣。例如,AN通訊管理器2215可以與收發機2235和天線2237及/或I/O控制器2245協調地執行通訊操作。在某些實例中,AN通訊管理器2215可以被體現在獨立的處理器中,並且可以與處理器2220協調地執行操作。在某些實例中,AN通訊管理器2215可以被體現在軟體/韌體代碼(例如,如被儲存在記憶體2225中或者設備2205上的其他地方的)中,並且被處理器2220執行。
圖23圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2300的流程圖。方法2300的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法2300的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915(例如,與發射器及/或接收器協調地)執行。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊2305處,無線設備115可以建立與LAN 440的AN 405的連接。方塊2305的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2305的操作的態樣可以被如參考圖18描述的無線設備連線管理員1820執行。
在方塊2310處,無線設備115可以決定執行認證。方塊2310的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2305的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2315處,無線設備115可以接收對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2315的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2315的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2320處,無線設備115可以至少部分地基於所接收的指示經由與AN 405已建立的連接利用協定終點執行認證。方塊2320的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2320的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
圖24圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2400的流程圖。方法2400的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法2400的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915(例如,與發射器及/或接收器協調地)執行。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊2410處,無線設備115可以建立與LAN 440的AN 405的連接。方塊2410的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2410的操作的態樣可以被如參考圖18描述的無線設備連線管理員1820執行。
在方塊2415處,無線設備115可以決定執行認證。方塊2415的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2415的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2420處,無線設備115可以接收對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2420的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2420的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2425處,無線設備115可以至少部分地基於所接收的指示經由與同AN 405的已建立的連接相關聯的無線電承載利用協定終點執行認證,其中認證包括經由無線電承載與認證器交換認證資訊。方塊2425的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2425的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行(例如,與無線設備承載管理器1850協調地)。
在方塊2430處,無線設備115可以經由無線電承載與AN 405交換至少一個隨機參數。方塊2430的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2430的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2435處,無線設備115可以至少部分地基於被交換的認證資訊和至少一個隨機參數產生安全金鑰。方塊2435的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2435的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。
在方塊2440處,無線設備115可以至少部分地基於安全金鑰建立一或多個額外的無線電承載。方塊2440的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2440的操作的態樣可以被如參考圖18描述的無線設備承載管理器1850執行。
在方塊2445處,無線設備115可以至少部分地基於所產生的安全金鑰經由經由無線電承載、一或多個額外的無線電承載或者這兩者的連接與LAN 440安全地通訊。方塊2445的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2445的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830(例如,與無線設備承載管理器1850協調地)執行。
圖25圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2500的流程圖。方法2500的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法2500的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215(例如,與發射器及/或接收器協調地)執行。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊2505處,AN 405可以建立與無線設備115的連接。方塊2505的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2505的操作的態樣可以被如參考圖21描述的AN連線管理員2120執行。
在方塊2510處,AN 405可以決定無線設備115已決定執行認證。方塊2510的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2510的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊2515處,AN 405可以發送對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2515的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2515的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊2520處,AN 405可以提供用於無線設備115與協定終點之間的認證的通訊。方塊2520的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2520的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。
圖26圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2600的流程圖。方法2600的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法2600的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215(例如,與發射器及/或接收器協調地)執行。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊2605處,AN 405可以建立與無線設備115的連接。方塊2605的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2605的操作的態樣可以被如參考圖21描述的AN連線管理員2120執行。
在方塊2610處,AN 405可以決定無線設備115已決定執行認證。方塊2610的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2610的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊2615處,AN 405可以發送對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2615的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2615的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊2620處,AN 405可以提供用於無線設備115與協定終點之間的認證的通訊。方塊2620的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2620的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。
在方塊2625處,AN 405可以決定無線設備115已決定利用第二認證器執行第二認證,其中第二認證器被包含在與AN 405通訊的CN(例如,包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等)中。方塊2625的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2625的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊2630處,AN 405可以發送與第二認證相關聯的訊息。方塊2630的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2630的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。
圖27圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的切換的方法2700的流程圖。方法2700的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法2700的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915(例如,與發射器及/或接收器協調地)執行。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊2705處,無線設備115可以至少部分地基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊。方塊2705的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2705的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
在方塊2710處,無線設備115可以執行從LAN 440的源AN 405向LAN 440的目標AN 405的切換。方塊2710的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2710的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊2715處,無線設備115可以至少部分地基於第一安全金鑰匯出第二安全金鑰。方塊2715的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2715的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。
在方塊2720處,無線設備115可以至少部分地基於第二安全金鑰和針對第二安全金鑰的約束策略,經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2720的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2720的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
在方塊2725處,無線設備115可以經由第二連接利用LAN 440的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對第二金鑰的約束策略支配的安全金鑰)。方塊2725的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2725的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2730處,無線設備115可以至少部分地基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2730的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2730的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
圖28圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的切換的方法2800的流程圖。方法2800的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法2800的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915執行(例如,與發射器及/或接收器協調地)。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊2805處,無線設備115可以至少部分地基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊。方塊2805的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2805的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
在方塊2810處,無線設備115可以量測從LAN 440的目標AN 405接收的至少一個信號。方塊2810的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2810的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊2815處,無線設備115可以至少部分地基於量測接收切換命令。方塊2815的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2815的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊2820處,無線設備115可以執行從LAN 440的源AN 405向LAN 440的目標AN 405的切換。方塊2820的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2820的操作的態樣可以被如參考圖18描述的無線設備切換管理器1830執行。
在方塊2825處,無線設備115可以至少部分地基於第一安全金鑰匯出第二安全金鑰。方塊2825的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2825的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。
在方塊2830處,無線設備115可以至少部分地基於第二安全金鑰和針對第二安全金鑰的約束策略,經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2830的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2830的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
在方塊2835處,無線設備115可以經由第二連接利用LAN 440的認證節點執行認證程序以便獲得第三安全金鑰(例如,不受針對第二金鑰的約束策略支配的安全金鑰)。方塊2835的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2835的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。
在方塊2840處,無線設備115可以至少部分地基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2840的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2840的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
圖29圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的切換的方法2900的流程圖。方法2900的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法2900的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215執行(例如,與發射器及/或接收器協調地)。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊2905處,AN 405可以建立與無線設備115的連接。方塊2905的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2905的操作的態樣可以被如參考圖21描述的AN連線管理員2120執行。
在方塊2910處,AN 405可以從LAN 440的第一網路節點接收第一安全金鑰,第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的。方塊2910的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2910的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。
在方塊2915處,AN 405可以對與在無線設備115與LAN 440的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。方塊2915的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2915的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。
在方塊2920處,AN 405可以至少部分地基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰。方塊2920的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2920的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。
在方塊2925處,AN 405可以至少部分地基於第一安全金鑰經由連接在無線設備115與LAN 440之間發送安全的通訊,其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用。方塊2925的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2925的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。
在方塊2930處,AN 405可以至少部分地基於第二安全金鑰經由連接在無線設備115與LAN 440之間發送安全的通訊(例如,不受針對第一安全金鑰的約束策略支配的安全的通訊)。方塊2930的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊2930的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。
圖30圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的切換的方法3000的流程圖。方法3000的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法3000的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215執行(例如,與發射器及/或接收器協調地)。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊3005處,AN 405可以建立與無線設備115的連接。方塊3005的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3005的操作的態樣可以被如參考圖21描述的AN連線管理員2120執行。
在方塊3010處,AN 405可以從LAN 440的第一網路節點接收第一安全金鑰,第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的。方塊3010的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3010的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。
在方塊3015處,AN 405可以對與在無線設備115與LAN 440的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。方塊3015的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3015的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。
在方塊3020處,AN 405可以至少部分地基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰。方塊3020的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3020的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。
在方塊3025處,AN 405可以至少部分地基於第一安全金鑰經由連接在無線設備115與LAN 440之間發送安全的通訊,其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用。方塊3025的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3025的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。
在方塊3030處,AN 405可以至少部分地基於第二安全金鑰匯出第三安全金鑰(例如,不受針對第一安全金鑰的約束策略支配的另一個安全金鑰)。方塊3035的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3035的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。
在方塊3035處,AN 405可以至少部分地基於第三安全金鑰經由連接在無線設備115與LAN 440之間發送安全的通訊(例如,不受針對第一安全金鑰的約束策略支配的安全的通訊)。方塊3030的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3030的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。
圖31圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3100的流程圖。方法3100的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法3100的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215執行(例如,與發射器及/或接收器協調地)。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊3105處,AN 405可以經由第一連接從無線設備115接收關於認證的FT參數的集合。方塊3105的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3105的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3110處,AN 405可以對FT參數的集合進行快取記憶體以便在切換期間進行轉發。方塊3110的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3110的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3115處,AN 405可以在切換期間向LAN 440的目標AN 405發送FT參數的集合。方塊3115的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3115的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3120處,AN 405可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是至少部分地基於FT參數的集合的。方塊3120的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3120的操作的態樣可以被如參考圖21描述的AN切換管理器2150執行。
在方塊3125處,AN 405可以經由第一連接向無線設備115發送對於執行向目標AN 405的切換的命令,命令包括安全參數的集合。方塊3125的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3125的操作的態樣可以被如參考圖21描述的AN切換管理器2150執行。
圖32圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3200的流程圖。方法3200的操作可以被如本文中描述的AN 405或者其組件實現。例如,方法3200的操作可以被如參考圖20直到22描述的AN通訊管理器2015、2115或者2215執行(例如,與發射器及/或接收器協調地)。在某些實例中,AN 405可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,AN 405可以使用專用硬體執行下面描述的功能的態樣。
在方塊3205處,AN 405可以經由第一連接從無線設備115接收關於認證的FT參數的集合。方塊3205的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3205的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3210處,AN 405可以對FT參數的集合進行快取記憶體以便在切換期間進行轉發。方塊3210的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3210的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3215處,AN 405可以經由第一連接交換至少一個隨機參數。方塊3215的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3215的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊3220處,AN 405可以在切換期間向LAN 440的目標AN 405發送FT參數的集合。方塊3220的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3220的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。
在方塊3225處,AN 405可以向目標AN 405發送至少一個隨機參數。方塊3225的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3225的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。
在方塊3230處,AN 405可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是至少部分地基於FT參數的集合和至少一個隨機參數的。方塊3230的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3230的操作的態樣可以被如參考圖21描述的AN切換管理器2150執行。
在方塊3235處,AN 405可以經由第一連接向無線設備115發送對於執行向目標AN 405的切換的命令,命令包括安全參數的集合。方塊3240的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3240的操作的態樣可以被如參考圖21描述的AN切換管理器2150執行。
圖33圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3300的流程圖。方法3300的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法3300的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915(例如,與發射器及/或接收器協調地)執行。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊3305處,無線設備115可以經由第一連接向LAN 440的源AN 405發送用於在用於切換的源AN 405處進行快取記憶體的關於認證的FT參數的集合。方塊3305的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3305的操作的態樣可以被如參考圖18描述的無線設備FT管理器1845執行。
在方塊3310處,無線設備115可以經由第一連接從源AN 405接收用於決定用於切換的AN 405的配置。方塊3310的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3310的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊3315處,無線設備115可以經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的切換的命令,命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是至少部分地基於FT參數的集合的。方塊3315的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3315的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊3320處,無線設備為115可以至少部分地基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。方塊3320的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3320的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
圖34圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3400的流程圖。方法3400的操作可以被如本文中描述的無線設備115或者其組件實現。例如,方法3400的操作可以被如參考圖17直到19描述的無線設備通訊管理器1715、1815或者1915(例如,與發射器及/或接收器協調地)執行。在某些實例中,無線設備115可以執行代碼的集合,以便控制設備的功能單元執行下面描述的功能。補充地或者替換地,無線設備115可以使用專用硬體執行下面描述的功能的態樣。
在方塊3405處,無線設備115可以經由第一連接向LAN 440的源AN 405發送用於在用於切換的源AN 405處進行快取記憶體的關於認證的FT參數的集合。方塊3405的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3405的操作的態樣可以被如參考圖18描述的無線設備FT管理器1845執行。
在方塊3410處,無線設備115可以經由第一連接從源AN 405接收用於決定用於切換的AN 405的配置。方塊3410的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3410的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊3415處,無線設備115可以經由第一連接向源AN 405發送包括關於目標AN 405的資訊的量測報告,關於目標AN 405的資訊是至少部分地基於配置的。方塊3415的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3415的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊3420處,無線設備115可以經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的切換的命令,命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合,安全參數的集合是至少部分地基於FT參數的集合的。方塊3420的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3420的操作的態樣可以被如參考圖18描述的無線設備切換管理器1835執行。
在方塊3425處,無線設備115可以至少部分地基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。方塊3425的操作可以根據參考圖1直到16描述的方法被執行。在具體的實例中,方塊3425的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。
應當指出,上面描述的方法說明了本案內容中描述的技術的可能的實現。在某些實例中,可以組合參考圖23、24、27、28、33或者34描述的方法2300、2400、2700、2800、3300或者3400的態樣。在某些實例中,可以組合方法2500、2600、2900、3000、3100或者3200的態樣。在某些實例中,方法的操作可以按照不同的次序被執行,或者包括不同的操作。在某些實例中,方法中的每種方法的態樣可以包括其他方法的步驟或者態樣或者本文中描述的其他步驟或者技術。
提供本文中的描述內容以便使本發明所屬領域中具有通常知識者能夠製作或者使用本案內容。對本案內容的各種修改對於本發明所屬領域中具有通常知識者將是顯而易見的,並且本文中定義的一般原理可以被應用於其他變型,而不脫離本案內容的範疇。因此,本案內容將不限於本文中描述的實例和設計,而將符合與本文中揭示的原理和新穎特徵一致的最寬範疇。
結合附圖在本文中闡述的描述內容描述了實例配置,而不代表可以被實現或者落在請求項的範疇內的全部實例。本文中使用的術語「示例性」表示「充當實例、例子或者說明」,而不是「優選的」或者「比其他實例有利的」。出於提供對所描述的技術的理解的目的,詳細描述內容包括具體細節。然而,可以在不具有這些具體細節的情況下實踐這些技術。在某些情況下,以方塊圖形式示出公知的結構和設備,以避免使所描述的實例的概念模糊不清。
如本文中使用的,短語「基於」不應當理解為對條件的封閉集合的引用。例如,被描述為「基於條件A」的示例性特徵可以是基於條件A和條件B兩者的,而不會脫離本案內容的範疇。換句話說,如本文中使用的,短語「基於」應當以與短語「至少部分地基於」相同的方式來理解。
本文中描述的功能可以使用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若使用被處理器執行的軟體來實現,則功能可以作為電腦可讀取媒體上的一或多個指令或者代碼被儲存或者發送。其他實例和實現落在本案內容和所附請求項的範疇內。例如,由於軟體的本質,上面描述的功能可以使用被處理器、硬體、韌體、硬佈線或者這些項中的任意項的組合執行的軟體來實現。實現功能的特徵亦可以在實體上位於各種位置處,包括是分散式的使得功能的部分在不同的(實體)位置處被實現。此外,如本文中(包括在請求項中)使用的,如項目的列表(例如,由諸如是「……中的至少一項」或者「一項或多項」此類短語開頭的項目的列表)中使用的「或者」指示包容性的列表,使得例如A、B或者C中的至少一項的列表表示A或者B或者C或者AB或者AC或者BC或者ABC(亦即,A和B和C)。
電腦可讀取媒體包括非暫時性電腦儲存媒體和通訊媒體兩者,通訊媒體包括任何促進電腦程式從一個地方向另一個地方的傳輸的媒體。非暫時性儲存媒體可以是任何可以被通用或者專用電腦存取的可用媒體。經由實例而非限制,非暫時性電腦可讀取媒體可以包括RAM、ROM、電子可抹除可程式設計唯讀記憶體(EEPROM)、壓縮磁碟(CD)ROM、或者其他光碟儲存裝置、磁性儲存設備或者其他磁性存放裝置或者任何其他的可以被用於攜帶或者儲存採用指令或者資料結構的形式的期望的程式碼單元並且可以被通用或者專用電腦或者通用或者處理器存取的非暫時性媒體。此外,任何連接被恰當地稱為電腦可讀取媒體。例如,若使用同軸線纜、光纖線纜、雙絞線、數位用戶線(DSL)或者諸如是紅外線、無線電和微波此類無線技術從網站、伺服器或者其他遠端源反射軟體,則同軸線纜、光纖線纜、雙絞線、DSL或者諸如是紅外線、無線電和微波此類無線技術被包括在媒體的定義內。如本文中使用的磁碟和光碟包括CD、雷射光碟、光碟、數位多功能光碟(DVD)、軟碟或者藍光光碟,其中磁碟通常磁性地複製資料,而光碟利用鐳射光學地複製資料。以上各項的組合亦被包括在電腦可讀取媒體的範疇內。
本文中描述的技術可以被用於各種無線通訊系統,諸如CDMA、TDMA、FDMA、OFDMA、單載波分頻多工存取(SC-FDMA)和其他系統。經常可互換地使用術語「系統」和「網路」。CDMA系統可以實現諸如是CDMA2000、通用陸地無線電存取(UTRA)等此類無線電技術。CDMA2000覆蓋IS-2000、IS-95和IS-856標準。IS-2000版本0和A通常被稱為CDMA2000 1X、1X等。IS-856(TIA-856)通常被稱為CDMA2000 1xEV-DO、高速封包資料(HRPD)等。UTRA包括寬頻CDMA(WCDMA)和CDMA的其他變型。TDMA系統可以實現諸如是(行動通訊全球系統(GSM))此類無線電技術。OFDMA系統可以實現諸如是超行動寬頻(UMB)、進化型UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等此類無線電技術。UTRA和E-UTRA是通用行動電信系統(通用行動電信系統(UMTS))的一部分。3GPP LTE和LTE-A是使用E-UTRA的UMTS的新版本。在來自名稱為「第三代合作夥伴計畫」(3GPP)的組織的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在來自名稱為「第三代合作夥伴計畫2」(3GPP2)的組織的文件中描述了CDMA2000和UMB。本文中描述的技術可以被用於上面提到的系統和無線電技術以及其他的系統和無線電技術。然而,本文中的描述內容出於實例的目的描述了LTE系統,並且在上面的描述內容的大部分內容中使用了LTE術語,儘管技術是超越LTE應用適用的。
在包括本文中描述的網路的LTE/LTE-A網路中,術語進化型節點B(eNB)可以被一般地用於描述基地台。本文中描述的無線通訊系統或多個無線通訊系統可以包括在其中不同類型的eNB為各種地理區域提供覆蓋的異構的LTE/LTE-A網路。例如,每個eNB或者基地台可以為巨集細胞、小型細胞或者其他類型的細胞提供通訊覆蓋。術語「細胞」是可以取決於上下文被用於描述基地台、與基地台相關聯的載波或者分量載波(CC)或者載波或者基地台的覆蓋區域(例如,扇區等)的3GPP術語。
基地台可以包括或者可以被本發明所屬領域中具有通常知識者稱為基地台收發機、無線電基地台、AP、無線電收發機、節點B、進化型節點B(eNB)、家庭節點B、家庭進化型節點B或者某個其他合適的術語。基地台的地理覆蓋區域可以被劃分成組成該覆蓋區域的僅一部分的扇區。本文中描述的無線通訊系統或多個無線通訊系統可以包括不同類型的基地台(例如,巨集或者小型細胞基地台)。本文中描述的無線設備可以是能夠與包括巨集eNB、小型細胞eNB、中繼基地台等的各種類型的基地台和網路設備通訊的。對於不同的技術,可以存在重疊的地理覆蓋區域。在某些情況下,不同的覆蓋區域可以是與不同的通訊技術相關聯的。在某些情況下,針對一種通訊技術的覆蓋區域可以和與另一種技術相關聯的覆蓋區域重疊。不同的技術可以是與相同的基地台或者與不同的基地台相關聯的。
巨集細胞一般覆蓋相對大的地理區域(例如,半徑為若干公里),並且可以允許由具有對網路提供商的服務訂閱的無線設備執行的不受限的存取。小型細胞是可以在與巨集細胞相同或者不同的(例如,經許可、非許可等)頻帶中操作的、與巨集細胞相比較低功率的基地台。根據各種實例,小型細胞可以包括微微細胞、毫微微細胞和微細胞。例如,微微細胞可以覆蓋小型地理區域,並且可以允許由具有對網路提供商的服務訂閱的無線設備執行的不受限的存取。毫微微細胞亦可以覆蓋小型地理區域(例如,家庭),並且可以允許由具有與毫微微細胞的關聯的無線設備(例如,封閉用戶組(CSG)中的無線設備、家庭中的使用者的無線設備等)執行的受限的存取。用於巨集細胞的eNB可以被稱為巨集eNB。用於小型細胞eNB的可以被稱為小型細胞eNB、微微eNB、毫微微eNB或者家庭eNB。eNB可以支援一或多個(例如,兩個、三個、四個等)細胞(例如,CC)。無線設備可以是能夠與包括巨集eNB、小型細胞eNB、中繼基地台等的各種類型的基地台和網路設備通訊的。
本文中描述的無線通訊系統或多個無線通訊系統可以支援同步的或者非同步的操作。對於同步的操作,基地台可以具有相似的訊框時序,並且可以使來自不同的基地台的傳輸在時間上近似對準。對於非同步的操作,基地台可以具有不同的訊框時序,並且可以不使來自不同的基地台的傳輸在時間上對準。本文中描述的技術可以被用於同步的或者非同步的操作。
本文中描述的DL傳輸亦可以被稱為前向鏈路傳輸,而UL傳輸亦可以被稱為反向鏈路傳輸。例如包括圖1和2的無線通訊系統100和200的本文中描述的每個通訊鏈路可以包括一或多個載波,其中每個載波可以是由多個次載波(例如,不同頻率的波形信號)組成的信號。每個經調制的信號可以在不同的次載波上被發送,並且可以攜帶控制資訊(例如,參考信號、控制通道等)、管理負擔資訊、使用者資料等。本文中描述的通訊鏈路(例如,圖1的通訊鏈路125)可以使用分頻雙工(FDD)(例如,使用配對的頻譜資源)或者分時雙工(TDD)操作(例如,使用不配對的頻譜資源)發送雙向的通訊。可以針對FDD(例如,訊框結構類型1)和TDD(例如,訊框結構類型2)定義訊框結構。
結合本文中的揭示內容描述的各種說明性的方塊和模組可以利用通用處理器、數位訊號處理器(DSP)、ASIC、現場可程式設計閘陣列(FPGA)或者其他可程式設計邏輯裝置、個別閘門或者電晶體邏輯、個別的硬體組件或者被設計為執行本文中描述的功能的其任意組合來實現或者執行。通用處理器可以是微處理器,但替換地,處理器可以是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以被實現為計算設備的組合(例如,DSP與微處理器的組合、多個微處理器、結合DSP核的一或多個微處理器或者任何其他此類配置)。因此,本文中描述的功能可以被至少一個積體電路(IC)上的一或多個其他處理單元(或者核)執行。在各種實例中,可以經由本發明所屬領域中已知的任何方式被程式設計的不同類型的IC可以被使用(例如,結構化/平臺ASIC、FPGA或者另一種半定製的IC)。每個單元的功能亦可以整體上或者部分地利用被體現在記憶體中、被格式化以便被一或多個通用或者專用處理器執行的指令來實現。
在附圖中,相似的組件或者特徵可以具有相同的元件符號。另外,各種相同類型的組件可以經由在元件符號之後跟隨破折號和在相似的組件之間進行區分的第二元件符號來區分。若在說明中使用了僅第一元件符號,則描述內容適用於具有相同的第一元件符號的相似的組件中的任一個組件,而不考慮第二元件符號。
提供本文中的描述內容以便使本發明所屬領域中具有通常知識者能夠製作或者使用本案內容。對本案內容的各種修改對於本發明所屬領域中具有通常知識者將是顯而易見的,並且本文中定義的一般原理可以被應用於其他變型,而不會脫離本案內容的範疇。因此,本案內容不限於本文中描述的實例和設計,而是將符合與本文中揭示的原理和新穎特徵一致的最寬範疇。
100‧‧‧無線通訊系統
105‧‧‧基地台
105-a‧‧‧基地台
110‧‧‧地理覆蓋區域
115‧‧‧無線設備
115-a‧‧‧無線設備
115-b‧‧‧無線設備
115-c‧‧‧無線設備
115-d‧‧‧無線設備
115-e‧‧‧無線設備
115-f‧‧‧無線設備
115-g‧‧‧無線設備
115-h‧‧‧無線設備
115-i‧‧‧無線設備
115-j‧‧‧無線設備
115-k‧‧‧無線設備
115-l‧‧‧無線設備
115-o‧‧‧無線設備
115-p‧‧‧無線設備
125‧‧‧通訊鏈路
130‧‧‧核心網路(CN)
130-a‧‧‧核心網路(CN)
132‧‧‧回載鏈路
134‧‧‧回載鏈路
204‧‧‧RAN
208‧‧‧全球IP網路
210‧‧‧本端IP網路
214‧‧‧本端閘道(L-GW)
242‧‧‧STA
242-a‧‧‧STA
242-b‧‧‧STA
244‧‧‧AP
244-a‧‧‧AP
244-b‧‧‧AP
244-c‧‧‧AP
244-d‧‧‧AP
248‧‧‧AAA
248-b‧‧‧AAA
248-d‧‧‧AAA
300‧‧‧架構
340‧‧‧傳統LAN
340-a‧‧‧傳統LAN
340-b‧‧‧傳統LAN
346‧‧‧LAN DS
346-a‧‧‧LAN DS
346-b‧‧‧LAN DS
400‧‧‧參考架構
405‧‧‧AN
405-a‧‧‧AN
405-b‧‧‧AN
405-c‧‧‧AN
405-d‧‧‧AN
405-e‧‧‧AN
405-f‧‧‧AN
405-g‧‧‧AN
405-h‧‧‧AN
405-i‧‧‧AN
405-j‧‧‧AN
405-k‧‧‧AN
405-l‧‧‧AN
405-m‧‧‧AN
405-n‧‧‧AN
410‧‧‧認證伺服器
410-a‧‧‧認證伺服器
410-b‧‧‧認證伺服器
410-c‧‧‧認證伺服器
410-d‧‧‧認證伺服器
410-e‧‧‧認證伺服器
410-g‧‧‧認證伺服器
440‧‧‧LAN
440-a‧‧‧LAN
440-b‧‧‧LAN
440-c‧‧‧LAN
440-d‧‧‧LAN
440-e‧‧‧LAN
440-f‧‧‧LAN
446‧‧‧LAN DS
446-a‧‧‧LAN DS
446-b‧‧‧LAN DS
446-c‧‧‧LAN DS
500‧‧‧參考架構
600‧‧‧參考架構
700‧‧‧方塊圖
705‧‧‧WLC
805‧‧‧中央建鑰節點
805-a‧‧‧中央建鑰節點
805-b‧‧‧中央建鑰節點
900‧‧‧圖示
905-a‧‧‧協定堆疊
905-b‧‧‧協定堆疊
905-c‧‧‧協定堆疊
905-d‧‧‧協定堆疊
910-a‧‧‧協定堆疊
910-b‧‧‧協定堆疊
910-c‧‧‧協定堆疊
910-d‧‧‧協定堆疊
915-c‧‧‧協定堆疊
915-d‧‧‧協定堆疊
1000‧‧‧圖示
1200‧‧‧圖示
1300‧‧‧訊息流
1305‧‧‧流程
1310‧‧‧流程
1315‧‧‧流程
1320‧‧‧流程
1325‧‧‧流程
1330‧‧‧流程
1335‧‧‧流程
1340‧‧‧流程
1345‧‧‧流程
1350‧‧‧流程
1355‧‧‧流程
1360‧‧‧流程
1365‧‧‧流程
1370‧‧‧流程
1375‧‧‧流程
1380‧‧‧流程
1385‧‧‧流程
1400‧‧‧訊息流
1405‧‧‧流程
1410‧‧‧流程
1415‧‧‧流程
1420‧‧‧流程
1425‧‧‧流程
1427‧‧‧流程
1430‧‧‧流程
1432‧‧‧流程
1435‧‧‧流程
1440‧‧‧流程
1445‧‧‧流程
1450‧‧‧流程
1455‧‧‧流程
1460‧‧‧流程
1465‧‧‧流程
1470‧‧‧流程
1472‧‧‧流程
1475‧‧‧流程
1477‧‧‧流程
1485‧‧‧流程
1487‧‧‧流程
1490‧‧‧流程
1495‧‧‧流程
1497‧‧‧流程
1500‧‧‧訊息流
1505‧‧‧流程
1510‧‧‧流程
1515‧‧‧流程
1520‧‧‧流程
1525‧‧‧流程
1530‧‧‧流程
1535‧‧‧流程
1540‧‧‧流程
1545‧‧‧流程
1550‧‧‧流程
1555‧‧‧流程
1560‧‧‧流程
1565‧‧‧流程
1570‧‧‧流程
1575‧‧‧流程
1577‧‧‧流程
1580‧‧‧流程
1585‧‧‧流程
1590‧‧‧流程
1595‧‧‧流程
1600‧‧‧訊息流
1605‧‧‧流程
1610‧‧‧流程
1615‧‧‧流程
1620‧‧‧流程
1625‧‧‧流程
1630‧‧‧流程
1635‧‧‧流程
1640‧‧‧流程
1645‧‧‧流程
1650‧‧‧流程
1655‧‧‧流程
1660‧‧‧流程
1665‧‧‧流程
1670‧‧‧流程
1675‧‧‧流程
1680‧‧‧流程
1685‧‧‧流程
1690‧‧‧流程
1695‧‧‧流程
1700‧‧‧方塊圖
1705‧‧‧設備
1710‧‧‧接收器
1715‧‧‧無線設備通訊管理器
1720‧‧‧發射器
1800‧‧‧方塊圖
1815‧‧‧無線設備通訊管理器
1820‧‧‧無線設備連線管理員
1825‧‧‧無線設備認證管理器
1830‧‧‧無線設備LAN通訊管理器
1835‧‧‧無線設備切換管理器
1840‧‧‧無線設備金鑰管理器
1845‧‧‧無線設備FT管理器
1850‧‧‧無線設備承載管理器
1900‧‧‧系統
1905‧‧‧設備
1910‧‧‧匯流排
1915‧‧‧無線設備通訊管理器
1920‧‧‧處理器
1925‧‧‧記憶體
1930‧‧‧軟體
1935‧‧‧收發機
1940‧‧‧天線
1945‧‧‧I/O控制器
2000‧‧‧方塊圖
2005‧‧‧設備
2010‧‧‧接收器
2015‧‧‧AN通訊管理器
2020‧‧‧發射器
2100‧‧‧方塊圖
2115‧‧‧AN通訊管理器
2120‧‧‧AN連線管理員
2125‧‧‧AN認證管理器
2130‧‧‧AN認證通訊管理器
2135‧‧‧AN金鑰管理器
2140‧‧‧AN LAN通訊管理器
2145‧‧‧AN FT管理器
2150‧‧‧AN切換管理器
2155‧‧‧AN承載管理器
2160‧‧‧AN認證器
2200‧‧‧系統
2205‧‧‧設備
2210‧‧‧匯流排
2215‧‧‧AN通訊管理器
2220‧‧‧處理器
2225‧‧‧記憶體
2230‧‧‧軟體
2235‧‧‧收發機
2240‧‧‧I/O控制器
2300‧‧‧方法
2305‧‧‧方塊
2310‧‧‧方塊
2315‧‧‧方塊
2320‧‧‧方塊
2400‧‧‧方法
2410‧‧‧方塊
2415‧‧‧方塊
2420‧‧‧方塊
2425‧‧‧方塊
2430‧‧‧方塊
2435‧‧‧方塊
2440‧‧‧方塊
2445‧‧‧方塊
2500‧‧‧方法
2505‧‧‧方塊
2510‧‧‧方塊
2515‧‧‧方塊
2520‧‧‧方塊
2600‧‧‧方法
2605‧‧‧方塊
2610‧‧‧方塊
2615‧‧‧方塊
2620‧‧‧方塊
2625‧‧‧方塊
2630‧‧‧方塊
2700‧‧‧方法
2705‧‧‧方塊
2710‧‧‧方塊
2715‧‧‧方塊
2720‧‧‧方塊
2725‧‧‧方塊
2730‧‧‧方塊
2800‧‧‧方法
2805‧‧‧方塊
2810‧‧‧方塊
2815‧‧‧方塊
2820‧‧‧方塊
2825‧‧‧方塊
2830‧‧‧方塊
2835‧‧‧方塊
2840‧‧‧方塊
2900‧‧‧方法
2905‧‧‧方塊
2910‧‧‧方塊
2915‧‧‧方塊
2920‧‧‧方塊
2925‧‧‧方塊
2930‧‧‧方塊
3000‧‧‧方法
3005‧‧‧方塊
3010‧‧‧方塊
3015‧‧‧方塊
3020‧‧‧方塊
3025‧‧‧方塊
3030‧‧‧方塊
3035‧‧‧方塊
3100‧‧‧方法
3105‧‧‧方塊
3110‧‧‧方塊
3115‧‧‧方塊
3120‧‧‧方塊
3125‧‧‧方塊
3200‧‧‧方法
3205‧‧‧方塊
3210‧‧‧方塊
3215‧‧‧方塊
3220‧‧‧方塊
3225‧‧‧方塊
3230‧‧‧方塊
3235‧‧‧方塊
3300‧‧‧方法
3305‧‧‧方塊
3310‧‧‧方塊
3315‧‧‧方塊
3320‧‧‧方塊
3400‧‧‧方法
3405‧‧‧方塊
3410‧‧‧方塊
3415‧‧‧方塊
3420‧‧‧方塊
3425‧‧‧方塊
105‧‧‧基地台
105-a‧‧‧基地台
110‧‧‧地理覆蓋區域
115‧‧‧無線設備
115-a‧‧‧無線設備
115-b‧‧‧無線設備
115-c‧‧‧無線設備
115-d‧‧‧無線設備
115-e‧‧‧無線設備
115-f‧‧‧無線設備
115-g‧‧‧無線設備
115-h‧‧‧無線設備
115-i‧‧‧無線設備
115-j‧‧‧無線設備
115-k‧‧‧無線設備
115-l‧‧‧無線設備
115-o‧‧‧無線設備
115-p‧‧‧無線設備
125‧‧‧通訊鏈路
130‧‧‧核心網路(CN)
130-a‧‧‧核心網路(CN)
132‧‧‧回載鏈路
134‧‧‧回載鏈路
204‧‧‧RAN
208‧‧‧全球IP網路
210‧‧‧本端IP網路
214‧‧‧本端閘道(L-GW)
242‧‧‧STA
242-a‧‧‧STA
242-b‧‧‧STA
244‧‧‧AP
244-a‧‧‧AP
244-b‧‧‧AP
244-c‧‧‧AP
244-d‧‧‧AP
248‧‧‧AAA
248-b‧‧‧AAA
248-d‧‧‧AAA
300‧‧‧架構
340‧‧‧傳統LAN
340-a‧‧‧傳統LAN
340-b‧‧‧傳統LAN
346‧‧‧LAN DS
346-a‧‧‧LAN DS
346-b‧‧‧LAN DS
400‧‧‧參考架構
405‧‧‧AN
405-a‧‧‧AN
405-b‧‧‧AN
405-c‧‧‧AN
405-d‧‧‧AN
405-e‧‧‧AN
405-f‧‧‧AN
405-g‧‧‧AN
405-h‧‧‧AN
405-i‧‧‧AN
405-j‧‧‧AN
405-k‧‧‧AN
405-l‧‧‧AN
405-m‧‧‧AN
405-n‧‧‧AN
410‧‧‧認證伺服器
410-a‧‧‧認證伺服器
410-b‧‧‧認證伺服器
410-c‧‧‧認證伺服器
410-d‧‧‧認證伺服器
410-e‧‧‧認證伺服器
410-g‧‧‧認證伺服器
440‧‧‧LAN
440-a‧‧‧LAN
440-b‧‧‧LAN
440-c‧‧‧LAN
440-d‧‧‧LAN
440-e‧‧‧LAN
440-f‧‧‧LAN
446‧‧‧LAN DS
446-a‧‧‧LAN DS
446-b‧‧‧LAN DS
446-c‧‧‧LAN DS
500‧‧‧參考架構
600‧‧‧參考架構
700‧‧‧方塊圖
705‧‧‧WLC
805‧‧‧中央建鑰節點
805-a‧‧‧中央建鑰節點
805-b‧‧‧中央建鑰節點
900‧‧‧圖示
905-a‧‧‧協定堆疊
905-b‧‧‧協定堆疊
905-c‧‧‧協定堆疊
905-d‧‧‧協定堆疊
910-a‧‧‧協定堆疊
910-b‧‧‧協定堆疊
910-c‧‧‧協定堆疊
910-d‧‧‧協定堆疊
915-c‧‧‧協定堆疊
915-d‧‧‧協定堆疊
1000‧‧‧圖示
1200‧‧‧圖示
1300‧‧‧訊息流
1305‧‧‧流程
1310‧‧‧流程
1315‧‧‧流程
1320‧‧‧流程
1325‧‧‧流程
1330‧‧‧流程
1335‧‧‧流程
1340‧‧‧流程
1345‧‧‧流程
1350‧‧‧流程
1355‧‧‧流程
1360‧‧‧流程
1365‧‧‧流程
1370‧‧‧流程
1375‧‧‧流程
1380‧‧‧流程
1385‧‧‧流程
1400‧‧‧訊息流
1405‧‧‧流程
1410‧‧‧流程
1415‧‧‧流程
1420‧‧‧流程
1425‧‧‧流程
1427‧‧‧流程
1430‧‧‧流程
1432‧‧‧流程
1435‧‧‧流程
1440‧‧‧流程
1445‧‧‧流程
1450‧‧‧流程
1455‧‧‧流程
1460‧‧‧流程
1465‧‧‧流程
1470‧‧‧流程
1472‧‧‧流程
1475‧‧‧流程
1477‧‧‧流程
1485‧‧‧流程
1487‧‧‧流程
1490‧‧‧流程
1495‧‧‧流程
1497‧‧‧流程
1500‧‧‧訊息流
1505‧‧‧流程
1510‧‧‧流程
1515‧‧‧流程
1520‧‧‧流程
1525‧‧‧流程
1530‧‧‧流程
1535‧‧‧流程
1540‧‧‧流程
1545‧‧‧流程
1550‧‧‧流程
1555‧‧‧流程
1560‧‧‧流程
1565‧‧‧流程
1570‧‧‧流程
1575‧‧‧流程
1577‧‧‧流程
1580‧‧‧流程
1585‧‧‧流程
1590‧‧‧流程
1595‧‧‧流程
1600‧‧‧訊息流
1605‧‧‧流程
1610‧‧‧流程
1615‧‧‧流程
1620‧‧‧流程
1625‧‧‧流程
1630‧‧‧流程
1635‧‧‧流程
1640‧‧‧流程
1645‧‧‧流程
1650‧‧‧流程
1655‧‧‧流程
1660‧‧‧流程
1665‧‧‧流程
1670‧‧‧流程
1675‧‧‧流程
1680‧‧‧流程
1685‧‧‧流程
1690‧‧‧流程
1695‧‧‧流程
1700‧‧‧方塊圖
1705‧‧‧設備
1710‧‧‧接收器
1715‧‧‧無線設備通訊管理器
1720‧‧‧發射器
1800‧‧‧方塊圖
1815‧‧‧無線設備通訊管理器
1820‧‧‧無線設備連線管理員
1825‧‧‧無線設備認證管理器
1830‧‧‧無線設備LAN通訊管理器
1835‧‧‧無線設備切換管理器
1840‧‧‧無線設備金鑰管理器
1845‧‧‧無線設備FT管理器
1850‧‧‧無線設備承載管理器
1900‧‧‧系統
1905‧‧‧設備
1910‧‧‧匯流排
1915‧‧‧無線設備通訊管理器
1920‧‧‧處理器
1925‧‧‧記憶體
1930‧‧‧軟體
1935‧‧‧收發機
1940‧‧‧天線
1945‧‧‧I/O控制器
2000‧‧‧方塊圖
2005‧‧‧設備
2010‧‧‧接收器
2015‧‧‧AN通訊管理器
2020‧‧‧發射器
2100‧‧‧方塊圖
2115‧‧‧AN通訊管理器
2120‧‧‧AN連線管理員
2125‧‧‧AN認證管理器
2130‧‧‧AN認證通訊管理器
2135‧‧‧AN金鑰管理器
2140‧‧‧AN LAN通訊管理器
2145‧‧‧AN FT管理器
2150‧‧‧AN切換管理器
2155‧‧‧AN承載管理器
2160‧‧‧AN認證器
2200‧‧‧系統
2205‧‧‧設備
2210‧‧‧匯流排
2215‧‧‧AN通訊管理器
2220‧‧‧處理器
2225‧‧‧記憶體
2230‧‧‧軟體
2235‧‧‧收發機
2240‧‧‧I/O控制器
2300‧‧‧方法
2305‧‧‧方塊
2310‧‧‧方塊
2315‧‧‧方塊
2320‧‧‧方塊
2400‧‧‧方法
2410‧‧‧方塊
2415‧‧‧方塊
2420‧‧‧方塊
2425‧‧‧方塊
2430‧‧‧方塊
2435‧‧‧方塊
2440‧‧‧方塊
2445‧‧‧方塊
2500‧‧‧方法
2505‧‧‧方塊
2510‧‧‧方塊
2515‧‧‧方塊
2520‧‧‧方塊
2600‧‧‧方法
2605‧‧‧方塊
2610‧‧‧方塊
2615‧‧‧方塊
2620‧‧‧方塊
2625‧‧‧方塊
2630‧‧‧方塊
2700‧‧‧方法
2705‧‧‧方塊
2710‧‧‧方塊
2715‧‧‧方塊
2720‧‧‧方塊
2725‧‧‧方塊
2730‧‧‧方塊
2800‧‧‧方法
2805‧‧‧方塊
2810‧‧‧方塊
2815‧‧‧方塊
2820‧‧‧方塊
2825‧‧‧方塊
2830‧‧‧方塊
2835‧‧‧方塊
2840‧‧‧方塊
2900‧‧‧方法
2905‧‧‧方塊
2910‧‧‧方塊
2915‧‧‧方塊
2920‧‧‧方塊
2925‧‧‧方塊
2930‧‧‧方塊
3000‧‧‧方法
3005‧‧‧方塊
3010‧‧‧方塊
3015‧‧‧方塊
3020‧‧‧方塊
3025‧‧‧方塊
3030‧‧‧方塊
3035‧‧‧方塊
3100‧‧‧方法
3105‧‧‧方塊
3110‧‧‧方塊
3115‧‧‧方塊
3120‧‧‧方塊
3125‧‧‧方塊
3200‧‧‧方法
3205‧‧‧方塊
3210‧‧‧方塊
3215‧‧‧方塊
3220‧‧‧方塊
3225‧‧‧方塊
3230‧‧‧方塊
3235‧‧‧方塊
3300‧‧‧方法
3305‧‧‧方塊
3310‧‧‧方塊
3315‧‧‧方塊
3320‧‧‧方塊
3400‧‧‧方法
3405‧‧‧方塊
3410‧‧‧方塊
3415‧‧‧方塊
3420‧‧‧方塊
3425‧‧‧方塊
圖1圖示根據本案內容的各種態樣的無線通訊系統的實例;
圖2圖示根據本案內容的各種態樣的用於經由蜂巢RAT連接到全球和本端IP網路的無線通訊系統的實例;
圖3圖示根據本案內容的各種態樣的針對對傳統LAN的傳統存取的架構;
圖4圖示根據本案內容的各種態樣的針對對LAN的基於蜂巢RAT的存取的參考架構;
圖5圖示根據本案內容的各種態樣的針對對傳統LAN的基於Wi-Fi的傳統存取的認證的參考架構;
圖6圖示根據本案內容的各種態樣的針對對LAN的基於蜂巢RAT的存取的切換的參考架構;
圖7圖示根據本案內容的各種態樣的針對使用FT技術對傳統LAN的基於Wi-Fi的傳統存取的參考架構;
圖8圖示根據本案內容的各種態樣的針對使用FT技術對LAN的基於蜂巢RAT的存取的參考架構;
圖9圖示對根據本案內容的各種態樣的可以被用於支援基於蜂巢RAT的LAN存取的C平面功能的協定堆疊的說明;
圖10圖示對根據本案內容的各種態樣的可以被用於支援基於蜂巢RAT的LAN存取的U平面功能的協定堆疊的說明;
圖11圖示對根據本案內容的各種態樣的可以被用於與使用IEEE 802.1x的認證伺服器的經由C平面的經由EAP的認證的協定堆疊的圖示;
圖12圖示根據本案內容的各種態樣的可以被用於經由U平面的經由EAP的認證的協定堆疊;
圖13圖示根據本案內容的各種態樣的用於建立無線設備與LAN之間的經由AN的安全連接的實例訊息流;
圖14圖示根據本案內容的各種態樣的用於執行具有與LAN的安全連接的無線設備的從源AN到目標AN的切換的實例訊息流;
圖15圖示根據本案內容的各種態樣的用於建立無線設備與LAN之間的安全連接的實例訊息流;
圖16圖示根據本案內容的各種態樣的用於執行與LAN的安全連接的從源AN到目標AN的快速過渡的實例訊息流;
圖17圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的方塊圖;
圖18圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的無線設備通訊管理器的方塊圖;
圖19圖示根據本案內容的各種態樣的包括支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的系統的圖;
圖20圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的方塊圖;
圖21圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的AN通訊管理器的方塊圖;
圖22圖示根據本案內容的各種態樣的包括支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的系統的圖;
圖23直到26圖示說明根據本案內容的各種態樣的支援建立無線設備與LAN之間的經由AN的安全連接的方法的流程圖;
圖27直到30圖示說明根據本案內容的各種態樣的支援無線設備的從與LAN的源AN的連接向與LAN的目標AN的連接的切換的方法的流程圖;及
圖31直到34圖示說明根據本案內容的各種態樣的支援無線設備的從與LAN的源AN的連接向與LAN的目標AN的連接的快速過渡的方法的流程圖。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
115-c‧‧‧無線設備
405-a‧‧‧AN
405-b‧‧‧AN
410-a‧‧‧認證伺服器
440-a‧‧‧LAN
446-a‧‧‧LAN DS
600‧‧‧參考架構
Claims (48)
- 一種用於一無線設備處的無線通訊的方法,該方法包括以下步驟: 至少部分地基於一第一安全金鑰,經由與一區域網路(LAN)的一源存取節點(AN)的一第一連接與該LAN安全地通訊; 執行從該LAN的該源AN向該LAN的一目標AN的一切換; 至少部分地基於該第一安全金鑰匯出一第二安全金鑰; 至少部分地基於該第二安全金鑰和針對該第二安全金鑰的一約束策略,經由與該LAN的該目標AN的一第二連接與該LAN安全地通訊; 經由該第二連接利用該LAN的一認證節點執行一認證程序,以便獲得一第三安全金鑰;及 至少部分地基於該第三安全金鑰,經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
- 根據請求項1之方法,其中針對該第二安全金鑰的該約束策略包括以下各項中的至少一項:在其內該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一時間間隔;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的封包的一數量;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一或多個無線電承載的一集合;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一無線電承載類型;或者其一組合。
- 根據請求項1之方法,其中至少部分地基於該第三安全金鑰與該LAN安全地通訊在與至少部分地基於該第二安全金鑰與該LAN安全地通訊不同的一時間處發生。
- 根據請求項1之方法,亦包括以下步驟: 從至少部分地基於該第二安全金鑰與該LAN安全地通訊切換到至少部分地基於該第三安全金鑰與該LAN安全地通訊,該切換是至少部分地基於以下各項的:從該目標AN接收的一配置訊息、該第三安全金鑰的一可用性或者其一組合。
- 根據請求項1之方法,亦包括以下步驟: 在以下各項中的至少一項中接收針對該第二安全金鑰的該約束策略:從該LAN接收的配置資訊、從該LAN的該源AN接收的一切換命令訊息、從該目標AN接收的配置資訊或者其一組合。
- 根據請求項1之方法,其中該認證程序是在一第一無線電承載上被執行的,並且至少部分地基於該第三安全金鑰與該LAN的安全通訊是在一第二無線電承載上被執行的,該第二無線電承載是與該第一無線電承載不同的。
- 根據請求項6之方法,其中該第一無線電承載包括以下各項中的至少一項:一訊號傳遞無線電承載、一資料無線電承載或者其一組合。
- 根據請求項1之方法,其中該認證節點包括一認證伺服器,並且該認證程序是至少部分地基於一可擴展認證協定(EAP)的。
- 根據請求項1之方法,其中該認證節點包括一無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:一懇求者金鑰保存者辨識符(ID)、一認證器金鑰保存者ID、一成對主金鑰(PMK)ID、一PMK名稱或者其一組合。
- 根據請求項1之方法,亦包括以下步驟: 從該LAN的該源AN接收針對該目標AN的配置資訊;及 至少部分地基於該所接收的針對該LAN的該目標AN的配置資訊來建立與該LAN的該目標AN的該第二連接。
- 根據請求項1之方法,亦包括以下步驟: 量測從該LAN的該目標AN接收的至少一個信號;及 至少部分地基於該量測接收一切換命令。
- 根據請求項1之方法,其中該第一連接和該第二連接是至少部分地基於一蜂巢無線電存取技術(RAT)的。
- 一種用於一無線設備處的無線通訊的裝置,該裝置包括: 一處理器; 與該處理器電子地通訊的記憶體;及 被儲存在該記憶體中並且在被該處理器執行時可操作為使該裝置執行以下操作的指令: 至少部分地基於一第一安全金鑰,經由與一區域網路(LAN)的一源存取節點(AN)的一第一連接與該LAN安全地通訊; 執行從該LAN的該源AN向該LAN的一目標AN的一切換; 至少部分地基於該第一安全金鑰匯出一第二安全金鑰; 至少部分地基於該第二安全金鑰和針對該第二安全金鑰的一約束策略,經由與該LAN的該目標AN的一第二連接與該LAN安全地通訊; 經由該第二連接利用該LAN的一認證節點執行一認證程序以便獲得一第三安全金鑰;及 至少部分地基於該第三安全金鑰,經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
- 根據請求項13之裝置,其中針對該第二安全金鑰的該約束策略包括以下各項中的至少一項:在其內該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一時間間隔;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的封包的一數量;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一或多個無線電承載的一集合;對於其該第二安全金鑰對於經由該第二連接與該LAN安全地通訊來說有效的一無線電承載類型;或者其一組合。
- 根據請求項13之裝置,其中該等用於至少部分地基於該第三安全金鑰與該LAN安全地通訊的指令是在與該用於至少部分地基於該第二安全金鑰與該LAN安全地通訊的指令不同的一時間處可操作的。
- 根據請求項13之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 從至少部分地基於該第二安全金鑰與該LAN安全地通訊切換到至少部分地基於該第三安全金鑰與該LAN安全地通訊,該切換是至少部分地基於以下各項的:從該目標AN接收的一配置訊息、該第三安全金鑰的一可用性或者其一組合。
- 根據請求項13之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 在以下各項中的至少一項中接收針對該第二安全金鑰的該約束策略:從該LAN接收的配置資訊、從該LAN的該源AN接收的切換命令訊息、從該目標AN接收的配置資訊或者其一組合。
- 根據請求項13之裝置,其中該認證程序是在一第一無線電承載上被執行的,並且至少部分地基於該第三安全金鑰與該LAN的安全通訊是在一第二無線電承載上被執行的,該第二無線電承載是與該第一無線電承載不同的。
- 根據請求項18之裝置,其中該第一無線電承載包括以下各項中的至少一項:一訊號傳遞無線電承載、一資料無線電承載或者其一組合。
- 根據請求項13之裝置,其中該認證節點包括一認證伺服器,並且該認證程序是至少部分地基於一可擴展認證協定(EAP)的。
- 根據請求項13之裝置,其中該認證節點包括一無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:一懇求者金鑰保存者辨識符(ID)、一認證器金鑰保存者ID、一成對主金鑰(PMK)ID、一PMK名稱或者其一組合。
- 根據請求項13之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 從該LAN的該源AN接收針對該目標AN的配置資訊;及 至少部分地基於該所接收的針對該LAN的該目標AN的配置資訊建立與該LAN的該目標AN的該第二連接。
- 根據請求項13之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 量測從該LAN的該目標AN接收的至少一個信號;及 至少部分地基於該量測接收一切換命令。
- 根據請求項13之裝置,其中該第一連接和該第二連接是至少部分地基於一蜂巢無線電存取技術(RAT)的。
- 一種用於一無線設備處的無線通訊的裝置,該裝置包括: 用於至少部分地基於一第一安全金鑰,經由與一區域網路(LAN)的一源存取節點(AN)的一第一連接與該LAN安全地通訊的單元; 用於執行從該LAN的該源AN向該LAN的一目標AN的一切換的單元; 用於至少部分地基於該第一安全金鑰匯出一第二安全金鑰的單元; 用於至少部分地基於該第二安全金鑰和針對該第二安全金鑰的一約束策略,經由與該LAN的該目標AN的一第二連接與該LAN安全地通訊的單元; 用於經由該第二連接利用該LAN的一認證節點執行一認證程序以便獲得一第三安全金鑰的單元;及 用於至少部分地基於該第三安全金鑰,經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊的單元。
- 一種儲存用於一無線設備處的無線通訊的電腦可執行代碼的非暫時性電腦可讀取媒體,該代碼是可執行為執行以下操作的: 至少部分地基於一第一安全金鑰,經由與一區域網路(LAN)的一源存取節點(AN)的一第一連接與該LAN安全地通訊; 執行從該LAN的該源AN向該LAN的一目標AN的一切換; 至少部分地基於該第一安全金鑰匯出一第二安全金鑰; 至少部分地基於該第二安全金鑰和針對該第二安全金鑰的一約束策略,經由與該LAN的該目標AN的一第二連接與該LAN安全地通訊; 經由該第二連接利用該LAN的一認證節點執行一認證程序以便獲得一第三安全金鑰;及 至少部分地基於該第三安全金鑰,經由與該LAN的該目標AN的該第二連接與該LAN安全地通訊。
- 一種用於一區域網路(LAN)的一存取節點(AN)處的無線通訊的方法,該方法包括以下步驟: 建立與一無線設備的一連接; 從該LAN的一第一網路節點接收一第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的一約束策略相關聯的; 對與在該無線設備與該LAN的一第二網路節點之間被執行的一認證程序相關聯的認證資訊進行中繼; 至少部分地基於該所中繼的認證資訊從該LAN的該第二網路節點接收一第二安全金鑰; 至少部分地基於該第一安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及 至少部分地基於該第二安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊。
- 根據請求項27之方法,其中針對該第一安全金鑰的該約束策略包括以下各項中的至少一項:在其內該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一時間間隔;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的封包的一數量;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一或多個無線電承載的一集合;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一無線電承載類型;或者其一組合。
- 根據請求項27之方法,亦包括以下步驟: 從至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊切換到至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,該切換是至少部分地基於以下各項的:針對該第一安全金鑰的該約束策略、該第二安全金鑰的一可用性或者其一組合。
- 根據請求項27之方法,其中該認證程序是在與該連接相關聯的一第一無線電承載上被執行的,並且該安全的通訊是在與該連接相關聯的一第二無線電承載上被發送的,與該連接相關聯的該第二無線電承載是不同於與該連接相關聯的該第一無線電承載的。
- 根據請求項30之方法,其中與該連接相關聯的該第一無線電承載包括以下各項中的至少一項:一訊號傳遞無線電承載、一資料無線電承載或者其一組合。
- 根據請求項27之方法,亦包括以下步驟: 至少部分地基於該第二安全金鑰匯出一第三安全金鑰。
- 根據請求項27之方法,亦包括以下步驟: 將針對該第一安全金鑰的該約束策略發送給以下各項中的至少一項:該第一網路節點、該無線設備或者其一組合。
- 根據請求項27之方法,其中該第二網路節點包括一無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:一懇求者金鑰保存者辨識符(ID)、一認證器金鑰保存者ID、一成對主金鑰(PMK)ID、一PMK名稱或者其一組合。
- 根據請求項27之方法,其中該第二節點包括一認證伺服器,並且該認證程序是至少部分地基於一可擴展認證協定(EAP)的。
- 根據請求項27之方法,其中該連接是至少部分地基於一蜂巢無線電存取技術(RAT)的。
- 一種用於一區域網路(LAN)的一存取節點(AN)處的無線通訊的裝置,該裝置包括: 一處理器; 記憶體,其與該處理器電子地通訊;及 指令,其被儲存在該記憶體中,並且在被該處理器執行時可操作為使該裝置執行以下操作: 建立與一無線設備的一連接; 從該LAN的一第一網路節點接收一第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的一約束策略相關聯的; 對與在該無線設備與該LAN的一第二網路節點之間被執行的一認證程序相關聯的認證資訊進行中繼; 至少部分地基於該所中繼的認證資訊從該LAN的該第二網路節點接收一第二安全金鑰; 至少部分地基於該第一安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及 至少部分地基於該第二安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊。
- 根據請求項37之裝置,其中針對該第一安全金鑰的該約束策略包括以下各項中的至少一項:在其內該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一時間間隔;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的封包的一數量;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一或多個無線電承載的一集合;對於其該第一安全金鑰對於該無線設備經由該連接與該LAN安全地通訊來說有效的一無線電承載類型;或者其一組合。
- 根據請求項37之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 從至少部分地基於該第一安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊切換到至少部分地基於該第二安全金鑰經由該連接在該無線設備與該LAN之間發送安全的通訊,該切換是至少部分地基於以下各項的:針對該第一安全金鑰的該約束策略、該第二安全金鑰的一可用性或者其一組合。
- 根據請求項37之裝置,其中該認證程序是在與該連接相關聯的一第一無線電承載上被執行的,並且該安全的通訊是在與該連接相關聯的一第二無線電承載上被發送的,與該連接相關聯的該第二無線電承載是不同於與該連接相關聯的該第一無線電承載的。
- 根據請求項40之裝置,其中與該連接相關聯的該第一無線電承載包括以下各項中的至少一項:一訊號傳遞無線電承載、一資料無線電承載或者其一組合。
- 根據請求項37之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 至少部分地基於該第二安全金鑰匯出一第三安全金鑰。
- 根據請求項37之裝置,其中該等指令是可操作為使該裝置執行以下操作的: 將針對該第一安全金鑰的該約束策略發送給以下各項中的至少一項:該第一網路節點、該無線設備或者其一組合。
- 根據請求項37之裝置,其中該第二網路節點包括一無線LAN控制器,並且該認證程序是至少部分地基於以下各項的:一懇求者金鑰保存者辨識符(ID)、一認證器金鑰保存者ID、一成對主金鑰(PMK)ID、一PMK名稱或者其一組合。
- 根據請求項37之裝置,其中該第二節點包括一認證伺服器,並且該認證程序是至少部分地基於一可擴展認證協定(EAP)的。
- 根據請求項37之裝置,其中該連接是至少部分地基於一蜂巢無線電存取技術(RAT)的。
- 一種用於一區域網路(LAN)的一存取節點(AN)處的無線通訊的裝置,該裝置包括: 用於建立與一無線設備的一連接的單元; 用於從該LAN的一第一網路節點接收一第一安全金鑰的單元,該第一安全金鑰是與針對該第一安全金鑰的一約束策略相關聯的; 用於對與在該無線設備與該LAN的一第二網路節點之間被執行的一認證程序相關聯的認證資訊進行中繼的單元; 用於至少部分地基於該所中繼的認證資訊從該LAN的該第二網路節點接收一第二安全金鑰的單元; 用於至少部分地基於該第一安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊的單元,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及 用於至少部分地基於該第二安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊的單元。
- 一種儲存用於一區域網路(LAN)的一存取節點(AN)處的無線通訊的電腦可執行代碼的非暫時性電腦可讀取媒體,該代碼是可執行為執行以下操作的: 建立與一無線設備的一連接; 從該LAN的一第一網路節點接收一第一安全金鑰,該第一安全金鑰是與針對該第一安全金鑰的一約束策略相關聯的; 對與在該無線設備與該LAN的一第二網路節點之間被執行的一認證程序相關聯的認證資訊進行中繼; 至少部分地基於該所中繼的認證資訊從該LAN的該第二網路節點接收一第二安全金鑰; 至少部分地基於該第一安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊,其中對該第一安全金鑰的使用是經由針對該第一安全金鑰的該約束策略決定的;及 至少部分地基於該第二安全金鑰,經由該連接在該無線設備與該LAN之間發送安全的通訊。
Applications Claiming Priority (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662371650P | 2016-08-05 | 2016-08-05 | |
| US201662371586P | 2016-08-05 | 2016-08-05 | |
| US201662371593P | 2016-08-05 | 2016-08-05 | |
| US62/371,586 | 2016-08-05 | ||
| US62/371,593 | 2016-08-05 | ||
| US62/371,650 | 2016-08-05 | ||
| US15/448,304 | 2017-03-02 | ||
| US15/448,304 US10624006B2 (en) | 2016-08-05 | 2017-03-02 | Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201806437A true TW201806437A (zh) | 2018-02-16 |
| TWI744357B TWI744357B (zh) | 2021-11-01 |
Family
ID=61069716
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106124083A TWI744357B (zh) | 2016-08-05 | 2017-07-19 | 用於無線設備與區域網路之間的連接的從源存取節點向目標存取節點的切換的技術 |
| TW106124094A TWI746598B (zh) | 2016-08-05 | 2017-07-19 | 用於建立無線設備與區域網路之間的經由存取節點的安全連接的技術 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106124094A TWI746598B (zh) | 2016-08-05 | 2017-07-19 | 用於建立無線設備與區域網路之間的經由存取節點的安全連接的技術 |
Country Status (5)
| Country | Link |
|---|---|
| US (3) | US10560879B2 (zh) |
| EP (3) | EP3494727B1 (zh) |
| CN (3) | CN109496449B (zh) |
| TW (2) | TWI744357B (zh) |
| WO (3) | WO2018026550A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI694342B (zh) * | 2018-03-23 | 2020-05-21 | 香港商阿里巴巴集團服務有限公司 | 一種資料快取方法、裝置及系統 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018008983A1 (en) * | 2016-07-05 | 2018-01-11 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| US10560879B2 (en) | 2016-08-05 | 2020-02-11 | Qualcomm Incorporated | Techniques for establishing a secure connection between a wireless device and a local area network via an access node |
| EP3541116B1 (en) * | 2016-11-16 | 2021-04-28 | Huawei Technologies Co., Ltd. | Data migration method and device |
| WO2018124761A1 (ko) * | 2016-12-29 | 2018-07-05 | 엘지전자 주식회사 | 무선 통신 시스템에서 빔을 지원하는 방법 및 장치 |
| RU2733275C1 (ru) * | 2017-02-21 | 2020-10-01 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ и устройства для двойной соединяемости между оборудованием пользователя с двойным стеком протоколов и двумя блоками основной полосы частот телекоммуникационной сети радиодоступа |
| WO2018172548A1 (en) * | 2017-03-24 | 2018-09-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Qos flows inactivity counters |
| US10645557B2 (en) * | 2017-04-04 | 2020-05-05 | Dell Products L.P. | Transferable ownership tokens for discrete, identifiable devices |
| EP4167678A1 (en) * | 2017-07-20 | 2023-04-19 | Huawei International Pte. Ltd. | Network security management method and apparatus |
| US11071063B2 (en) * | 2017-07-23 | 2021-07-20 | Ali Atefi | Apparatuses, methods, and computer-readable medium for communication in a wireless local area network |
| EP3648492B1 (en) * | 2017-07-27 | 2021-10-06 | Huawei Technologies Co., Ltd. | Cell switching method and device |
| WO2019066692A1 (en) * | 2017-09-26 | 2019-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | MANAGING SECURITY CONTEXTS AND PROVIDING KEY DERIVATION DURING INTERCELLULAR TRANSFER IN A WIRELESS COMMUNICATION SYSTEM |
| US11129017B2 (en) * | 2017-09-28 | 2021-09-21 | Futurewei Technologies, Inc. | System and method for security activation with session granularity |
| EP3713374A4 (en) * | 2017-11-24 | 2020-09-30 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | METHOD OF ACCESSING A WIRELESS LOCAL NETWORK, TERMINAL DEVICE, AND NETWORK DEVICE |
| JP7034682B2 (ja) * | 2017-11-27 | 2022-03-14 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| US11039309B2 (en) * | 2018-02-15 | 2021-06-15 | Huawei Technologies Co., Ltd. | User plane security for disaggregated RAN nodes |
| MX2021003487A (es) * | 2018-09-28 | 2021-09-10 | Zte Corp | Sistemas y métodos para la gestión de control de recursos de radio en una red compartida. |
| KR102655629B1 (ko) * | 2018-10-26 | 2024-04-08 | 삼성전자주식회사 | 이동 통신 시스템에서 핸드오버를 수행하는 방법 및 장치 |
| CN111464572B (zh) * | 2019-01-18 | 2021-09-07 | 华为技术有限公司 | 一种会话配置方法及装置 |
| US11246028B2 (en) | 2019-03-14 | 2022-02-08 | Cisco Technology, Inc. | Multiple authenticated identities for a single wireless association |
| US11228434B2 (en) | 2019-03-20 | 2022-01-18 | Zettaset, Inc. | Data-at-rest encryption and key management in unreliably connected environments |
| US11496895B2 (en) * | 2019-03-27 | 2022-11-08 | At&T Intellectual Property I, L.P. | Facilitation of authentication management for autonomous vehicles |
| US11329990B2 (en) * | 2019-05-17 | 2022-05-10 | Imprivata, Inc. | Delayed and provisional user authentication for medical devices |
| US11265709B2 (en) | 2019-08-08 | 2022-03-01 | Zettaset, Inc. | Efficient internet-of-things (IoT) data encryption/decryption |
| US20210105690A1 (en) * | 2019-10-03 | 2021-04-08 | Google Llc | Conditional handover management |
| US11777935B2 (en) * | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| US11706619B2 (en) * | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| US11765581B2 (en) * | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| KR102443464B1 (ko) * | 2020-11-11 | 2022-09-15 | 한국철도기술연구원 | 비면허대역 통신시스템에서 저지연 핸드오버 지원방법 및 장치 |
| CN112888023B (zh) * | 2021-01-27 | 2022-06-03 | 重庆邮电大学 | 基于链路冲突度与截止时间比例的工业物联网实时调度方法 |
| US11812411B2 (en) * | 2021-03-10 | 2023-11-07 | Qualcomm Incorporated | Systems and methods of vehicle-to-everything (V2X) security |
| US11800573B2 (en) * | 2021-04-09 | 2023-10-24 | Qualcomm Incorporated | Disaggregated UE |
| US11764912B2 (en) * | 2021-05-26 | 2023-09-19 | Cisco Technology, Inc. | Leader access point acknowledgment using shortened SIFS relative to follower access point in a WiFi network |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0004178D0 (en) * | 2000-02-22 | 2000-04-12 | Nokia Networks Oy | Integrity check in a communication system |
| US7346772B2 (en) | 2002-11-15 | 2008-03-18 | Cisco Technology, Inc. | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| JP3961462B2 (ja) | 2003-07-30 | 2007-08-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータ装置、無線lanシステム、プロファイルの更新方法、およびプログラム |
| WO2005027556A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Selection of a target network for a seamless handover from a plurality of wireless networks |
| WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
| US8639251B2 (en) | 2004-03-30 | 2014-01-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods of and apparatuses for cell-differentiated handover in a mobile communications systems |
| US8248915B2 (en) * | 2005-12-30 | 2012-08-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Redundant session information for a distributed network |
| JP5059096B2 (ja) * | 2006-03-31 | 2012-10-24 | サムスン エレクトロニクス カンパニー リミテッド | アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法 |
| US8311512B2 (en) | 2007-06-21 | 2012-11-13 | Qualcomm Incorporated | Security activation in wireless communications networks |
| US8943552B2 (en) | 2009-04-24 | 2015-01-27 | Blackberry Limited | Methods and apparatus to discover authentication information in a wireless networking environment |
| CN101873655B (zh) * | 2009-04-24 | 2015-06-03 | 中兴通讯股份有限公司 | 用户终端切换时应对无线链路失败的处理方法与装置 |
| CN102056159B (zh) * | 2009-11-03 | 2014-04-02 | 华为技术有限公司 | 一种中继系统的安全密钥获取方法、装置 |
| US9319880B2 (en) * | 2010-09-15 | 2016-04-19 | Intel Corporation | Reformatting data to decrease bandwidth between a video encoder and a buffer |
| KR20120071456A (ko) | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 사물 통신 단말을 위한 호 처리 방법 |
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| US9998944B2 (en) | 2011-04-29 | 2018-06-12 | Intel Corporation | System and method of channel control in a wireless communication system |
| CN102833741B (zh) * | 2011-06-13 | 2017-03-15 | 中兴通讯股份有限公司 | 一种安全参数修改方法及基站 |
| US9043873B1 (en) | 2012-02-01 | 2015-05-26 | Sprint Spectrum L.P. | Method and apparatus for rejecting untrusted network |
| US9060028B1 (en) | 2012-02-01 | 2015-06-16 | Sprint Spectrum L.P. | Method and apparatus for rejecting untrusted network |
| US9161281B2 (en) | 2012-06-08 | 2015-10-13 | Blackberry Limited | Method and apparatus for multi-rat transmission |
| US9538416B2 (en) | 2012-08-22 | 2017-01-03 | Nokia Solutions And Networks Oy | Handling radio link failure |
| US9655012B2 (en) * | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
| US9609566B2 (en) | 2014-06-03 | 2017-03-28 | Intel Corporation | Radio resource control (RRC) protocol for integrated WLAN/3GPP radio access technologies |
| US9055062B1 (en) | 2014-08-08 | 2015-06-09 | Google Inc. | Per-user wireless traffic handling |
| US20160127903A1 (en) | 2014-11-05 | 2016-05-05 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| US10045261B2 (en) * | 2014-12-10 | 2018-08-07 | Intel Corporation | Methods, systems, and devices for handover in multi-cell integrated networks |
| US10560879B2 (en) | 2016-08-05 | 2020-02-11 | Qualcomm Incorporated | Techniques for establishing a secure connection between a wireless device and a local area network via an access node |
-
2017
- 2017-03-02 US US15/448,322 patent/US10560879B2/en active Active
- 2017-03-02 US US15/448,329 patent/US10638388B2/en active Active
- 2017-03-02 US US15/448,304 patent/US10624006B2/en active Active
- 2017-07-19 TW TW106124083A patent/TWI744357B/zh active
- 2017-07-19 TW TW106124094A patent/TWI746598B/zh active
- 2017-07-21 WO PCT/US2017/043355 patent/WO2018026550A1/en active Search and Examination
- 2017-07-21 EP EP17746609.1A patent/EP3494727B1/en active Active
- 2017-07-21 EP EP17746327.0A patent/EP3494721B1/en active Active
- 2017-07-21 CN CN201780046238.XA patent/CN109496449B/zh active Active
- 2017-07-21 EP EP17746336.1A patent/EP3494759B1/en active Active
- 2017-07-21 WO PCT/US2017/043356 patent/WO2018026551A1/en unknown
- 2017-07-21 CN CN201780047135.5A patent/CN109565904B/zh active Active
- 2017-07-21 WO PCT/US2017/043227 patent/WO2018026542A1/en active Search and Examination
- 2017-07-21 CN CN201780047822.7A patent/CN109661829B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI694342B (zh) * | 2018-03-23 | 2020-05-21 | 香港商阿里巴巴集團服務有限公司 | 一種資料快取方法、裝置及系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201806439A (zh) | 2018-02-16 |
| WO2018026550A1 (en) | 2018-02-08 |
| US20180041898A1 (en) | 2018-02-08 |
| EP3494759B1 (en) | 2021-03-31 |
| CN109661829B (zh) | 2022-04-19 |
| CN109565904A (zh) | 2019-04-02 |
| US20180041930A1 (en) | 2018-02-08 |
| WO2018026542A1 (en) | 2018-02-08 |
| EP3494759A1 (en) | 2019-06-12 |
| TWI744357B (zh) | 2021-11-01 |
| EP3494721B1 (en) | 2020-06-24 |
| CN109661829A (zh) | 2019-04-19 |
| CN109496449B (zh) | 2021-06-08 |
| US10638388B2 (en) | 2020-04-28 |
| EP3494727A1 (en) | 2019-06-12 |
| US10624006B2 (en) | 2020-04-14 |
| US10560879B2 (en) | 2020-02-11 |
| EP3494721A1 (en) | 2019-06-12 |
| US20180041490A1 (en) | 2018-02-08 |
| CN109565904B (zh) | 2022-04-08 |
| TWI746598B (zh) | 2021-11-21 |
| CN109496449A (zh) | 2019-03-19 |
| EP3494727B1 (en) | 2020-05-13 |
| WO2018026551A1 (en) | 2018-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI744357B (zh) | 用於無線設備與區域網路之間的連接的從源存取節點向目標存取節點的切換的技術 | |
| TWI763786B (zh) | 無線通訊系統中的使用者平面重定位技術 | |
| US10716002B2 (en) | Method and system for authenticating access in mobile wireless network system | |
| TWI724132B (zh) | 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體 | |
| RU2669780C2 (ru) | Взаимодействие и интеграция различных сетей радиодоступа | |
| JP6715867B2 (ja) | 統合スモールセルネットワークおよびwifiネットワークのための統一認証 | |
| TWI699137B (zh) | 鄰近性服務訊號傳遞協定 | |
| US9510387B2 (en) | Recovering connection in LTE local area network for EPS and local services | |
| TWI745415B (zh) | 基於擴展認證協定(eap)程序的執行來推導蜂巢網路的安全金鑰的技術 | |
| US8731194B2 (en) | Method of establishing security association in inter-rat handover | |
| US20130095789A1 (en) | Access point | |
| US20170339626A1 (en) | Method, apparatus and system | |
| KR20190064587A (ko) | 액세스 네트워크를 통한 코어 네트워크로의 접속성 | |
| CN108293183B (zh) | E-utran与wlan之间的切换 | |
| TW201507526A (zh) | 受信任無線區域網路(wlan)存取場景 | |
| WO2017024662A1 (zh) | 一种接入认证方法及装置 | |
| KR20230008697A (ko) | 비-3gpp 핸드오버 준비 |