TW201806439A - 用於建立無線設備與區域網路之間的經由存取節點的安全連接的技術 - Google Patents

Abstract

描述了用於無線通訊的方法、系統和設備。在一種方法中，無線設備可以建立與區域網路（LAN）的存取節點（AN）的連接。該無線設備亦可以決定執行認證。作為該認證的一部分，該無線設備可以進一步接收對如作為非存取層（NAS）層或者無線電資源控制（RRC）層的用於該認證的協定終點的指示。在另一種方法中，AN可以建立與無線設備的連接。該AN可以決定該無線設備決定了利用被包括在該AN中的認證器執行認證。作為該認證的一部分，該AN可以進一步指示如作為該NAS層或者該RRC層的用於該認證的協定終點。

Description

用於建立無線設備與區域網路之間的經由存取節點的安全連接的技術

本專利申請案主張以下各項的優先權：由Hampel等人於2016年8月5日提出申請的、名稱為「TECHNIQUES FOR ESTABLISHING A SECURE CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK VIA AN ACCESS NODE」的美國臨時專利申請案第62/371,650；由Hampel等人於2016年8月5日提出申請的、名稱為「TECHNIQUES FOR HANDOVER OF A CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK, FROM A SOURCE ACCESS NODE TO A TARGET ACCESS NODE」的美國臨時專利申請案第62/371,586；由Hampel等人於2016年8月5日提出申請的、名稱為「TECHNIQUES FOR FAST TRANSITION OF A CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK, FROM A SOURCE ACCESS NODE TO A TARGET ACCESS NODE」的美國臨時專利申請案第62/371,593；及由Hampel等人於2017年3月2日提出申請的、名稱為「TECHNIQUES FOR ESTABLISHING A SECURE CONNECTION BETWEEN A WIRELESS DEVICE AND A LOCAL AREA NETWORK VIA AN ACCESS NODE」的美國專利申請案第15/448,322，上述申請案中的每項申請案已經轉讓給本案的受讓人。

大體而言，以下內容係關於無線通訊，並且更具體而言，以下內容係關於建立無線設備與區域網路（LAN）之間的經由存取節點（AN）的安全連接。

無線通訊系統被廣泛地部署，以便提供諸如是語音、視訊、封包資料、訊息傳遞、廣播等此種各種類型的通訊內容。該等系統可以是能夠經由共享可用的系統資源（例如，時間、頻率和功率）來支援與多個使用者的通訊的。此種多工存取系統的實例包括分碼多工存取（CDMA）系統、分時多工存取（TDMA）系統、分頻多工存取（FDMA）系統和正交分頻多工存取（OFDMA）系統。無線多工存取通訊系統可以包括一些基地站，每個基地站同時支援可以各自被稱為無線設備的多個通訊設備的通訊。

蜂巢封包存取系統允許行動設備與IP網路連接並且交換網際網路協定（IP）封包。蜂巢封包存取系統已主要針對由行動網路服務供應商進行的大規模部署被開發。亦存在使用基於電氣和電子工程師協會（IEEE）802的協定的一些基於LAN的封包存取系統。基於LAN的封包存取系統有時被部署在較小規模的環境中，諸如企業、工廠和其他類型的私有房屋中。伴隨蜂巢RAT的漸增的效能，在基於LAN的封包存取系統中使用該等蜂巢RAT的態樣可能是可取的。

一種無線設備（例如，使用者設備（UE））可以建立與區域網路（LAN）的安全連接，該建立是經由該LAN的存取節點（AN）（例如，該LAN的無線電存取網路（RAN）的節點）進行的。在某些情況下，可以與使用蜂巢無線電存取技術（RAT）的AN建立該連接。該LAN可以包括認證器，該認證器可以是與該AN共置的，或者可以被託管在被遠離該AN地放置的該LAN的節點處。在某些情況下，該AN可以與諸如是核心網路（CN）此種中央網路節點通訊，並且該中央網路節點可以包含第二認證器。在建立與該AN的該連接時，該無線設備可以決定要將何者認證器用於認證，並且可以在建立與該LAN的連接時執行利用被包括在該LAN中的（例如，位於該AN處或者遠離該AN的）該認證器進行的認證。該無線設備可以接收（例如，作為該認證的部分）對如作為非存取層（NAS）層或者無線電資源控制（RRC）層的用於該認證的協定終點的指示。該RRC層可以被用於利用被與該AN共置的認證器執行認證，並且該NAS層可以被用於利用未被與該AN共置（例如，位於該LAN上的其他地方處或者位於由蜂巢網路服務供應商操作的（例如，與該LAN分離的）CN處）的認證器執行認證。該無線設備可以建立用於執行該認證的無線電承載（例如，與同該AN的已建立的連接相關聯的）。該無線電承載可以作為建立與該AN的該連接的一部分被建立。在某些情況下，執行該認證可以包括：經由該無線電承載與該認證器交換認證資訊，以及至少部分地基於所交換的認證資訊產生安全金鑰。隨後可以至少部分地基於該安全金鑰保護與該LAN的通訊。

根據本案內容的態樣，LAN協定可以被修改為支援以網路為中心的交遞操作，以便促進從源AN到目標AN的平滑過渡，並且相應地減少否則在使用LAN的傳統交遞過程時將經歷的服務中斷。例如，所描述的對LAN協定的修改可以支援臨時安全金鑰的使用，臨時安全金鑰的使用可以被用於實現根據約束策略的與目標AN的無線連接。該約束策略可以例如包括：針對使用該臨時安全金鑰的到期時間、在使用該臨時安全金鑰時被允許的資料的量及/或可以與該臨時安全金鑰一起被使用的具體的無線電承載。源AN可以向該目標AN提供該臨時安全金鑰，此舉由於增強型安全協定而可以被所修改的LAN協定允許，該等增強型安全協定使AN能夠被委託以此種安全資訊的交換。該層信任不可以出現在傳統LAN部署（例如，根據Wi-Fi協定操作的彼等部署）中，並且因此，傳統LAN的存取點之間的安全資訊的此種交換將不被允許。

因此，根據本案內容，在經網路協調的交遞程序的啟動之後，無線設備可以至少部分地基於由源AN向目標AN提供的臨時安全金鑰和針對該臨時安全金鑰的約束策略與LAN安全地通訊。該無線設備可以隨後執行認證程序以便獲得不受該約束策略支配的另一個金鑰（例如，經由被該臨時安全金鑰支援的連接），並且至少部分地基於該另一個安全金鑰與該LAN安全地通訊。相應地，無線設備可以從被根據經修改的協定操作並且根據減少服務中斷的臨時安全金鑰進行通訊同時亦執行諸如是根據Wi-Fi協定或者可以被部署在該LAN處的其他專有安全解決方案的認證此種與該LAN的更實質的認證的由LAN的設備協調的經修改的交遞程序中獲益。

根據本案內容的態樣，LAN協定可以被修改為支援以網路為中心的交遞操作，以便促進從源AN到目標AN的平滑過渡，並且相應地減少否則在使用LAN的傳統交遞過程時將被經歷的服務中斷。例如，所描述的對LAN協定的修改可以支援隨以網路為中心的交遞使用快速過渡參數，此舉可以允許認證在網路啟動的交遞命令向無線設備被發出之前發生，並且因此使從源AN到目標AN的交遞能夠更迅速地發生。該等快速過渡參數可以被無線設備傳輸給AN，並且該AN（例如，源AN）可以被委託以對該等快速過渡參數進行快取以用於在隨後的交遞期間轉發。無線設備在AN處對快速過渡參數的委託由於增強型安全協定而可以被所修改的LAN協定允許，該等增強型安全協定使AN能夠被委託以對此種安全資訊的該快取和交換。該層信任不可以出現在傳統LAN部署（例如，根據Wi-Fi協定操作的彼等部署），並且因此，傳統LAN的存取點之間的快速過渡參數資訊的此種交換將不被允許。

因此，根據本案內容，在針對無線設備的經網路協調的交遞程序的啟動之後，源AN可以向目標AN轉發該無線設備的被快取的快速過渡參數。該目標AN可以至少部分地基於該等快速過渡參數執行隨後的認證（例如，利用該LAN的認證節點或者利用被與該目標AN共置的認證器）。該目標AN可以向該源AN轉發與該認證相關聯的安全參數，並且該源AN可以向該無線設備傳輸包括該等安全參數的交遞命令。相應地，該無線設備可以從包括AN之間的快速過渡參數的交換的由根據經修改的協定操作的LAN的設備協調的經修改的交遞程序中獲益。因為特定的認證操作可以被該LAN的設備在不涉及該無線設備的情況下根據經修改的LAN協定進行協調，並且亦可以在該無線設備終止與源AN的連接之前被執行，所以所描述的操作可以減少無線設備的服務中斷。

根據至少一種實現，一種用於無線設備處的無線通訊的方法包括以下步驟：建立與LAN的AN的連接；決定執行認證；接收對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及至少部分地基於所接收的指示經由與該AN已建立的該連接利用該協定終點執行該認證。

根據至少另一種實現，一種用於無線設備處的無線通訊的裝置包括：用於建立與LAN的AN的連接的構件；用於決定執行認證的構件；用於接收對如作為NAS層或者RRC層的用於該認證的協定終點的指示的構件；及用於至少部分地基於所接收的指示經由與該AN已建立的該連接利用該協定終點執行該認證的構件。

根據至少另一種實現，一種用於無線設備處的無線通訊的裝置包括：處理器和與該處理器電子地通訊的記憶體。指令被儲存在該記憶體中，並且是在被該處理器執行時可操作為使該裝置執行以下操作的：建立與LAN的AN的連接；決定執行認證；接收對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及至少部分地基於所接收的指示經由與該AN已建立的該連接利用該協定終點執行該認證。

根據至少另一種實現，一種非暫時性電腦可讀取媒體儲存用於無線設備處的無線通訊的電腦可執行代碼。該代碼是可執行為執行以下操作的：建立與LAN的AN的連接；決定執行認證；接收對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及至少部分地基於所接收的指示經由與該AN已建立的該連接利用該協定終點執行該認證。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體包括用於向該AN傳輸關於將利用該認證器執行該認證的指示的操作、特徵、構件或者指令。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，所傳輸的關於將利用該認證器執行該認證的指示在RRC連接建立訊息中被傳輸。

用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、構件或者指令：選擇用於執行隨機存取程序的至少一個資源；及使用至少一個所選擇的資源執行與該AN的該隨機存取程序，其中用於執行該隨機存取程序的至少一個所選擇的資源包括關於將利用該認證器執行該認證的指示。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體包括用於以下各項的操作、特徵、構件或者指令：接收關於該AN使用該認證器執行認證的指示，並且決定執行該認證是至少部分地基於接收關於該AN使用該認證器執行認證的指示的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，關於該AN使用該認證器執行認證的指示在以下各項中的至少一項中被接收：系統資訊、對該無線設備的查詢的回應、隨機存取通道（RACH）建立訊息或者其組合。

用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、構件或者指令：接收關於該AN使用第二認證器執行認證的指示，並且該第二認證器被包含在與該AN相關聯的CN中。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，決定執行認證包括用於以下各項的操作、特徵、構件或者指令：選擇被與該AN共置的認證器、該第二認證器或者該兩者來執行該認證。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，決定執行該認證是至少部分地基於被儲存在該無線設備處的該AN的配置的。

用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、構件或者指令：接收與該AN相關聯的辨識符；及至少部分地基於所接收的辨識符取得該AN的該配置。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是經由與同該AN已建立的該連接相關聯的無線電承載來執行的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是經由該RRC層執行的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括認證器，並且執行該認證包括用於以下各項的操作、特徵、構件或者指令：經由該無線電承載與該認證器交換認證資訊；經由該無線電承載與該AN交換至少一個隨機參數；及至少部分地基於所交換的認證資訊和該至少一個隨機參數產生安全金鑰。

用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例包括用於以下各項的操作、特徵、構件或者指令：至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的安全金鑰經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是至少部分地基於經由與同該AN已建立的該連接相關聯的無線電承載被執行的可擴展認證協定（EAP）的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是經由該RRC層或者乙太網路執行的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括第一認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體包括用於以下各項的操作、特徵、構件或者指令：決定利用第二認證器執行第二認證，該第二認證器被包含在與該AN通訊的CN中；及經由該AN利用該第二認證器執行該第二認證。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該第二認證是經由該NAS層執行的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該連接是使用蜂巢RAT建立的。

在用於無線設備處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是利用被與該AN共置的認證器或者被託管在放置得遠離該AN的該LAN的節點處的認證器或者該兩者執行的。

根據至少一種實現，一種用於LAN的AN處的無線通訊的方法包括以下步驟：建立與無線設備的連接；決定該無線設備已決定執行認證；傳輸對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。

根據至少另一種實現，一種用於LAN的AN處的無線通訊的裝置包括：用於建立與無線設備的連接的構件；用於決定該無線設備已決定執行認證的構件；用於傳輸對如作為NAS層或者RRC層的對用於該認證的協定終點的指示的構件；及用於提供用於該無線設備與該協定終點之間的該認證的通訊的構件。

根據至少另一種實現，一種用於LAN的AN處的無線通訊的裝置包括處理器和與該處理器電子地通訊的記憶體。指令被儲存在該記憶體中，並且是在被該處理器執行時可操作為使該裝置執行以下操作的：建立與無線設備的連接；決定該無線設備已決定執行認證；傳輸對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。

根據至少另一種實現，一種非暫時性電腦可讀取媒體儲存用於LAN的AN處的無線通訊的電腦可執行代碼。該代碼是可執行為執行以下操作的：建立與無線設備的連接；決定該無線設備已決定執行認證；傳輸對如作為NAS層或者RRC層的用於該認證的協定終點的指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體包括用於以下各項的操作、特徵、構件或者指令：從該無線設備接收關於將利用該認證器執行該認證的指示。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，關於將利用該認證器執行該認證的指示是在RRC連接建立訊息中被接收的。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，關於將利用該認證器執行該認證的指示是在至少一個資源上在來自該無線設備的隨機存取訊息中被接收的。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體包括用於以下各項的操作、特徵、構件或者指令：傳輸關於該AN使用該認證器執行認證的指示。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，關於該AN使用該認證器執行認證的指示在以下各項中的至少一項中被傳輸：系統資訊、對該無線設備的查詢的回應、RACH建立訊息或者其組合。

用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、構件或者指令：傳輸關於該AN使用第二認證器執行認證的指示，其中該第二認證器被包含在與該AN相關聯的CN中。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，提供用於該認證的通訊包括用於以下各項的操作、特徵、構件或者指令：經由與同該無線設備已建立的該連接相關聯的無線電承載傳輸與該認證相關聯的訊息。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該等訊息是經由該RRC層傳輸的。

用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、構件或者指令：經由該無線電承載與該無線設備交換認證資訊；經由該無線電承載與該無線設備交換至少一個隨機參數；及至少部分地基於所交換的認證資訊和該至少一個隨機參數產生安全金鑰。

用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例可以包括用於以下各項的操作、特徵、構件或者指令：至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的安全金鑰經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，提供用於該認證的通訊包括用於以下各項的操作、特徵、構件或者指令：經由與該無線設備已建立的該連接傳輸關於認證程序的訊息，其中該認證程序是至少部分地基於EAP的。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，經由該RRC層或者乙太網路執行該認證程序。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，用於該認證的該協定終點包括第一認證器，並且該方法、裝置或者非暫時性電腦可讀取媒體可以包括用於以下各項的操作、特徵、構件或者指令：決定該無線設備已決定利用第二認證器執行第二認證，其中該第二認證器被包含在與該AN通訊的CN中；及傳輸與該第二認證相關聯的訊息。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該第二認證是經由該NAS層執行的。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該連接是使用蜂巢無線電存取技術（RAT）建立的。

在用於LAN的AN處的無線通訊的該方法、裝置或者非暫時性電腦可讀取媒體的某些實例中，該認證是利用被與該AN共置的認證器、利用被託管在放置得遠離該AN的該LAN的節點處的認證器或者該兩者執行的。

前述內容已相當寬泛地概述了根據本案內容的實例的特徵和技術優勢，以便隨後的詳細描述內容可以被更好地理解。將在下文中描述額外的特徵和優勢。所揭示的概念和具體實例可以被輕鬆地用作修改或者設計用於實現本案內容的相同目的的其他結構的基礎。此種等效的構造不脫離所附請求項的範疇。本文中揭示的概念的特性，其組織和操作方法兩者，連同關聯的優勢，在結合附圖考慮時從下文的描述內容中將被更好地理解。僅出於說明和描述的目的而不作為對請求項的限制的定義而提供了附圖之每一者圖。

所揭示的實例說明了使無線設備（例如，使用者設備（UE））能夠經由LAN的存取節點（AN）建立與區域網路（LAN）的安全連接的技術。在某些實例中，可以使用蜂巢無線電存取技術（RAT）建立連接。無線設備可以在與LAN安全地通訊之前使用被與AN共置的認證器或者被放置在LAN中的其他地方的認證器（例如，中央認證伺服器、被放置在LAN的核心網路處的認證器等）執行認證。一旦被建立，則連接可以經由執行交遞程序或者快速過渡程序被轉移到目標AN。

初始在用於使無線設備能夠經由蜂巢RAT建立與LAN的連接的無線通訊系統的上下文中描述了本案內容的態樣。本案內容提供針對該無線通訊系統的架構和該架構內的各種設備之間的信號傳遞流程的各種實例。本案內容的態樣亦經由和參考關於經由蜂巢RAT連接到LAN的裝置圖、系統圖和流程圖被說明和描述。

圖 1 圖示根據本案內容的各種態樣的無線通訊系統100的實例。無線通訊系統100包括基地站105、無線設備115和核心網路（CN）130。在某些實例中，無線通訊系統100可以包括長期進化（LTE）/高級LTE（LTE-A）網路。

基地站105可以經由一或多個基地站天線與無線設備115無線地通訊。每個基地站105可以為分別的地理覆蓋區域110提供通訊覆蓋。無線通訊系統100中所示的通訊鏈路125可以包括從無線設備115到基地站105的上行鏈路（UL）傳輸或者從基地站105到無線設備115的下行鏈路（DL）傳輸。無線設備115可以被散佈在無線通訊系統100的各處，並且每個無線設備115可以是固定的或者行動的。無線設備115亦可以被稱為使用者設備（UE）、行動站、用戶站、用戶單元、無線單元、遠端單元、行動用戶站、行動終端、無線終端、遠端終端機、存取終端（AT）、手持裝置、使用者代理、客戶端等術語。無線設備115亦可以是蜂巢式電話、個人數位助理（PDA）、無線數據機、無線通訊設備、手持型設備、平板型電腦、膝上型電腦、無線電話、無線區域迴路（WLL）站、物聯網路（IoT）設備、萬物網路（IoE）設備、機器型通訊（MTC）設備、家電、汽車等。

基地站105可以與CN 130和與彼此通訊。例如，基地站105可以經由回載鏈路132（例如，S1等）與CN 130對接。基地站105可以經由回載鏈路134（例如，X2等）直接地或者間接地（例如，經由CN 130）與彼此通訊。基地站105可以為與無線設備115的通訊執行無線電配置和排程，或者可以在基地站控制器（未圖示）的控制下操作。在某些實例中，基地站105可以是巨集細胞、小型細胞、熱點等。基地站105亦可以被稱為進化型節點B（eNB）105。

基地站105可以經由S1介面被連接到CN 130。CN 130可以是可以包括一或多個網路節點的進化型封包核心（EPC）的實例。在一個實例中，CN 130可以包括至少一個行動性管理實體（MME）、至少一個服務閘道（S-GW）和至少一個封包資料網路（PDN）閘道（P-GW）。MME、S-GW及/或P-GW可以被實現為單個網路節點或者更多地是分離的網路節點。MME可以是處理無線設備115與EPC之間的信號傳遞的控制節點。全部使用者IP封包可以被傳輸經由S-GW，S-GW自身可以被連接到P-GW。P-GW可以提供IP位址分配以及其他功能。P-GW可以被連接到網路服務供應商IP服務。服務供應商IP服務可以包括網際網路、網內網路、IP多媒體子系統（IMS）和封包交換（PS）串流服務（PSS）。

在某些情況下，無線通訊系統100可以利用增強型分量載波（eCC）。eCC可以以包括以下各項的一或多個特徵為特徵：較寬的頻寬、較短的符號持續時間、較短的持續時間傳輸時間間隔（TTI）和經修改的控制通道配置。在某些情況下，eCC可以是與載波聚合配置或者雙連接配置（例如，在多個服務細胞具有次最優或者非理想的回載鏈路時）相關聯的。eCC亦可以被配置為用於在未授權頻譜或者共享頻譜（其中多於一個服務供應商被允許使用該頻譜）中使用。以寬頻寬為特性的eCC可以包括一或多個段，該一或多個段可以被不能夠監控整個頻寬或者優選使用有限的頻寬（例如，為了節約功率）的無線設備115利用。

在某些情況下，eCC可以利用與其他CC不同的符號持續時間，此舉可以包括使用與其他CC的符號持續時間相比減小的符號持續時間。較短的符號持續時間是與增加的次載波間隔相關聯的。利用eCC的諸如是無線設備115或者基地站105之類的設備可以以減少的符號持續時間（例如，16.67微秒）傳輸寬頻信號（例如，20、40、60、80 Mhz等）。eCC中的TTI可以由一或多個符號組成。在某些情況下，TTI持續時間（例如，TTI中的符號的數量）可以是可變的。

無線通訊系統100可以是跨大型服務覆蓋區域提供無線封包存取系統存取的廣域網路（WAN）的實例。相應地，無線通訊系統100的通訊協定可以由RAT（例如，蜂巢RAT）以支援與WAN應用相關聯的各種操作條件的方式來提供。經由對照，傳統區域網路（LAN）可以跨相對小的服務覆蓋區域提供無線通訊，並且因此可以由RAT（例如，Wi-Fi RAT）以使得支援與LAN應用相關聯的條件的方式來提供。

根據本案內容的態樣，無線通訊設備（例如，無線設備115、LAN的AN）可以實現用於存取基於LAN的封包存取系統的示例性無線通訊系統100的態樣，諸如蜂巢RAT的態樣。例如，蜂巢RAT的各種態樣可以被整合到現有的LAN的設備中（例如，升級現有的存取點（AP）、諸如是LAN分佈系統（DS）此種傳統LAN的中央節點、諸如是認證、授權和計費（AAA）伺服器（例如，縮寫為「AAA」）之類的LAN的認證伺服器等），現有的LAN的設備可以支援蜂巢通訊協定的部署，而不要求整個蜂巢網路被部署。此種實現可以允許LAN利用諸如是關於蜂巢RAT的彼等技術的先進技術，同時重用現有的LAN基礎設施，並且亦維持可能對於LAN是適當的的安全性策略。此種實現亦可以允許用於存取同一個LAN的多個RAT（例如，蜂巢RAT和Wi-Fi RAT）的同時操作。

LAN部署的各種實例可以從所描述的諸如是蜂巢RAT的態樣的先進存取技術向依賴於傳統LAN技術的現有的LAN基礎設施中的整合中獲益。例如，根據本案內容所描述的特徵可以為企業中的高QoS應用中的LAN應用和工廠自動化中的任務關鍵型應用提供益處。例如，在工廠自動化中，閉合迴路控制應用可能要求跨具有高可靠性（下至10^-9 ）的空中介面的短往返時間（小於1毫秒）。諸如是與傳統LAN應用相關聯的彼等技術的未授權技術達到該等效能目標可能有問題，因為該等未授權技術在共享頻譜中操作，其中（例如，根據Wi-Fi協定的）站（STA）在偵測繁忙的通道之後必須後移。未授權頻帶亦可能遭受由於被隱藏節點問題導致的不受控的干擾。該等缺點不可以應用於例如在經授權頻帶中操作的蜂巢RAT。另外，預期蜂巢RAT的效能隨蜂巢RAT的例如從4G到5G的進化而提高。針對根據本案內容所描述的方法的另一個用例是可以將5G毫米波（mm波）技術用於最後一公里中繼段的固定無線存取（FWA）。

儘管某些用例可以利用由無線電存取網路（RAN）和核心網路（CN）組成的整個蜂巢RAT系統的部署來解決，但此種解決方案可能與已是適當的的現有的基於LAN的基礎設施衝突。因此，可以經由將蜂巢連接的特定的態樣整合到現有的LAN基礎設施中，同時重用諸如是認證伺服器（例如，AAA）和DS的現有的LAN基礎設施而不需要蜂巢CN來達到獨特的益處。

圖 2 圖示根據本案內容的各種態樣的用於經由蜂巢RAT連接到全球和本端IP網路的無線通訊系統200的實例。例如，無線通訊系統200可以圖示參考圖1描述的無線通訊系統100的態樣。無線通訊系統200可以包括可以是參考圖1描述的對應的設備的實例的具有基地站105-a（例如，eNB）的RAN 204、無線設備115-a和CN 130-a。

在一個實例中，無線通訊系統200可以根據第三代合作夥伴計畫（3GPP）架構操作，並且根據蜂巢RAT提供對一或多個PDN的存取。例如，無線通訊系統200可以實現與諸如是全球IP網路208的一或多個基於IP的網路（例如，網際網路）的連接，並且可以由針對大規模部署（例如，用於在廣大的覆蓋區域上提供IP封包存取）的行動網路服務供應商（MNO）來操作。

RAN 204可以包括一或多個基地站105（例如，節點B、進化型節點B等），包括基地站105-a，其支援用於為諸如是無線設備115-a的一或多個無線設備提供無線連接的一或多個蜂巢RAT。蜂巢RAT的實例包括W-CDMA、LTE、5G RAT、使用經授權或者未授權頻譜的RAT以及其派生物及/或組合。RAN 204亦可以包括可以與基地站105-a共置的本端閘道（L-GW）214。L-GW 214可以在基地站105-a與本端IP網路210之間提供介面。

CN 130-a可以支援控制平面（C平面）任務（例如，認證、授權、通信期管理、策略控制和計費）和使用者平面（U平面）任務（例如，無線設備115-a與全球IP網路208之間的IP訊務轉發）。CN 130-a可以包括用於執行C平面和U平面任務的一或多個網路節點，包括歸屬用戶伺服器（HSS）、封包資料網路閘道（PGW）、S-GW和行動性管理實體（MME）。

圖 3 圖示根據本案內容的各種態樣的使用Wi-Fi存取作為實例的用於對傳統LAN 340的傳統存取的架構300。與3GPP相反，諸如是IEEE 802.11此種Wi-Fi協定僅指定無線電空中介面和用於支援架構300的無線電空中介面的STA（例如，STA 242）和AP 244上的對應的功能。經由AP 244的向傳統LAN 340的資料傳輸可以被歸於傳統LAN DS 346，傳統LAN DS 346具有不是被例如IEEE 802.11指定並且可以包括各種專有安全性解決方案的協定堆疊和轉發機制。儘管IEEE 802.11i引入了穩健安全網路（RSN）概念，其引入了STA 242與AP 244之間的相互認證和安全連接的建立，但其僅指定STA 242與AP 244上的認證器之間的與安全性相關的訊息。同時，其建立了用於認證器建立用於支援STA 242與網路中的認證器伺服器（例如，AAA 248）之間的擴展的安全性交握的隧道的構件。隧道可以在空中介面上使用經由LAN的EAP（EAPOL），儘管隧道未被該標準在網路側另外指定。

例如，IEEE 802.11i依賴於經由存取鏈路的4向交握來根據成對主金鑰（PMK）建立新鮮的建鑰材料，用以確保在STA 242和AP 244上被使用的金鑰是相同的，並且用以斷言STA 242和AP 244已無歧義地就密碼套件達成協定。其亦將建鑰材料拘束到STA 242（例如，媒體存取控制（MAC）位址）和AP 244（例如，基本服務集辨識符（BSS ID））的身份碼。因此，從一個AP 244向另一個AP 244（未圖示）的行動要求重新認證，此舉可以是漫長的程序（例如，取決於LAN安全性解決方案）。

例如，IEEE 802.11r進一步引入了用於減少針對利用與AAA的EAP的部署的與行動性相關的等待時間的快速BSS過渡（FT）的概念。該概念建立額外的金鑰分層層級和關聯的金鑰保存者。對於802.11r，集中式無線LAN控制器（WLC）可以被用作兩個分層實體中的較高的分層實體（例如，R0金鑰保存者（R0KH），並且AP 244可以被用作兩個分層實體中的較低的分層實體（例如，R1金鑰保存者（R1KH））。由於STA 242的初始認證建立STA 242與（集中式）R0KH之間的安全性關聯，所以STA 242可以更快速地從源AP 244交遞到目標AP 244，並且經由目標AP（R1KH）利用WLC（R0KH）重新建立新的建鑰材料，而不經歷與AAA的新的EAP交握。然而，新的建鑰材料的建立要求4向交握，其具有與802.11i相似的目的。

根據本案內容的某些技術適用於將蜂巢RAT的態樣整合到LAN基礎設施中。對於此種整合，對如由IEEE針對802.11建立的LAN基礎設施作出一些相似的假設。與圖2中所示的3GPP架構相反，被整合或者附著到LAN基礎設施的蜂巢RAT可以被假設不具有任何經由3GPP CN的強制的支援（例如，可以具有可選的支援）。

本案內容的某些態樣與用於使用蜂巢RAT的態樣建立與LAN基礎設施的連接的技術有關。該等技術提供經由蜂巢RAT對LAN基礎設施的安全存取。此舉可以利用蜂巢RAT的在被應用於LAN基礎設施時的效能優勢。此舉亦可以例如允許重用現有的LAN基礎設施來支援蜂巢RAT。另外，基於IEEE 802的RAT可以與蜂巢RAT一起被用於對同一個LAN的存取，因為基礎設施可以被共享。

圖 4 圖示根據本案內容的各種態樣的針對對LAN 440的基於蜂巢RAT的存取的參考架構400。與LAN 440相關聯的無線電存取節點被通常稱為AN 405，並且尋求對LAN 440的存取的無線設備115-b可以是參考圖1和圖2描述的無線設備115的實例。儘管在參考架構400中圖示僅一個AN 405，但額外的AN 405（未圖示）可以提供對LAN 440的無線存取，並且與LAN 440相關聯的複數個AN 405可以集體被稱為LAN 440的RAN。

蜂巢RAT的態樣可以被使用以便經由AN 405將無線設備115-b連接到LAN 440。在某些實例中，AN 405可以包括用於對與無線設備（例如，無線設備115-b）的連接進行認證的認證器（例如，與AN 405共置的認證器）。額外地或者替換地，LAN 440可以支援不是與AN 405共置的的另一個認證節點，諸如認證伺服器410，其可以與LAN DS 446通訊。在各種實例中，認證節點可以是LAN 440的獨立的設備，或者是與LAN 440的其他設備共置或者以其他方式整合在一起的。例如，在某些實例中，認證伺服器410可以與LAN DS 446整合在一起、被包含在LAN 440的CN 130中（未圖示）或者是LAN 440的某個其他的中央節點。在某些實例中，認證伺服器410可以是與LAN 440分離的，諸如分離的蜂巢服務供應商網路（例如，參考圖1描述的無線通訊系統100）的CN 130，其可以與LAN 440通訊（例如，經由與LAN DS 446的回載鏈路）。在某些實例中，認證伺服器410可以是由複數個AN 405可存取以便經由根據本案內容的態樣的EAP（例如，經由控制平面的EAP、經由使用者平面的EAP、經由RRC的EAP、經由NAS的EAP等）對無線設備115進行認證的。在某些實例中，認證伺服器410可以是用於支援使用諸如是與蜂巢RAT相關聯的彼等技術之類的先進技術對LAN 440的存取的已根據本案內容的態樣被修改的LAN基礎設施的AAA 248的實例。LAN 440因此可以包括用於執行與無線設備115-b的認證的認證器的集合，認證器的該集合可以包括被與分別的AN 405共置的複數個認證器和未被與AN 405共置的一或多個認證節點（例如，一或多個認證伺服器410）。

根據本案內容的態樣，無線設備115-b可以決定執行與具體的認證終點的認證以便建立與LAN 440的安全的通訊。所描述的特徵可以是與傳統系統相反的，傳統系統可以將設備預配置為根據具體的通訊協定執行認證。例如，在根據3GPP協定操作時，參考圖1描述的無線通訊系統100的無線設備115可以被配置為執行與由具體的蜂巢網路服務供應商配置的CN 130的認證。在另一個實例中，在根據傳統LAN協定（例如，Wi-Fi協定）操作時，參考圖3描述的傳統LAN 340的STA 242可以被配置為執行與AP 244的認證。在任一種情況下，無線通訊系統100和傳統LAN 340可能不支援針對設備執行與不同的協定終點的認證的靈活性。因此，經由支援如本文中描述的對執行與具體的認證終點的認證的決定，LAN 440可以支援針對無線設備115-b建立與LAN 440的安全的通訊的更靈活的認證。

例如，無線設備115-b可以接收終點的針對與LAN 440的認證的指示，該指示可以包括對被與AN 405共置的認證器、位於認證伺服器410處的認證器、位於LAN DS 336處的認證器或者位於某個其他網路節點處（例如，位於LAN 440的CN 130-a處及/或位於不是LAN 440的一部分的蜂巢服務供應商網路的CN 130-a（未圖示）處）的認證器的一或多個指示。在某些實例中，無線設備115-b可以接收對如作為RRC層或者NAS層的用於認證的協定終點的指示。RRC層可以被用於執行利用被與AN 405共置的認證器的進行認證，並且NAS層可以被用於執行利用諸如是位於LAN上的其他地方處或者由蜂巢網路服務供應商操作的CN（例如，與LAN分離的）處的未被與AN 405共置的認證器進行的認證。RRC層可以是與執行經由信號傳遞無線電承載（SRB）（例如，與被與AN 405共置的認證器）的認證相關聯的。一個此種實例是經由RRC層經由SRB被執行的與被與AN 405共置的認證器的EAP認證。另一個實例可以是在AN 405根據3GPP協定執行正常地與CN 130相關聯的功能時。額外地或者替換地，無線設備115-b可以接收對如作為NAS層的用於認證的協定終點的指示，該指示可以是與執行經由資料無線電承載（DRB）（例如，與可以是或者可以不是作為LAN 440的一部分的認證器的未被與AN 405共置的認證器或者與使用經由NAS層的信號傳遞執行認證的AN 405的認證器）的認證相關聯的。一個此種實例是利用使用經由NAS層的EAPOL經由DRB被執行的與LAN DS 336的認證器的EAP認證。另一個實例是使用經由NAS層的信號傳遞的利用蜂巢服務供應商網路的CN 130的認證器進行的認證。在某些實例中，可以執行與多個分別的認證器的多個認證，使得無線設備115-b可以利用基於蜂巢RAT的認證的態樣，同時亦遵守LAN 440的基礎設施安全性策略（例如，根據Wi-Fi協定或者根據其他專有的解決方案的）。因此，根據本案內容，可以至少部分地基於可以向無線設備115-b指示的各種認證器及/或認證協定或者程序來建立與LAN 440的安全的通訊。

本案內容的某些態樣描述了用於例如使用蜂巢RAT的態樣（例如，4G、LTE、LTE-A、5G等的態樣）的與LAN 440的連接的交遞的技術。該等技術可以對於被整合到LAN 440中的蜂巢RAT（例如，5G企業部署）利用基於3GPP的行動性協定。如此，可以在可以亦實現其他協定（例如，Wi-Fi協定、專有安全解決方案等）的LAN 440的現有的架構中支援諸如是無瑕疵的並且無損耗的通信期遷移此種3GPP交遞的好處。同時，可以遵守通常需要經由交遞之後的目標AN 405的與認證伺服器（例如，AAA 248）的認證的LAN的安全性策略（例如，不與蜂巢RAT相關聯的彼等安全性策略）（例如，諸如是Wi-Fi協定或者專有安全協定的可以是與傳統LAN 340相關聯的的安全性策略）。LAN 440可以同時支援經由使用諸如是Wi-Fi協定此種其他協定的AN 405的通訊，以便支援向下相容及/或改良針對與LAN 440連接的靈活性。此外，所描述的技術亦可以支援經由不與LAN 440相關聯的諸如是蜂巢服務提供者的CN 130-a此種蜂巢CN（例如，參考圖1描述的無線通訊系統100的CN 130）的無線設備115-b與LAN 440和與PDN（例如，圖2的全球IP網路208）的併發的連接。諸如是交遞和快速過渡技術的另外的技術可以構建在如本文中描述的已經經由蜂巢RAT的態樣被建立的與LAN 440的安全的連接上。

圖 5 圖示根據本案內容的各種態樣的針對對傳統LAN 340-a的基於Wi-Fi的傳統存取的認證的參考架構500。STA 242-a可以建立與第一AP 244-a（例如，源AP 244）的連接、執行與第一AP 244-a及/或AAA 248-b的認證（例如，使用EAP）並且至少部分地基於認證與傳統LAN 340-a（例如，與傳統LAN DS 346-a）安全地通訊。在移動到第二AP 244-b（例如，目標AP 244）的覆蓋區域中時，STA 242-a可以建立與第二AP 244-b的連接，並且在經由AP2 244-b與傳統LAN 340-a（例如，傳統LAN DS 346-a）安全地通訊之前執行與第二AP 244-b及/或AAA 248-b的另一個認證。因此，參考架構500圖示傳統LAN 340-a的基於STA的行動性的實例，其中STA 242-a在沒有傳統LAN 340-a對第一AP 244-a與第二AP 244-b之間的交遞進行協調的操作的情況下執行交遞操作。

圖 6 圖示根據本案內容的各種態樣的針對對LAN 440-a的基於蜂巢RAT的存取的交遞的參考架構600。參考架構600圖示無線設備115-c的基於網路的LAN行動性的實例，其中交遞操作經由LAN 440-a的操作來協調。

例如，無線設備115-c可以建立與LAN 440-a的源AN 405-a的連接、執行利用位於源AN 405-a處的認證器及/或位於認證伺服器410-a處的認證器進行的認證（例如，使用EAP），並且至少部分地基於認證與LAN 440-a（例如，LAN DS 446-a）安全地通訊。在被與LAN 440-a連接在一起時，無線設備115-c可以執行對從源AN 405-a和一或多個目標AN 405（例如，目標AN 405-b）接收的信號的量測，並且向LAN 440-a（例如，向源AN 405-a、向目標AN 405-b、向認證伺服器410-a及/或向LAN DS 446-a）轉發量測。至少部分地基於被轉發的量測，LAN 440-a的設備可以作出對將無線設備115-c從源AN 405-a交遞到目標AN 405-b的決策。例如，源AN 405-a可以從無線設備115-c接收通訊量測，至少部分地基於決定與目標AN 405-b的通訊條件可能更好作出交遞決策，以及至少部分地基於交遞決策向目標AN 405-b發送交遞請求。若目標AN 405-b對請求進行認可，則源AN 405-a可以向無線設備115-c及/或目標AN 405-b轉發交遞參數。

因此，根據本案內容的態樣，在移動到LAN 440-a的目標AN 105-d的覆蓋區域中時，無線設備115-c可以至少部分地基於被LAN 440-a（例如，源AN 405-a、目標AN 405-b、認證伺服器410-a、LAN DS 446-a等）執行的交遞操作建立與目標AN 405-b的連接。在某些實例中，無線設備115-c可以在經由目標AN 405-b與LAN 440-a（例如，LAN DS 446-a）安全地通訊之前執行利用位於目標AN 405-b處的認證器及/或位於認證伺服器410-a處的認證器進行的認證。在某些實例中，無線設備的上下文和臨時安全金鑰（例如，受約束策略支配的安全金鑰）的從源AN 405-a到目標AN 405-b的交遞（例如，經由X2介面，經由LAN DS 446-a或者直接地從源AN 405-a到目標405-b）可以減少可能否則是與LAN的傳統交遞和認證程序相關聯的服務中斷。

本案內容的某些態樣與用於與使用蜂巢RAT的LAN 440的目標AN 405的連接的快速過渡的技術有關。該等技術應用兩層金鑰分層，該等技術可以包括與由IEEE 802.11r引入的技術相似的態樣，以便支援整合蜂巢RAT的態樣的LAN 440的AN 405之間的快速過渡。如此，蜂巢行動性可以利用針對快速BSS過渡被開發或者部署的LAN 440的現有的安全基礎設施和協定（例如，傳統LAN 340的基礎設施）。該等技術例如可以構建在如本文中描述的已經由蜂巢RAT的態樣被建立的與LAN 440的安全的連接上。

因此，根據本案內容的態樣，被LAN 440-a支援的基於網路的行動性克服了依賴於無線設備作出交遞決策的傳統LAN 340（例如，參考圖5描述的傳統LAN 340-a，其根據諸如是與Wi-Fi協定相關聯的彼等協定的傳統LAN協定來操作）的各種限制。例如，根據本文中描述的已修改的技術，LAN 440-a支援由AN 405作出的交遞決策、用於經由目標AN 405-b的對LAN 440-a的受約束的存取的臨時網路金鑰的交換和用於促進源AN 405-a與目標AN 405-b之間的交遞的FT參數的快取和交換。

圖 7 圖示根據本案內容的各種態樣的針對使用FT技術的對傳統LAN 340-b的基於Wi-Fi的傳統存取的參考架構。STA 242-b可以建立與傳統LAN 340-b的第一AP 244-c（例如，R1KH）的連接、經由第一AP 244-c執行與AAA 248-d的認證（例如，使用EAP）、建立與第一AP 244-c的安全性關聯，並且至少部分地基於安全性關聯與傳統LAN 340-b（例如，傳統LAN DS 346-b）安全地通訊。在建立與第一AP 244-c的連接時，STA 242-b可以傳輸FT參數。在移動到傳統LAN 340-b的第二AP 244-d的覆蓋區域中時，STA 242-b可以建立與第二AP 244-d的連接，並且第二AP 244-d可以從WLC 705獲得FT參數。第二AP 244-d可以至少部分地基於FT參數匯出安全金鑰（例如，通信期金鑰），並且比沒有FT參數的認證更快速地利用FT參數對STA 242-b進行認證。

圖 8 圖示根據本案內容的各種態樣的針對使用FT技術的對LAN 440-b的基於蜂巢RAT的存取的參考架構。無線設備115-d可以建立與LAN 440-b的源AN 405-c（R1KH）的連接、執行利用位於源AN 405-c處的認證器及/或位於認證伺服器410-b處的認證器進行的認證（例如，使用EAP），並且至少部分地基於認證與LAN 440-b（例如，LAN DS 446-b）安全地通訊。

根據本案內容的態樣，LAN 440-b的源AN 405-c可以對用於在隨後的交遞期間進行轉發的FT參數進行快取。此種轉發可以被LAN 440-b支援，因為AN 405可以實現在其中AN 405對於交換此種參數信任彼此的安全協定。LAN 440-b的該信任是與在其中還未在AN 244之間（例如，如參考圖7描述的AP 244-c與244-d之間）建立此種安全協定的傳統LAN 340（例如，參考圖7描述的傳統LAN 340-b）相反的。換言之，傳統LAN 340-b的AP 244還未建立支援AP 244之間的FT參數的交換的信任。因此，根據本案內容的態樣，LAN 440-b可以實現AN 405處的先進安全協定，以便促進無線設備115-d的從源AN 405-c到目標AN 405-d的快速交遞。

在移動到LAN 440-b的目標AN 405-d（例如，另一個R1KH）的覆蓋區域中時，無線設備115-d可以建立與目標AN 405-d的連接，並且目標AN 405-d可以從源AN 405-d獲得FT參數。在某些實例中，FT參數可以由目標AN 405-d直接從源AN 405-c接收（例如，經由X2介面，經由LAN DS 446-b或者直接地從源AN 405-d），此舉在傳統LAN協定下可能不可接受，因為AP 244之間的直接的通訊在傳統協定下可能不是安全的或者受信任的。目標AN 405-d可以至少部分地基於FT參數匯出安全金鑰（例如，通信期金鑰），並且比沒有FT參數的認證更快速地利用FT參數對無線設備115-d進行認證，同時亦利用根據本案內容的可以在源AN 405-c與目標AN 405-d之間被提供的額外的信任。

圖 9 圖示根據本案內容的各種態樣的可以被用於支援針對對LAN 440的基於蜂巢RAT的存取的C平面功能的無線設備115-e處的協定堆疊905-a和AN 405-e處的協定堆疊910-a的圖示900。圖示900作為實例圖示如包括PHY/MAC/RLC/PDCP層的4G蜂巢RAT的較低層協定（例如，L1/L2堆疊）。其他的L1/L2堆疊是可能的。使用4G協定作為實例，C平面可以支援在無線設備115-e和AN 405-e處被終止的無線電資源控制（RRC）。

圖 10 圖示根據本案內容的各種態樣的可以被用於支援針對對LAN的基於蜂巢RAT的存取的U平面功能的AN 405-f處的協定堆疊910-b和無線設備115-f處的協定堆疊905-b的圖示1000。圖示1000作為實例圖示如包括PHY/MAC/RLC/PDCP層的4G蜂巢RAT的較低層協定（例如，L1/L2堆疊）。其他的L1/L2堆疊是可能的。使用4G作為實例，U平面可以在無線設備115-f與AN 405-f之間支援IEEE 802.3。AN 405-f可以在無線設備115-f與LAN DS 446-c之間對封包進行中繼。AN 105-h與LAN DS 446-c之間的U平面協定堆疊未被指定。

例如，IEEE 802.11r不定義R0KH與R1KH之間的具體的協定和協定堆疊，而僅定義必須被傳輸的參數。在所描述的技術採用分兩層的安全性分層時，相同的規範可以適用。

圖 11 圖示根據本案內容的各種態樣的無線設備115-g處的協定堆疊905-c、AN 405-g處的協定堆疊910-c和認證伺服器410-c處的協定堆疊915-c的圖示1100，上述各項可以被用於與使用IEEE 802.1x的態樣的認證伺服器410-c的經由經由C平面的EAP的認證。在無線設備115-g與AN 405-g之間的蜂巢鏈路上，EAP交換可以被封裝在RRC中（例如，使用信號傳遞無線電承載（SRB））。在AN 405-g與認證伺服器410-c之間，協定堆疊未被指定。圖示1100圖示半徑/直徑作為可以在AN 405-g與認證伺服器410-c之間被使用的協定的實例。

圖 12 圖示根據本案內容的各種態樣的無線設備115-h處的協定堆疊905-d、AN 405-h處的協定堆疊910-d和認證伺服器410-d處的協定堆疊915-d的圖示1200，上述各項可以被用於經由經由U平面的EAP的認證。在圖示1200中，認證伺服器410-d可以使用例如IEEE 802.1x的態樣。在無線設備115-h與AN 405-h之間的蜂巢鏈路上，EAP交換可以位於使用資料無線電承載（DRB）的資料平面之上。在AN 405-h與認證伺服器410-d之間，協定堆疊未被指定。圖示1200圖示半徑/直徑作為可以在AN 405-h與認證伺服器410-d之間被使用的協定的實例。

例如在無線設備115-h和AN 405被裝備有例如預共享金鑰（PSK）的情況下，對EAP的使用不是強制的。

對於源AN 405與目標AN 405之間的X2介面，支援X2專用的信號傳遞訊息和X2訊務的任何協定堆疊可以被使用。在一個實施例中，X2可以在使用者資料包通訊協定（UDP）/IP/DS協定堆疊之上執行，其中X2/UDP/IP協定堆疊是符合3GPP技術規範（TS）36.423和3GPP S 36.424的。可以例如對於具有針對IPv4的EtherType=0x0800和針對IPv6的EtherType=0x86DD的基於扁平乙太網路的DS支援IP/DS協定層的分層。

圖 13 圖示根據本案內容的各種態樣的用於建立無線設備115-j與LAN 440-c之間的經由AN 405-i的安全連接的示例性訊息流程1300。訊息流程1300圖示無線設備115-j、AN 405-i和LAN 440-c的可選的認證伺服器410-e之間的訊息。無線設備115-i可以是參考圖1、圖2、圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的無線設備115的態樣的實例。AN 405-i可以是參考圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的AN 405的態樣的實例。認證伺服器410-e可以是參考圖4、圖6、圖8、圖11和圖12描述的認證伺服器410的態樣的實例。

在訊息流程1300中，在無線設備115-i與AN 410-i之間被傳輸的訊息可以經由至少部分地基於（例如，實現其態樣）蜂巢RAT（例如，LTE/LTE-A RAT）的連接被傳輸。在使用所描述的技術中的某些或者全部技術的替換的訊息流程中，可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-i與AN 405-i之間傳輸訊息。在某些實例中，在無線設備115-i與AN 405-i之間被傳輸的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-i、AN 405-i和可選的認證伺服器410-e之間被傳輸的訊息的參數，該等參數是與所描述的技術相關的。在某些實例中，訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數的其他參數。

在1305處，AN 405-i可以廣播系統資訊（例如，傳輸系統資訊區塊（SIB））。系統資訊可以包括用於配置用於與AN 405-i通訊的介面（例如，蜂巢介面或者LTE/LTE-A介面）的參數。在某些實例中，系統資訊可以包括關於針對與LAN 400-c的通訊（例如，經由AN 405-i與LAN 440-c的LAN DS 446的通訊）的認證被AN 405-i支援的指示。該指示可以指示認證經由RRC層或者NAS層（例如，經由乙太網路、EAPOL等）被支援，或者與LAN 440-c中的認證器（例如，被與AN 405-i共置的認證器及/或認證伺服器410-e的認證器）的認證被支援。在某些實例中，該指示可以亦指示利用諸如是位於蜂巢服務供應商網路的CN 130（例如，參考圖1描述的無線通訊系統100的CN 130）處的認證器之類的不位於LAN 440-c中的認證器進行的認證被支援。關於針對與LAN 440-c的通訊的認證被支援的指示可以是明確的或者暗含的。暗含的指示可以例如包括無線設備115-i可以用於對被儲存在無線設備115-i處的AN 405-i的配置編制索引的網路辨識符或者服務供應商辨識符（例如，指示AN 405-i借助於RRC層、NAS層、乙太網路、與AN 405-i相關聯（被共置在其處）的認證器、與認證伺服器410-e相關聯的認證器等支援針對與LAN 440-c的通訊的認證的資訊）。

在某些實例中，在1305處被廣播的系統資訊可以包括對諸如是使用PSK的認證、與認證伺服器410-e的認證或者預認證此種被支援的認證的類型的指定。在預認證的情況下，無線設備115-i可以至少部分地基於作為與認證伺服器410-e的在先認證的一部分（例如，作為經由LAN 440-c的不同的AN 405（未圖示）被執行的認證程序的一部分）被建立的PMK執行認證程序。

在某些實例中，在1305處被廣播的系統資訊可以包括諸如是細胞專用的參數（例如，實體細胞身份（PCI））、細胞全域身份（CGI）、封閉用戶群組ID（CSG ID）、針對下行鏈路的進化型絕對射頻通道號（EARFCN-DL）、LAN 440-c上的AN 405-i的MAC位址或者其任意組合）的參數。參數可以被包括在於1360處被執行的金鑰匯出中，或者可以被無線設備115-i用於取得針對AN 405-i的PSK或者PMK（例如，在預認證被支援時）。

在1310處，無線設備115-i可以啟動與AN 405-i的隨機存取程序（例如，RACH程序），用以建立與AN 405-i的細胞無線電網路臨時辨識符（C-RNTI），並且用以從AN 405-i獲得時序對準資訊。隨機存取程序可以是至少部分地基於在1305處被接收的參數或者被儲存在無線設備115-i處的針對AN 405-i的配置的。

在1315處，無線設備115-i可以向AN 405-i傳輸RRC連接請求訊息。RRC連接請求訊息可以包括在1310處被建立的C-RNTI。RRC連接請求訊息可以亦指示為了建立連接何種類型的操作被無線設備115-i需要，例如，執行本端LAN存取或者LAN 440-c對提供服務的服務供應商的中央網路節點（例如，CN）的存取等。

在1320處，AN 405-i可以經由向無線設備115-i傳輸RRC連接建立訊息對在1315處被接收的RRC連接請求訊息作出回應。RRC連接建立訊息可以辨識或者建立被用於認證訊息的至少一個無線電承載（RB）。至少一個RB可以包括SRB或者DRB。AN 405-i可以至少部分地基於LAN 440-c的本端策略或者RRC連接請求訊息中的指示決定是否SRB或者DRB或者該兩者應當被建立。在某些實例中，SRB可以根據參考圖11描述的C平面協定堆疊905-c、910-c和915-c被建立，並且SRB可以支援傳輸被封裝在RRC中的認證資料（例如，EAP認證資料）。在某些實例中，DRB可以根據參考圖12描述的U平面協定堆疊905-d、910-d和915-d被建立，並且DRB可以支援傳輸被封裝在乙太網路中的用於經由NAS層經由LAN DS 446向認證伺服器410-e傳輸的認證資料（例如，EAP認證資料）。RRC連接建立訊息可以例如包括以下各項中的一些項或者全部項：被指示為被包括在系統資訊廣播中的資訊；將被包括在1360處的安全金鑰的匯出中的諸如是新鮮值（nonce）（例如，新鮮值-AN）此種隨機參數；LAN 440-c上的AN 405-i的MAC位址（例如，用於為經由經由DRB的EAPOL（經由LAN的可擴展認證協定（EAP））的認證作準備）；或者無線設備MAC位址的配置。

在1325處，無線設備115-i可以經由向AN 405-i傳輸RRC連接建立完成訊息對在1320處被接收的RRC連接建立訊息作出回應。在某些實例中，1325處的通訊可以亦包括對於FT認證的請求，其中FT認證可以包括如本文中描述的對FT參數的決定、交換及/或快取。在某些實例中，對於FT認證的請求可以是至少部分地基於從AN 405-i接收對基於網路的FT的支援的指示的。支援的此種指示可以由AN 405-i例如在1305處的SIB中、在1310處的RACH訊息期間、在1325處的RRC連接建立訊息期間或者在無線設備115-k與AN 405-i之間的任何其他通訊期間提供。在某些實例中，來自AN 405-i的對基於網路的FT的支援的指示可以回應於1325處的FT認證請求被提供，並且可以在受保護的通訊中被提供（例如，作為1370處的AS安全模式命令的一部分、在1380處的RRC連接重新配置訊息期間或者在認證程序之後的無線設備115-i與AN 405-i之間的某個其他的通訊期間）。在某些實例中，無線設備115-i可以至少部分地基於接收對基於網路的FT的支援的指示相應地向AN 405-i傳輸FT參數的集合。

因此，1305直到1325可以說明與建立無線設備115-i與AN 405-i之間的連接相對應的操作的實例，並且無線設備115-i可以隨後決定經由已建立的連接執行認證。根據本案內容的態樣，該等操作可以亦包括針對無線設備115-i與LAN 440-c之間的認證的終點的指示。例如，指示可以辨識如被與AN 405-i共置或者以其他方式整合在一起的認證器及/或如作為認證伺服器410-e的一部分的認證器，認證伺服器410-e可以不是與AN 405-i共置的。在某些實例中，認證終點的指示可以被包括在從AN 405-i去往無線設備115-i的訊息中（例如，1305處的SIB或者1320處的RRC連接回應中）。此種訊息可以包括對如作為NAS層（其可以與使用認證伺服器410-e處的認證器、LAN 440-c的另一個節點或者不是LAN 440-c的一部分的認證器進行的認證相對應）或者RRC層（其可以與使用AN 405-i處的認證器進行的認證相對應）的用於認證的協定終點的指示。在某些實例中，對用於認證的協定終點的指示可以由AN 405-i回應於由無線設備115-i發送的查詢（例如，在1305-1325的連接建立期間或者某個其他時間）而傳輸。無線設備115-i因此可以決定至少部分地基於所接收的對用於認證的協定終點的指示及/或可以被儲存在無線設備115-i處並且至少部分地基於接收與AN 405-i相關聯的辨識符（例如，在1305-1325的連接建立操作期間）被取得的AN 405-i的任何其他配置資訊來執行認證。

在某些實例中，（例如，至少部分地基於所接收的對用於認證的協定終點的指示），無線設備115-i可以決定將用於認證的一或多個認證器（例如，決定使用被與AN 405-i共置的認證器或者位於認證伺服器410-e處的認證器中的一個認證器或者全部兩個認證器），並且傳輸關於無線設備115-i已決定執行認證的指示，該指示可以亦包括關於將執行利用AN 405-i處的認證器及/或位於認證伺服器410-e處的認證器進行的認證的指示。此種指示可以由無線設備115-i在1315或者1325處作為作為RRC連接建立訊息的一部分的明確的指示來傳輸。在某些實例中，無線設備115-i可以選擇用於執行1310處的RACH程序的特定的資源（例如，與RACH程序相關聯的具體的前序信號），並且關於將在具體的認證器處執行認證的指示可以是至少部分地基於所選擇的資源的暗含的指示。換言之，無線設備115-i可以將在1310處的RACH程序期間使用具體的前序信號決定為對將把何者協定終點用於認證的暗含的指示。

1325處的RRC連接建立完成訊息可以確認可以被用於認證訊息的RB的建立，並且可以例如包括對無線設備115-i的能力的指示，包括被支援的密碼套件。1325處的RRC連接建立完成訊息可以亦包括PSK或者PMK的辨識符（若可用的話）以及允許AN 405-i取得針對無線設備115-i被快取的PSK或者PMK的無線設備115-i的辨識符。無線設備115-i可以至少部分地基於在1305或者1320處獲得的AN 405-i的PCI、CGI或者MAC位址取得該等金鑰辨識符。RRC連接建立完成訊息可以亦包括將被包括在1360處的安全金鑰的匯出中的諸如是新鮮值（例如，新鮮值-UE）此種隨機參數或者無線設備115-i的MAC位址（例如，若無線設備115-i的MAC位址未在1320處被AN 405-i供應並且被配置的話）。無線設備115-i的MAC位址可以被用於為經由經由DRB的EAPOL的認證和為無線設備115-i與LAN 440-c之間的訊務轉發（例如，無線設備115-i與LAN 440-c的LAN DS 446之間的訊務轉發）作準備。

在1330處，AN 405-i可以可選地觸發無線設備115-i與認證伺服器410-e之間的認證程序。無線設備115-i與認證伺服器410-e之間的認證程序可以例如在AN 405-i處的認證器不可以至少部分地基於由無線設備115-i提供的資訊分配PSK或者PMK時或者在使用PSK或者預認證的認證不被AN 405-i處的認證器支援時被觸發。在某些實例中，發無線設備115-i與認證伺服器410-a之間的認證程序可以是至少部分地基於從無線設備115-i接收的對於執行利用認證伺服器410-e處的認證器進行的認證的指示的。

根據在無線設備115-i與認證伺服器410-e之間被執行的認證程序，無線設備115-i和認證伺服器410-e中的每項可以在1335或者1340處匯出主通信期金鑰（MSK）。根據MSK，無線設備115-i和認證伺服器410-e中的每項可以在1345或者1350處匯出PMK。無線設備115-i與認證伺服器410-e之間的認證程序可以例如使用EAP。EAP訊息可以以各種方式（例如包括經由在1320處被辨識的RB原生地）經由AN 405-i在無線設備115-i與認證伺服器410-e之間被交換。在該實例中，RB的封包資料彙聚協定（PDCP）層可以攜帶關於EAP封包被封裝在蜂巢鏈路上的指示符（例如，封包可以被標記為與與封包相關聯的PDCP PDU標頭中的認證有關）。在另一個實例中，EAP訊息可以經由專用於認證資訊的交換的RB在無線設備115-i與認證伺服器410-e之間被交換。在該實例中，專用RB的邏輯通道ID可以將在專用RB上被傳輸的封包標記為與EAP有關。在另一個實例中，參考圖11，EAP訊息可以在被標記為與認證有關（例如，在標有EAP指示符的RRC容器中）的RRC訊息（例如，針對經由NAS層經由LAN DS 446向認證伺服器410-e的傳輸被封裝的）中在無線設備115-i與認證伺服器410-e之間被交換。在另一個實例中，參考圖12，EAP訊息可以在經由攜帶Ethertype=EAP的訊務的NAS層經由DRB被傳輸的乙太網路封包（EAPOL）中在無線設備115-i與認證伺服器410-e之間被交換。

在無線設備115-i與認證伺服器410-e之間的認證程序被執行時，以及在認證伺服器410-e成功地匯出PMK時，認證伺服器410-e可以在1355處向AN 405-i轉發PMK。在某些實例中，PMK可以被轉發到AN 405-i。其後，並且不論無線設備115-i與認證伺服器410-e之間的可選的認證程序在1330處是否被執行，無線設備115-i和AN 405-i兩者都應當在1360或者1365之前具有對PMK的擁有。

在1360或者1365處，無線設備115-i和AN 405-i中的每項可以使用金鑰匯出函數（KDF）來根據PMK匯出新鮮通信期金鑰，K_AN （即，安全金鑰）。KDF的一個實例是IEEE 802.11i中的被用於根據PMK匯出成對暫態金鑰（PTK）的KDF。除了AN 405-i的諸如是PCI的AN專用ID、CGI、CSG-ID、EARFCN-DL、MAC位址或者其任意組合之外，KDF可以是至少部分地基於在無線設備115-i和AN 405-i之間被交換的隨機參數（例如，新鮮值-UE和新鮮值-AN）。另外的安全金鑰可以根據通信期金鑰K_AN 被匯出，以便與LAN 440-c安全地通訊（例如，以便經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊）。諸如是使用者平面安全金鑰K_UPenc 或者K_UPint 或者RRC安全金鑰K_RRCenc 或者K_RRCint 之類的該等另外的安全金鑰可以被用於保護可以至少部分地基於該等另外的安全金鑰被建立的如例如在3GPP TS 33.401中定義的分別經由無線設備115-i與LAN 440-c（例如，利用LAN 440-c的LAN DS 446）之間的DRB或者SRB被傳輸的訊務。

因此，1330-1365的操作可以說明與可選地執行與作為位於未被與AN 405-i共置的認證伺服器410-e處的認證器的協定終點的認證相關聯的操作的實例，該認證可以與在1305處被接收的將協定終點辨識為NAS層的指示相對應。在此種實例中，AN 405-a可以經由LAN DS 446被通訊地耦合到認證伺服器410-e（見圖4），並且認證訊息可以被封裝在乙太網路封包中以便例如經由LAN DS 446在AN 405-a與認證伺服器410-e之間傳輸。若，替代地，認證伺服器410-e被與AN 405-i共置，則1305處的對用於認證的協定終點的指示將辨識RRC層，並且協認證伺服器410-e將經由RRC層與無線設備115-i通訊。儘管關於作為LAN 440-v的一部分的認證伺服器410-e描述了示例性訊息流程1300的認證程序，但在各種實例中，所描述的認證程序可以替換地或者額外地由被與AN 405-i共置的認證器或者在LAN 440-c之外的認證器（例如，蜂巢服務供應商網路的CN 130的認證器）處執行。

在1370處，AN 405-i可以向無線設備115-i傳輸存取層（AS）安全模式命令訊息。AS安全模式命令訊息可以指示將被無線設備115-i用於與LAN 440-c安全地通訊（例如，用於經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊）的具體的密碼套件，並且可以包括使用K_AN 來證明AN的關於K_AN 的認可的訊息完整性代碼。

在1375處，無線設備115-i可以經由向AN 405-i傳輸AS安全模式命令完成訊息對在1370處接收的AS安全模式命令訊息作出回應。AS安全模式命令完成訊息可以包括使用K_AN 來證明無線設備的關於K_AN 的認可的訊息完整性代碼。

在1380處，AN 405-i可以向無線設備115-i傳輸RRC連接重新配置訊息，以便建立何者DRB和SRB至少部分地基於K_AN 被保護。

在1385處，無線設備115-i可以配置在1380處被辨識的RB，並且可以經由向AN 405-i傳輸RRC連接重新配置完成訊息對在1380處接收的RRC連接重新配置訊息作出回應。其後，無線設備115-i可以經由在受保護的DRB上傳輸具有其MAC位址的乙太網路封包來與LAN 440-c安全地通訊（例如，經由AN 405-i與LAN 440-c的LAN DS 446安全地通訊）。

圖 14 圖示根據本案內容的各種態樣的用於執行具有與LAN 440-d的安全連接的無線設備115-j的從源AN 405-j向目標AN 405-k的交遞的示例性訊息流程1400。訊息流程1400說明了無線設備115-j、源AN 405-j、目標AN 405-k和LAN 440-d的可選的認證節點（例如，認證伺服器410-f）之間的訊息。無線設備115-j可以是參考圖1、圖2、圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的無線設備115的態樣的態樣的實例。源AN 405-j和目標AN 405-k可以是參考圖1、圖2、圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的AN 405的態樣的實例。認證伺服器410-f可以是參考圖4、圖6、圖8、圖11和圖12描述的認證伺服器410的態樣的實例。

在訊息流程1400中，在無線設備115-j與源AN 405-j之間或者無線設備115-j與目標AN 405-k之間被傳輸的訊息可以經由至少部分地基於（例如，實現其態樣）蜂巢RAT（例如，LTE/LTE-A RAT）的連接來被傳輸。在使用所描述的技術中的某些或者全部技術的替換的訊息流程中，可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-j與源AN 405-j之間或者無線設備115-j與目標AN 405-k之間傳輸訊息。在某些實例中，在無線設備115-j與源AN 405-j之間或者無線設備115-j與目標AN 405-k之間被傳輸的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-j、源AN 405-j、目標AN 405-k和可選的認證伺服器410-f之間被傳輸的訊息的參數，該等參數是與所描述的技術相關的。在某些實例中，訊息可以包括其他參數，諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數。

在1405處，無線設備115-j可以經由根據如參考圖13描述的訊息流程1300的各種操作建立的連接經由源AN 405-j被連接到LAN 440-d。源AN 405-j可以向無線設備115-j傳輸RRC連接重新配置訊息，以便建立何者DRB和SRB至少部分地基於第一安全金鑰K_AN 被保護。在某些實例中，RRC連接重新配置訊息可以為無線設備115-j提供量測配置。量測配置可以使無線設備115-j能夠量測與源AN 405-j和潛在的目標AN 405（例如，包括目標AN 405-k）的通訊的參數。回應於接收RRC連接重新配置訊息，無線設備115-j可以配置所辨識的RB，並且經由向源AN 405-j傳輸RRC連接重新配置完成訊息（未圖示）對RRC連接重新配置訊息作出回應。在某些實例中，RRC連接重新配置訊息和RRC連接重新配置完成訊息可以是參考圖13描述的訊息流程1300的在1375和1380處被傳輸的RRC連接重新配置訊息和RRC連接重新配置完成訊息的實例。

在1410處，無線設備115-j可以經由與源AN 405-j的連接與LAN 440-d安全地通訊（例如，與LAN 440-d的LAN DS 446安全地傳送UL和DL資料）。1405處的通訊可以包括經由無線設備115-j與源AN 405-j之間的受保護的DRB傳輸具有無線設備115-j的MAC位址的乙太網路封包。

在1415處，無線設備115-j可以使用在1405處接收的量測配置來量測從目標AN 405-k接收的通訊。例如，無線設備115-j可以量測從目標AN 405-k接收的通訊的信號強度。

在1420處，無線設備115-j可以接收被目標AN 405-k廣播的系統資訊（例如，SIB）。系統資訊可以包括參考參照圖13描述的訊息流程1300的1305處的操作描述的資訊中的任一項資訊。在某些實例中，無線設備115-j可以對所接收的系統資訊的僅一部分（例如，對於獲得目標AN 405-k的PCI或者CGI足夠的系統資訊）進行解碼。

在1425處，無線設備115-j可以向源AN 405-j傳輸量測報告。除了諸如是目標AN 405-k的PCI或者CGI此種辨識資訊之外，量測報告可以包括與對與目標AN 405-k的通訊的量測相關的資訊。在無線設備115-j由於與目標AN 405-k的預認證而保存PMK時，無線設備115-j可以將PMK的PMK_ID包括在量測報告中。量測可以亦包括諸如是新鮮值（例如，新鮮值-UE）或者新鮮值-UE-ID之類的隨機參數，其可以被源AN 405-j用於在訊息流程1400的稍後的階段處辨識具體的新鮮值-UE。

在1427處，源AN 405-j可以至少部分地基於該量測報告決定啟動無線設備115-j的從源AN 405-j向目標AN 405-k的交遞。此舉是與其中由STA 242（例如，參考圖5描述的STA 242-a）作出行動性決策的傳統LAN 340（例如，參考圖5描述的傳統LAN 340-a）的操作相反的。經由提供如本文中描述的基於網路的行動性，LAN 440-d的設備可以有利地協調在源AN 405-j與目標AN 405-k之間交遞無線設備115-j的態樣，此舉可以減少由於源AN 405-j與目標AN 405-k的覆蓋區域之間的惡化的無線電狀況及/或移動導致的停機時間，減少用於執行無線設備115-j與LAN 440-d之間的認證的時間的量，並且減少無線設備115-j與LAN 440-d之間的通訊等待時間。

在1430處，源AN 405-j可以向目標AN 405-k傳輸交遞（HO）請求訊息（例如，至少部分地基於在1425處接收的量測報告）。交遞請求訊息可以包括無線設備115-j的上下文。在某些實例中，交遞請求訊息可以是經由LAN 440-d被路由的X2訊息。在某些實例中，源AN可以經由至少部分地基於被包括在來自無線設備115-j的量測報告中的PCI或者CGI對查閱資料表編制索引，來取得目標AN 405-k的傳輸位址。交遞請求訊息可以亦包括根據（例如，至少部分地基於）第一安全金鑰K_AN 被匯出的可以被稱為K_AN *的臨時安全金鑰。可以使用KDF（例如，如在3GPP TS 33.401中描述的用於根據K_eNB 匯出K_eNB *的KDF）匯出臨時安全金鑰。除了在量測報告中被提供的PMK_ID（若有的話）之外，交遞請求訊息可以亦包括在量測報告中從無線設備115-j接收的新鮮值-UE或者新鮮值-UE-ID。

在1432處，在接受交遞請求之後，目標AN 405-k可以以交遞請求認可（ACK）訊息對源AN 405-j作出回應。目標AN 405-k可以在交遞請求ACK訊息中包括保存使無線設備115-j能夠連接到目標AN 405-k的RRC配置的容器。RRC配置可以包括在交遞請求訊息中被接收的除了新鮮值-UE-ID（若有的話）之外的諸如是新鮮值（例如，新鮮值-AN）此種隨機參數。容器可以亦保存指示臨時安全金鑰K_AN *可以如何被用於經由目標AN 405-k與LAN 440-d（例如，LAN 440-d的LAN DS 446）安全地通訊的臨時安全金鑰使用策略。交遞請求ACK訊息可以亦指示從由源AN 405-j向目標AN 405-k傳輸的無線設備115-j安全能力中選擇的密碼套件。交遞請求ACK訊息可以亦包括對無線設備115-j是否需要在與目標AN 405-k安全地通訊之前執行與認證伺服器（例如，可選的認證伺服器410-f）的認證交握的指示。在源AN 405-j向目標AN 405-k轉發PMK_ID並且目標AN 405-k能夠取得對應的PMK時，對無線設備115-j是否需要執行與認證伺服器410的認證交握的指示可以不是必要的。

臨時安全金鑰使用策略（例如，臨時安全金鑰的約束策略）可以包括以下各項中的至少一項：對在其內臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊而言有效的時間間隔的指示（例如，到期時間）；對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊而言有效的封包的數量的指示；對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊而言有效的一或多個承載的集合的指示；對對於其臨時安全金鑰對於經由目標AN 405-k與LAN 440-d安全地通訊而言有效的承載類型的指示；或者其組合。

在1435處，源AN 405-j可以在RRC連接重新配置訊息中向無線設備115-j轉發從目標AN 405-k接收的RRC配置。在某些實例中，源AN 405-j可以亦向無線設備115-j轉發臨時安全金鑰K_AN *。然而，在某些實例中，無線設備115-j可以在無線設備115-j處單獨地匯出K_AN *（例如，至少部分地基於相似的程序、至少部分地基於如參考1430描述的被源AN 405-j用於匯出K_AN *的K_AN ）。在該點處，無線設備115-j和目標AN 405-k保存針對直接蜂巢連接的RRC配置以及隨機參數新鮮值-UE和新鮮值-AN。

在1440處，源AN 405-j可以在SN傳輸訊息中向目標AN 405-k傳輸當前的PDCP序號（SN）；並且在1445處，源AN 405-j可以經由X2介面向目標AN 405-k傳輸針對無線設備115-j被緩衝的DL資料。

在1450處，無線設備115-j可以執行與目標AN 405-k的RACH交握。

在1455處，無線設備115-j可以向目標AN 405-k傳輸RRC連接重新配置完成訊息，因此建立無線設備115-j與目標AN 405-k之間的連接。已建立的連接可以包括受保護的DRB，其中保護是至少部分地基於臨時安全金鑰K_AN *（例如，至少部分地基於無線設備115-j已知的K_AN *和目標AN 405-k已知的K_AN *的比較）的，並且在其中對受保護的DRB的使用是至少部分地基於針對臨時安全金鑰的使用策略的。無線設備可以例如在從LAN 440-d接收的配置資訊中、在從源AN 405-j接收的交遞命令訊息中及/或在從目標AN 405-k接收的配置資訊中接收使用策略。該受保護的DRB可以被用於與LAN 440-d（例如，與LAN 440-d的LAN DS 446）交換乙太網路訊務。RRC配置可以亦作為連接的一部分建立用於RRC訊息的SRB，並且可以建立可用於利用認證伺服器（例如，可選的認證伺服器410-f）執行認證程序的第二DRB，如由對無線設備115-j是否需要執行與認證伺服器的認證交握的指示所指示的。因此，1427直到1455的操作可以說明執行無線設備115-j的從源AN 405-j向目標AN 405-k的交遞的實例。

在1460處，無線設備115-j可以使用受保護的DRB來經由目標AN 405-k與LAN 440-d交換UL和DL乙太網路訊務。受保護的DRB可以至少部分地基於臨時安全金鑰K_AN *被保護，其中臨時安全金鑰的使用是受被包含在被無線設備115-j在1435處接收的RRC連接重新配置訊息中的策略支配的。

在1465處，並且至少部分地基於關於無線設備115-j需要執行與認證伺服器的認證交握的指示，無線設備115-j可以經由與目標AN 405-k相關聯的第二DRB（例如，與臨時安全金鑰K_AN *相關聯的DRB）利用認證伺服器410-f執行認證程序。因此，目標AN 405-k可以充當針對目標AN 405-l與認證伺服器410-f之間的認證程序的中繼器。在某些實例中，認證程序可以是至少部分地基於與認證伺服器410-f的EAP交握的。根據該認證程序，無線設備115-j和認證伺服器可以匯出MSK（分別在1470和1472處），並且隨後根據MSK匯出PMK（分別在1475和1477處）。

因此，1465直到1477處的操作說明了執行與認證伺服器410的認證的實例，其中認證是至少部分地基於EAP的。可以例如經由至少部分地基於臨時安全金鑰K_AN *的經由目標AN 405-k的連接來實現認證。在某些實例中，可以執行與諸如是中央建鑰節點805（未圖示）此種LAN 440-d的另一個節點的認證，並且認證程序可以是至少部分地基於懇求者金鑰保存者辨識符（ID）、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合的。諸如是各種專有安全解決方案的其他安全解決方案可以是在LAN 440-d處可能的。

根據本案內容的態樣，1460及/或1465處的通訊可以涉及至少部分地基於臨時安全金鑰K_AN *和針對臨時安全金鑰K_AN *的使用策略（例如，約束策略）的通訊。例如，至少部分地基於臨時安全金鑰的通訊可以包括固定持續時間（例如，固定量的時間或者固定量的資料（例如，固定數量的資料封包））內的資料通訊及/或經由專用通訊鏈路（例如，針對1460處的UL和DL資料通訊的專用無線電承載及/或針對用於建立更實質的重新認證的1465處的通訊的專用無線電承載）的通訊。該等操作可以促進無線設備115-j的針對各種通訊的比否則將被傳統LAN 340（例如，參考圖5描述的傳統LAN 340-a）允許的交遞更平滑及/或更迅速的交遞。例如，傳統LAN 340的安全性策略可能不允許AP 244之間的安全資訊的此種轉發，並且可能要求STA 242的更實質的認證（例如，與目標AP的新的重新認證及/或與AAA 248的完整認證），並且因此不允許臨時安全金鑰被交換。

經由對比，因為使用特定的協定（例如，蜂巢RAT的態樣）來支援允許在AN 405之間提供此種臨時安全金鑰的源AN 405-j與目標AN 405-k之間的安全的層，所以可以在更實質的認證被執行（例如，與認證伺服器410-f的）之前在LAN 440-d中允許至少部分地基於臨時安全金鑰K_AN *的通訊。因此，至少部分地基於臨時安全金鑰K_AN *的1460及/或1465處的通訊可以經由限制或者避免與諸如是以STA為中心的交遞程序此種傳統LAN 340的交遞程序相關聯的通訊中斷來提供無線設備115-j的從源AN 405-j向目標AN 405-k的更平滑的交遞。然而，經由根據關聯的使用策略限制至少部分地基於臨時安全金鑰K_AN *的通訊，LAN 440-d的各種安全性策略（例如，根據Wi-Fi協定的安全性策略或者某些其他專有安全性策略）可以仍然被支援（例如，至少部分地基於臨時安全金鑰K_AN *的到期、至少部分地基於對於不支援臨時安全金鑰的無線設備115將臨時安全金鑰K_AN *的使用限於特定類型的通訊或者特定的無線電承載等）。

在1480處，認證伺服器410-f可以向目標AN 405-k傳輸PMK。分別在1485和1487處，無線設備115-j和目標AN 405-k可以各自至少部分地基於PMK、新鮮值-UE和新鮮值-AN匯出第二安全金鑰。第二安全金鑰可以充當針對經由可以實施蜂巢RAT的態樣的無線設備115-j與目標AN 405-k之間的連接的無線設備115-j與LAN 440-d之間的安全的通訊的新K_AN 。

在1490處，目標AN 405-k可以向無線設備115-j傳輸RRC連接重新配置訊息，用以配置在其中保護是至少部分地基於第二安全金鑰的的受保護的DRB。RRC連接重新配置訊息可以包括使用第二安全金鑰來向無線設備115-j驗證目標AN 405-k具有第二安全金鑰的認可的訊息完整性代碼。

在1495處，無線設備115-j可以經由傳輸RRC連接重新配置完成訊息對在1490處接收的RRC連接重新配置訊息作出回應。RRC連接重新配置完成訊息可以包括使用第二安全金鑰來向目標AN 405-k驗證無線設備115-j具有第二安全金鑰的認可的訊息完整性代碼。

在1497處，無線設備115-j可以經由在無線設備115-j與目標AN 405-k之間被建立的連接的新被配置的DRB與LAN 440-d（例如，LAN 440-d的LAN DS 446）交換乙太網路訊務。

因此，根據本案內容的態樣，無線設備115-j可以根據臨時安全金鑰K_AN *和針對臨時安全金鑰K_AN *的使用策略並且亦根據不受與臨時安全金鑰K_AN *相關聯的使用策略支配的1480的第二安全金鑰經由在無線設備115-j與目標AN 405-k之間被建立的連接與LAN 440-d安全地通訊。在某些實例中，此通訊可以包括在不同時間處發生的至少部分地基於臨時安全金鑰的安全的通訊和至少部分地基於第二安全金鑰的通訊。在某些實例中，該等安全的通訊可以包括從至少部分地基於臨時安全金鑰與LAN 440-d安全地通訊切換到至少部分地基於第二安全金鑰與LAN 440-d安全地通訊，並且切換可以是至少部分地基於從目標AN 405-k接收的配置訊息（例如，在1490處被傳輸的RRC連接重新配置訊息）、第二安全金鑰的可用性或者其組合的。

如本文中使用的，至少部分地基於被描述為「不受」針對另一個安全金鑰的約束策略「支配」的安全金鑰的安全的通訊可以指在其中另一個安全金鑰的約束策略中沒有任何約束策略被應用的通訊、在其中另一個安全金鑰的約束策略的某個子集被應用的通訊、在其中完全不同的約束策略被應用的通訊、在其中沒有任何約束策略適用的通訊等。換言之，至少部分地基於兩個不同的安全金鑰的安全的通訊可以是基於不同的約束策略的。

在訊息流程1400的變型中，認證伺服器410-f可以是中央建鑰節點805（例如，無線LAN控制器）或者以其他方式被與中央建鑰節點805整合在一起，並且利用中央建鑰節點805被執行的認證程序可以是至少部分地基於以下各項的：懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。

圖 15 圖示根據本案內容的各種態樣的用於建立無線設備115-l與LAN 440-e之間的安全連接的示例性訊息流程1500。訊息流程1500說明了無線設備115-l、LAN 440-e的AN 405-l、LAN 440-e的中央建鑰節點805-a和LAN 440-e的認證伺服器410-g之間的訊息。無線設備115-l可以是參考圖1、圖2、圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的無線設備115的態樣的實例。AN 405-l可以是參考圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的AN 405的態樣的實例。中央建鑰節點805-a可以是參考圖8描述的中央建鑰節點805的態樣的實例。認證伺服器410-g可以是參考圖4、圖6、圖8、圖11和圖12描述的認證伺服器410的態樣的實例。

在訊息流程1500中，在無線設備115-k與AN之間被傳輸的訊息可以經由至少部分地基於（例如，實現其態樣）蜂巢RAT（例如，LTE/LTE-A RAT）的連接被傳輸。在使用所描述的技術中的某些或者全部技術的替換的訊息流程中，可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-k與AN 405-l之間傳輸訊息。在某些實例中，在無線設備115-k與AN 405-l之間被傳輸的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-k、AN 405-l和認證伺服器410-g之間被傳輸的訊息的參數，該等參數是與所描述的技術相關的。在某些實例中，訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數之類的其他參數。

在某些實例中，作為訊息流程1500的一部分被傳輸的訊息可以是作為參考圖13描述的訊息流程1300的一部分被傳輸的訊息的實例，並且可以包括作為訊息流程1300的一部分被傳輸的對應（包括其整體）的訊息的態樣。

在1505處，AN 405-l可以廣播系統資訊（例如，傳輸SIB）。系統資訊可以包括用於配置用於與AN 405-l通訊的介面（例如，蜂巢介面或者LTE/LTE-A介面）的參數。在某些實例中，系統資訊可以包括快速過渡行動域ID（MDID）。至少部分地基於MDID，無線設備115-k可以辨識R0KH（例如，中央建鑰節點805-a）的變更（若有的話）。

在1510處，無線設備115-k可以啟動與AN 405-l的隨機存取程序（例如，RACH程序），用以建立與AN 405-l的C-RNTI，並且用以從AN 405-l獲得時序對準資訊。隨機存取程序可以是至少部分地基於在1505處接收的參數或者被儲存在無線設備115-k處的針對AN 405-l的配置的。

在1515處，無線設備115-k可以向AN 405-l傳輸RRC連接請求訊息。RRC連接請求訊息可以包括在1510處被建立的C-RNTI。

在1520處，AN 405-l可以經由向無線設備115-k傳輸RRC連接建立訊息對在1515處接收的RRC連接請求訊息作出回應。RRC連接建立訊息可以辨識（或者建立）被用於認證訊息的至少一個RB。至少一個RB可以包括SRB或者DRB。RRC連接建立訊息可以例如包括以下各項中的一些項或者全部項：被指示為將被包括在系統資訊廣播中的資訊（包括MDID，若其不在系統資訊廣播中被傳輸的話）；將被包括在1575或者1577處的安全金鑰的匯出中的諸如是新鮮值（例如，新鮮值-AN）的隨機參數；R1-金鑰-保存者-ID（R1KH-ID）和R0-金鑰-保存者-ID（R0KH-ID）；或者LAN 440-e上的無線設備115-k的MAC位址（其可以充當諸如是S1-金鑰-保存者ID（S1KH-ID）的懇求者金鑰保存者ID）。在某些實例中，R1KH-ID可以是LAN 440-e上的AN 405-l的MAC位址。在某些實例中，R0KH-ID可以是被稱為WLC的網路節點（例如，中央建鑰節點805-a）的辨識符。

在1525處，無線設備115-k可以經由向AN 405-l傳輸RRC連接建立完成訊息對在1520處接收的RRC連接建立訊息作出回應。RRC連接建立完成訊息可以確認被用於認證訊息的RB的建立，並且可以例如包括S1KH-ID，S1KH-ID在某些實例中可以是無線設備115-k的MAC位址。在無線設備115-k的MAC位址充當S1KH-ID並且在RRC連接建立訊息（1520處）中從AN 405-l被接收時，S1KH-ID可以不被包括在RRC連接建立訊息中。RRC連接建立完成訊息可以亦包括將被包括在1575或者1577處的安全金鑰的匯出中的諸如是新鮮值（例如，新鮮值-UE）的隨機參數。

在某些實例中，1525處的通訊可以亦包括對於FT認證的請求，該請求可以包括對如本文中描述的FT參數的決定、交換及/或快取。在某些實例中，對於FT認證的請求可以是至少部分地基於從AN 405-l接收對於基於網路的FT的支援的指示的。此種支援指示可以由AN 405-l例如在1505處的SIB中、1510處的RACH訊息期間、1525處的RRC連接建立訊息期間或者無線設備115-k與AN 405-l之間的任何其他通訊期間提供。在某些實例中，來自AN 405-l的對針對基於網路的FT的支援的指示可以回應於1525處的FT認證請求被提供，並且可以在受保護的通訊中被提供（例如，作為1580處的AS安全模式命令的一部分、在1590處的RRC連接重新配置訊息期間或者在認證程序之後的無線設備115-k與AN 405-l之間的某些其他通訊期間）。在某些實例中，無線設備115-k可以至少部分地基於接收對針對基於網路的FT的支援的指示相應地向AN 405-l傳輸FT參數的集合。

在1530處，AN 405-l可以觸發無線設備115-k與認證伺服器410-g之間的認證程序。根據在無線設備115-k與認證伺服器410-g之間被執行的認證程序，無線設備115-k和認證伺服器410-g中的每項可以在1535或者1540處匯出MSK。根據MSK，無線設備115-k和認證伺服器410-g中的每項可以在1545或者1550處匯出PMKR0。無線設備115-k與認證伺服器410-g之間的認證程序可以例如使用EAP。可以例如包括在於1520處被辨識的RB上原生地如此地以各種方式在無線設備115-k與認證伺服器410-g之間（例如，經由AN 405-l）交換EAP訊息。可以經由中央建鑰節點805-a對EAP傳輸進行路由。

在1555處，認證伺服器410-g可以在安全的通道上向中央建鑰節點805-a轉發PMKR0。在1560和1565處，中央建鑰節點805-a和無線設備115-k可以分別使用KDF（例如，使用在IEEE 802.11r中定義的KDF）根據PMKR0匯出PMKR1。KDF可以是至少部分地基於AN 405-l和無線設備115-k的MAC位址的。在1570處，中央建鑰節點805-a可以向AN 405-l傳輸PMKR1。

在1575和1577處，無線設備115-k和AN 405-l中的每項可以使用KDF來根據PMKR1匯出新鮮通信期金鑰K_AN （例如，安全金鑰）。KDF的一個實例是IEEE 802.11i中的被用於根據PMK匯出PTK的KDF。除了諸如是AN 405-l的PCI、CGI或者MAC位址此種AN專用的ID之外，KDF可以是至少部分地基於在無線設備115-k與AN 405-l之間被交換的隨機參數（例如，新鮮值-UE和新鮮值-AN）的。可以根據通信期金鑰K_AN 匯出另外的安全金鑰，以便與LAN 440-e（例如，與LAN 440-e的LAN DS 446）安全地通訊。諸如是K_UP 和K_RRC 此種該等另外的安全金鑰可以被用於保護如例如在3GPP TS 33.401中定義的分別經由DRB或者SRB被傳輸的訊務。

在1580處，AN 405-l可以向無線設備115-k傳輸AS安全模式命令訊息。AS安全模式命令訊息可以指示將被無線設備115-k用於與LAN 440-e安全地通訊的具體的密碼套件，並且可以包括使用K_AN 來證明AN的關於K_AN 的認可的訊息完整性代碼。

在1585處，無線設備115-k可以經由向AN 405-l傳輸AS安全模式命令完成訊息對在1580處接收的AS安全模式命令訊息作出回應。AS安全模式命令完成訊息可以包括使用K_AN 來證明無線設備的關於K_AN 的認可的訊息完整性代碼。

在1590處，AN 405-l可以向無線設備115-k傳輸RRC連接重新配置訊息，以便建立何者DRB和SRB至少部分地基於K_AN 被保護。

在1595處，無線設備115-k可以配置在1590處被辨識的RB，並且可以經由向AN 405-l傳輸RRC連接重新配置完成訊息對在1590處接收的RRC連接重新配置訊息作出回應。其後，無線設備115-k可以經由在受保護的DRB上傳輸具有其MAC位址的乙太網路封包來與LAN 440-e（例如，與LAN 440-e的LAN DS 446）安全地通訊。

圖 16 圖示根據本案內容的各種態樣的用於執行與LAN 440-f的安全連接的從源AN 405-m向目標AN 405-n的快速過渡的示例性訊息流程1600。訊息流程1600說明了無線設備115-l、源AN 405-m、目標AN 405-n和中央建鑰節點805-b之間的訊息。無線設備115-l可以是參考圖1、圖2、圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的無線設備115的態樣的實例。源AN 405-m和目標AN 405-n可以是參考圖4、圖6、圖8、圖9、圖10、圖11和圖12描述的AN 405的態樣的實例。中央建鑰節點805-b可以是參考圖8和圖15描述的中央建鑰節點805的態樣的實例。

在訊息流程1600中，在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間被傳輸的訊息可以經由至少部分地基於（例如，實現其態樣）蜂巢RAT（例如，LTE/LTE-A RAT）的連接被傳輸。在使用所描述的技術中的某些或者全部技術的替換的訊息流程中，可以經由至少部分地基於另一種類型的RAT的連接在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間傳輸訊息。在某些實例中，在無線設備115-l與源AN 405-m之間或者無線設備115-l與目標AN 405-n之間被傳輸的訊息可以是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息或者至少部分地基於在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的訊息的訊息。本案內容描述了在無線設備115-l、源AN 405-m、目標AN 405-n和中央建鑰節點805-b之間被傳輸的訊息的參數，該等參數是與所描述的技術相關的。在某些實例中，訊息可以包括諸如是在3GPP TS 36.300、TS 36.331或者TS 33.401中被描述的其他參數此種其他參數。

在1605處，無線設備115-l可以被連接到源AN 405-m（例如，經由第一連接，第一連接可以是例如根據參考圖13和圖15描述的訊息流程1300及/或1500的操作建立的），並且源AN 405-m可以向無線設備115-l傳輸RRC連接重新配置訊息，以便建立何者DRB和SRB至少部分地基於第一安全金鑰K_AN 被保護。在某些實例中，RRC連接重新配置訊息可以為無線設備115-l提供量測配置。量測配置可以使無線設備115-l能夠量測與源AN 405-m和潛在的目標AN（例如，包括目標AN 405-n）的通訊的參數。可以隨後將該等所量測的參數提供給LAN 440-f，以便支援如根據本案內容描述的基於網路的行動性操作。LAN 440-f的基於網路的行動性操作是與可以根據以STA為中心的行動性操作來操作的傳統LAN 340（例如，參考圖7描述的傳統LAN 340-b）相反的。因此，如本文中描述的，用於支援LAN 440-f的基於網路的行動性操作的修改可以相比於傳統LAN 340改良交遞操作，包括與FT參數的交換有關的彼等操作。

回應於接收RRC連接重新配置訊息，無線設備115-l可以配置所辨識的RB，並且經由向源AN 405-m傳輸RRC連接重新配置完成訊息（未圖示）對RRC連接重新配置訊息作出回應。在某些實例中，RRC連接重新配置訊息和RRC連接重新配置完成訊息可以是參考圖13描述的訊息流程1300中的在1380和1385處被傳輸的RRC連接重新配置訊息和RRC連接重新配置完成訊息的態樣的實例。

在1610處，無線設備115-l可以經由在受保護的DRB上傳輸具有其MAC位址的乙太網路封包經由與源AN 405-m的第一連接與LAN 440-f（例如，LAN 440-f的LAN DS 446）安全地通訊。

在1615處，無線設備115-l可以使用在1605處接收的量測配置來量測從目標AN 405-n接收的通訊。例如，無線設備115-l可以量測從目標AN 405-n接收的通訊的信號強度。

在1620處，無線設備115-l可以接收被目標AN 405-n廣播的系統資訊（例如，SIB）。系統資訊可以包括例如以下各項的資訊中的任何資訊：參考圖13描述的訊息流程1300的1305處的SIB、參考圖14描述的訊息流程1400的1420處的SIB及/或參考圖15描述的訊息流程1500的1505處的SIB。在某些實例中，無線設備115-l可以解碼所接收的系統資訊的僅一部分，諸如對於獲得目標AN 405-n的PCI或者CGI足夠的系統資訊。

在1625處，無線設備115-l可以向源AN 405-m傳輸量測報告。除了目標AN 405-n的諸如是PCI或者CGI此種辨識資訊之外，量測報告可以包括與來自目標AN 405-n的通訊的量測相關的資訊。量測報告可以包括可以被源AN 405-m用於在訊息流程1600的稍後的階段處辨識具體的新鮮值-UE的諸如是新鮮值（例如，新鮮值-UE）或者新鮮值-UE-ID此種隨機參數。

根據本案內容的態樣，無線設備115-l可以向源AN 405-m傳輸與認證有關的FT參數的集合，以用於在源AN 405-m處進行快取，對於隨後的交遞向源AN 405-m委託FT參數。FT參數可以包括建鑰材料及/或與無線設備115-l的身份有關的資訊，此種資訊例如包括與懇求者金鑰保存者辨識符（例如，S1KH-ID）有關的資訊、與第一認證器金鑰保存者ID有關的資訊、與安全金鑰有關的資訊、快速基本服務集（BSS）過渡參數的集合或者其組合。可以在各種訊息中將FT參數提供給源AN 405-m，包括在1610處的UL資料中、利用1625處的量測報告或者利用在無線設備115-l與源AN 405-m之間的連接的建立期間被交換的其他訊息（例如，如參考參考圖13和圖15描述的訊息流程1300和1500描述的）。在某些實例中，由無線設備115-l傳輸FT參數可以是至少部分地基於接收對如參考圖13和圖15描述的對於基於網路的FT的支援的指示的。隨後，源AN 405-m可以對FT參數的集合進行快取以便在交遞期間進行轉發。

在1630處，源AN 405-m可以至少部分地基於該量測報告決定啟動無線設備115-l的從源AN 405-m向目標AN 405-n的交遞。

在1635處，源AN 405-m可以向目標AN 405-n傳輸HO請求訊息。HO請求訊息可以包括無線設備的上下文。在某些實例中，HO請求訊息可以是經由LAN 440-f（例如，經由LAN 440-f的LAN DS 446）被路由的X2訊息。在某些實例中，源AN 405-m可以經由至少部分地基於被包括在來自無線設備115-l的量測報告中的PCI或者CGI對查閱資料表編制索引來取得目標AN 405-n的傳輸位址。HO請求訊息亦可以例如包括諸如是S1KH-ID（例如，無線設備115-l的MAC位址）、R0KH-ID（例如，中央建鑰節點805-b的ID）、根據PMKR0匯出的PMKR0名稱（如例如由IEEE 802.11r定義的）、新鮮值-UE（以及最終地，新鮮值-UE-ID）、無線設備115-l的能力資訊（例如，被無線設備115-l支援的密碼套件）或者其組合此種FT參數。

經由在源AN 405-m處對無線設備115-l的FT參數進行快取和在交遞期間將FT參數從源AN 405-m提供給目標AN 405-n，LAN 440-f可以提供相比於不支援此種操作的傳統LAN 340的改良了的交遞操作。例如，因為LAN 440-f已被修改為支援AN 405之間的FT參數交換，所以源AN 405-m和目標AN 405-n可能已建立支援AN 405之間的此種安全參數的直接交換的安全協定。另一態樣，根據傳統協定操作的傳統LAN 340（例如，參考圖7描述的傳統LAN 340-b）可能不具有AP 244之間的此種被建立的信任，並且因此將不支援此種交換（例如，在R1金鑰保存者之間）。

另外，因為LAN 440-f利用基於網路的行動性操作來操作，所以交遞決策和操作可以被如本文中描述的LAN 440-f中的各種設備協調。相應地，在交遞操作被LAN 440-f的設備啟動和執行時，無線設備115-l可以被併發地與源AN 405-m連接在一起和經由源AN 405-m進行通訊，並且此種交遞決策和操作可以是對於無線設備115-l透通的。另一態樣，傳統LAN 340（例如，參考圖7描述的傳統LAN 340-b）執行以STA為中心的行動性操作，並且相應地不可以支援此種併發的連接。相反，根據傳統LAN 340的以STA為中心的行動性協定，STA 242可以執行與源AP 244的通訊，決定與目標AP 244連接在一起，並且可以在執行用於建立與目標AP 244的連接的交遞操作時經歷通訊的顯著的中斷。在1640處，在使用中央建鑰節點805-b來使用FT參數提供經更新的安全金鑰的實例中，代表新的R1KH的目標AN 405-n可以至少部分地基於R0KH-ID辨識中央建鑰節點805-b，並且向中央建鑰節點805-b轉發FT資訊（例如，從無線設備115-l接收的FT參數的至少一部分）。被轉發的資訊可以例如包括S1KH-ID（例如，無線設備115-l的MAC位址）、R1KH-ID（例如，目標AN 405-n的MAC位址）、PMKR0名稱和R0KH-ID。

在1645處，中央建鑰節點805-b可以至少部分地基於S1KH-ID和PMKR0名稱取得PMKR0。在1650處，中央建鑰節點805-b可以使用KDF（例如，被IEEE 802.11i用於根據PMK匯出PTK的KDF）至少部分地基於S1KH-ID和目標AN 405-n的R1KH-ID匯出PMKR1。在1655處，中央建鑰節點805-b可以使用受保護的連接向目標AN 405-n傳輸PMKR1。

在1660處，目標AN 405-n可以選擇隨機參數（例如，新鮮值-AN），並且根據PMKR1、新鮮值-AN和新鮮值-UE匯出新鮮通信期金鑰K_AN 。目標AN 405-n可以利用1665處的HO請求ACK訊息對來自源AN 405-m的HO請求作出回應。HO請求ACK訊息可以包括用於保存針對無線設備115-l的用於連接到目標AN 405-n的RRC配置的容器。RRC配置可以包括至少部分地基於FT參數的安全參數的集合。安全參數的集合可以例如包括新鮮值-AN、新鮮值-UE-ID、R1KH-ID（例如，目標AN 405-n的MAC位址）、金鑰壽命間隔、重連期限間隔、密碼套件選擇器和使用K_AN 來證明該安全金鑰的認可的訊息完整性代碼（MIC）。因為K_AN 是在1660處至少部分地基於1650的PMKR1匯出的，並且PMKR1是在1650處至少部分地基於無線設備115-l的S1KH-ID（FT參數的實例）匯出的，所以安全參數的集合因此可以是至少部分地基於針對安全參數的至少該集合的FT參數包括使用K_AN 來證明安全金鑰的認可的MIC的。然而，存在其他的實例，其中被交換的FT參數可以被用於產生可以被源AN 405從目標AN 405轉發到無線設備115以便促進無線設備115的從源AN 405向目標AN 405的被網路協調的交遞的安全參數的集合。

在1670處，源AN 405-m可以在RRC連接重新配置訊息中將從目標AN 405-n獲得的RRC配置轉發給無線設備115-l。在該點處，無線設備115-l和目標AN 405-n保存針對無線設備115-l與目標AN 405-n之間的直接蜂巢連接的RRC配置，包括目標AN 405-n的R1KH-ID以及隨機參數新鮮值-UE和新鮮值-AN。在1675和1680處，無線設備115-l可以匯出PMKR1和通信期金鑰K_AN ，並且可以對被包含在隨RRC連接重新配置訊息被包括的安全參數的集合中的MIC進行驗證。

在1685處，無線設備115-l可以執行與目標AN 405-n的RACH交握。

在1690處，無線設備115-l可以向目標AN 405-n傳輸RRC連接重新配置完成訊息，因此建立在其中保護是至少部分地基於安全金鑰K_AN 的的受保護的DRB。RRC連接重新配置完成訊息可以包括使用K_AN 來證明該金鑰的認可的MIC。目標AN 405-n可以對MIC進行驗證。受保護的DRB可以被用於與LAN 440-f（例如，與LAN 440-f的LAN DS 446）的乙太網路訊務的交換。RRC配置亦可以建立用於RRC訊息的SRB，並且可以建立可用於利用認證伺服器410執行認證程序的第二DRB（未圖示），如由對無線設備115-l是否需要執行與認證伺服器410的認證交握的指示所指示的。

在1695處，無線設備115-l可以使用受保護的DRB來與LAN 440-f（例如，與LAN 440-f的LAN DS 446）交換UL和DL乙太網路訊務。受保護的DRB可以至少部分地基於安全金鑰K_AN 被保護。

相應地，如本文中描述的，針對無線設備115-l與LAN 440-f之間的通訊的訊息流程1600有利地支援在其中LAN 440-f提供基於網路的行動性操作的經修改的方法，其中無線設備115-l可以提供針對LAN 440-f的AN 405（例如，源AN 405-m和目標AN 405-n）之間的直接交換被委託的FT參數。該等FT參數可以被LAN 440-f的設備（例如，源AN 405-m、目標AN 405-n和中央建鑰節點805-b）用於促進AN 405之間的更平滑的交遞，以及執行對無線設備115-l透通的交遞操作，以及支援在此種交遞操作發生時無線設備115-l與LAN 440-f之間的併發的通訊，從而相比於在根據傳統LAN 340的協定（例如，Wi-Fi協定）操作時可能被經歷的彼等通訊中斷，減少交遞期間的通訊中斷。

圖 17 圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備1705的方塊圖1700。設備1705可以是如參考圖1、圖2、圖4、圖6、圖8和圖9-圖16描述的無線設備115的態樣的實例。設備1705可以包括接收器1710、無線設備通訊管理器1715和傳輸器1720。設備1705可以亦包括處理器。該等部件之每一者部件可以與彼此通訊（例如，經由一或多個匯流排）。

接收器1710可以接收與各種資訊通道相關聯的諸如是封包、使用者資料或者控制資訊此種資訊（例如，控制通道、資料通道和與用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術相關的資訊等）。可以將所接收的資訊繼續傳遞給設備1705的其他部件。接收器1710可以是參考圖19描述的收發機1935的態樣的實例。接收器1710可以包括或者與單個天線或者複數個天線相關聯。

傳輸器1720可以傳輸由設備1705的其他部件產生的信號。在某些實例中，可以將傳輸器1720與接收器1710共置在收發機模組中。例如，傳輸器1720可以是參考圖19描述的收發機1935的態樣的實例。傳輸器1720可以包括或者與單個天線或者複數個天線相關聯。

無線設備通訊管理器1715及/或其各種子部件中的至少一些子部件可以用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若用被處理器執行的軟體來實現，則無線設備通訊管理器1715及/或其各種子部件中的至少一些子部件的功能可以被通用處理器、數位信號處理器（DSP）、特殊應用積體電路（ASIC）、現場可程式設計閘陣列（FPGA）或者其他可程式設計邏輯設備、個別閘門或者電晶體邏輯、個別的硬體部件或者被設計為執行本案內容中描述的功能的其任意組合執行。無線設備通訊管理器1715及/或其各種子部件中的至少一些子部件可以是在實體上位於各種位置處的，包括是分散式的使得功能的部分被一或多個實體設備在不同的實體位置處實現。在某些實例中，根據本案內容的各種態樣，無線設備通訊管理器1715及/或其各種子部件中的至少一些子部件可以是單獨的並且不同的部件。在其他實例中，根據本案內容的各種態樣，可以將無線設備通訊管理器1715及/或其各種子部件中的至少一些子部件與包括但不限於I/O部件、收發機、網路伺服器、另一個計算設備、本案內容中描述的一或多個其他部件或者其組合的一或多個其他硬體部件組合在一起。無線設備通訊管理器1715亦可以是參考圖19描述的無線設備通訊管理器1915的態樣的實例。

在其中無線設備通訊管理器1715支援如本文中描述的用於建立與LAN 440的經由AN 405的安全連接的經修改的技術的實例中，無線設備通訊管理器1715可以（例如，與接收器1710及/或傳輸器1720合作地）建立與LAN 440的AN 405的連接，決定執行認證，接收對如作為NAS層或者RRC層的用於認證的協定終點的指示，並且基於所接收的指示經由與AN 405已建立的連接執行與協定終點的認證。

在其中無線設備通訊管理器1715支援如本文中描述的用於與LAN 440的連接的從源AN 405向目標AN 405的交遞的經修改的技術的實例中，無線設備通訊管理器1715可以（例如，與接收器1710及/或傳輸器1720合作地）基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊，執行從LAN 440的源AN 405向LAN 440的目標AN 405的交遞，基於第一安全金鑰匯出第二安全金鑰，基於第二安全金鑰和針對第二安全金鑰的約束策略經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊，經由第二連接利用與LAN 440的目標AN 405相關聯的認證節點執行認證程序以便獲得第三安全金鑰，第三安全金鑰是不受約束策略支配的，並且基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。

在其中無線設備通訊管理器1715支援用於與LAN 440的連接的從源AN 405向目標AN 405的快速過渡的經修改的技術的實例中，無線設備通訊管理器1715可以（例如，與接收器1710及/或傳輸器1720合作地）經由第一連接向LAN 440的源AN 405傳輸用於在用於交遞的源AN 405處進行快取的關於認證的FT參數的集合，經由第一連接從源AN 405接收用於決定用於交遞的AN 405的配置，經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的交遞的命令，命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是基於FT參數的集合的，並且基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。

圖 18 圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的無線設備通訊管理器1815的方塊圖1800。無線設備通訊管理器1815可以是如參考圖17和圖19描述的無線設備通訊管理器1715或者無線設備通訊管理器1915的態樣的實例。無線設備通訊管理器1815可以包括無線設備連接管理器1820、無線設備認證管理器1825、無線設備LAN通訊管理器1830、無線設備交遞管理器1835、無線設備金鑰管理器1840、無線設備FT管理器1845和無線設備承載管理器1850。該等模組之每一者模組可以與彼此直接或者間接地通訊（例如，經由一或多個匯流排）。無線設備通訊管理器1815可以亦與傳輸器和接收器（未圖示）通訊，傳輸器和接收器可以是參考圖17描述的接收器1710及/或傳輸器1720的態樣的實例。無線設備通訊管理器1815可以與傳輸器及/或接收器合作地操作以便支援本文中描述的各種操作。

無線設備連接管理器1820可以建立如本文中描述的與LAN 440的AN 405的連接。在某些實例中，無線設備連接管理器1820可以接收與AN 405相關聯的辨識符，基於所接收的辨識符取得AN 405的配置，並且基於所接收的針對AN 405的配置資訊建立與其的連接。在某些實例中，由無線設備連接管理器1820建立的連接可以使用蜂巢RAT來建立。在某些實例中，無線設備連接管理器1820可以選擇用於執行隨機存取程序的至少一個資源，並且使用至少一個所選擇的資源執行與AN 405的隨機存取程序，其中用於執行隨機存取程序的至少一個所選擇的資源包括關於將利用認證器執行認證的指示。

無線設備認證管理器1825可以管理如本文中描述的在無線設備115與LAN 440之間被執行的認證的態樣。例如，無線設備認證管理器1825可以決定執行認證，接收對如作為NAS層或者RRC層的用於認證的協定終點的指示，並且基於所接收的指示經由與AN 405已建立的連接執行與協定終點的認證。在某些情況下，決定執行認證可以包括：選擇被與AN 405共置的認證器或者被託管在放置得遠離AN 405的LAN 440的節點處的認證器——第二認證器或者該兩者來執行認證。在某些情況下，無線設備認證管理器1825可以基於被儲存在無線設備115處的AN 405的配置決定執行認證。

在某些實例中，無線設備認證管理器1825可以接收關於AN 405使用認證器執行認證的指示，並且決定執行認證可以是基於接收關於AN 405使用認證器執行認證的指示的。在某些情況下，在以下各項中的至少一項中接收關於AN 405使用認證器執行認證的指示：系統資訊、對無線設備115的查詢的回應、RACH建立訊息或者其組合。在某些實例中，無線設備認證管理器1825可以向AN 405傳輸關於將利用認證器執行認證的指示。在某些情況下，所傳輸的將利用認證器執行認證的指示在RRC連接建立訊息中被傳輸。

在各種實例中，可以經由RRC層及/或NAS層執行認證。在某些情況下，經由RRC層或者乙太網路執行認證（例如，將認證訊息封裝在用於經由NAS層經由AN並且經由LAN從無線設備向認證器傳輸的乙太網路封包中）。在某些情況下，可以執行利用諸如是無線LAN控制器此種認證節點的認證，並且認證程序可以是基於以下各項的：懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。在某些情況下，認證節點包括認證伺服器，並且認證程序可以是基於EAP的。在某些情況下，用於認證的協定終點包括認證器，並且執行認證包括無線設備認證管理器1825經由與同AN 405的已建立的連接相關聯的無線電承載與認證器交換認證資訊。在某些情況下，認證可以是基於經由與同AN 405的已建立的連接相關聯的無線電承載被執行的可擴展認證協定（EAP）的。

在某些實例中，無線設備認證管理器1825可以接收關於AN 405使用第二認證器執行認證的指示，其中第二認證器被包含在與AN 405相關聯的CN（例如，包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等）中。在此種實例中，無線設備認證管理器1825可以決定經由AN 405利用第二認證器執行第二認證。在某些情況下，經由NAS層執行第二認證。

在某些實例中，無線設備認證管理器1825可以支援用於與LAN 440的連接的從源AN 405向目標AN 405的交遞的經修改的技術。例如，無線設備認證管理器1825可以經由與LAN 440的目標AN 405已建立的連接執行認證程序。可以經由至少部分地基於臨時安全金鑰（例如，受約束策略支配的金鑰）的通訊執行認證程序。可以利用與目標AN 405相關聯的認證節點執行經由目標AN 405的認證，並且利用認證節點的認證可以提供不受安全金鑰約束策略支配的安全金鑰。

無線設備LAN通訊管理器1830可以管理如本文中描述的在支援與LAN 440的安全的通訊時被無線設備115執行的操作。例如，無線設備LAN通訊管理器1830可以支援基於安全金鑰經由與LAN 440的AN 405的連接與LAN 440安全地通訊。在某些實例中，無線設備LAN通訊管理器1830可以基於所產生的安全金鑰經由經由與同AN 405的已建立的連接相關聯的無線電承載的連接與LAN 440安全地通訊。

在某些實例中，被無線設備LAN通訊管理器1830執行的安全的通訊可以是基於不同的安全金鑰的，並且基於不同的安全金鑰的通訊可以在不同的時間處發生。在某些實例中，無線設備LAN通訊管理器1830可以從基於第一安全金鑰與LAN 440安全地通訊切換到基於第二安全金鑰與LAN 440安全地通訊，並且切換可以是基於以下各項的：從目標AN 405接收的配置訊息、第二安全金鑰的可用性或者其組合。

在某些實例中，無線設備LAN通訊管理器1830可以基於安全金鑰和針對安全金鑰的約束策略與LAN 440安全地通訊。在某些情況下，針對安全金鑰的約束策略包括以下各項中的至少一項：在其內安全金鑰對於經由第二連接與LAN 440安全地通訊而言有效的時間間隔；對於其安全金鑰對於經由第二連接與LAN 440安全地通訊而言有效的封包的數量；對於其安全金鑰對於經由第二連接與LAN 440安全地通訊而言有效的一或多個無線電承載的集合；對於其安全金鑰對於經由第二連接與LAN 440安全地通訊而言有效的無線電承載類型；或者其組合。無線設備LAN通訊管理器1830可以在以下各項中的至少一項中接收針對安全金鑰的約束策略：從LAN 440接收的配置資訊、從LAN 440的源AN 405接收的交遞命令訊息、從目標AN 405接收的配置資訊或者其組合。

無線設備交遞管理器1835可以管理如本文中描述的在支援從源AN 405向目標AN 405的交遞時被無線設備115執行的操作。例如，無線設備交遞管理器1835可以從LAN 440的源AN 405接收用於決定用於交遞的AN 405的配置。配置可以是與伴隨無線設備115的量測配置相關聯的，並且無線設備交遞管理器1835可以隨後量測從LAN 440的目標AN 405接收的至少一個信號。

無線設備交遞管理器1835可以隨後向源AN 405傳輸包括關於目標AN 405的資訊的量測報告，關於目標AN 405的資訊是基於配置的，並且隨後從源AN 405接收對於執行向LAN 440的目標AN 405的交遞的命令。對於執行交遞的命令可以包括目標AN 405的配置資訊及/或基於由無線設備115提供的FT參數的集合的與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合。在某些情況下，安全參數的集合包括以下各項中的至少一項：關於金鑰保存者辨識符（ID）的資訊、密碼套件選擇參數、在其內安全金鑰有效的時間間隔、隨機參數、隨機參數辨識符、安全金鑰的認可的證明或者其組合。無線設備交遞管理器1835可以接收交遞命令（例如，基於對來自目標AN 405的信號的量測），並且執行從LAN 440的源AN 405向LAN 440的目標AN 405的交遞。

無線設備金鑰管理器1840可以執行如本文中描述的與無線設備115處的金鑰產生和管理相關聯的操作。例如，無線設備金鑰管理器1840可以如本文中描述的一般基於被交換的認證資訊及/或隨機參數產生安全金鑰。在某些實例中，無線設備金鑰管理器1840可以基於另一個安全金鑰匯出安全金鑰（例如，臨時安全性，受約束於使用策略）。在某些實例中，無線設備金鑰管理器1840可以向目標AN 405傳輸基於FT參數的集合、安全參數的集合或者其組合的安全金鑰的認可的證明。

無線設備FT管理器1845可以管理如本文中描述的與從源AN 405向目標AN 405的快速過渡相關聯的被無線設備115執行的操作。例如，無線設備FT管理器1845可以經由第一連接向LAN 440的源AN 405傳輸用於在用於交遞的源AN 405處進行快取的關於認證的FT參數的集合。在某些實例中，無線設備FT管理器1845可以從源AN 405接收對針對基於網路的FT的支援的指示，可以基於接收對針對基於網路的FT的支援的指示向源AN 405傳輸FT參數的集合。在某些情況下，FT參數的集合包括以下各項中的至少一項：關於懇求者金鑰保存者ID的資訊、關於第一認證器金鑰保存者ID的資訊、關於安全金鑰的資訊、快速基本服務集（BSS）過渡參數的集合或者其組合。

無線設備承載管理器1850可以管理如本文中描述的與無線電承載相關聯（如與同AN 405的已建立的連接相關聯）的無線設備115處的操作。例如，無線設備承載管理器1850可以基於安全金鑰建立一或多個無線電承載。在某些情況下，可以經由與同AN 405的已建立的連接相關聯的無線電承載執行認證。在某些情況下，被無線設備承載管理器1850管理的一或多個無線電承載可以包括以下各項中的至少一項：信號傳遞無線電承載、資料無線電承載或者其組合。

圖 19 圖示根據本案內容的各種態樣的包括支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備1905的系統1900的圖。設備1905可以是如參考圖1、圖2、圖4、圖6、圖8和圖9直到圖18描述的無線設備115或者設備1705的實例或者包括無線設備115或者設備1705的部件。設備1905可以包括用於雙向的語音和資料通訊的部件，此種部件包括用於傳輸和接收通訊的部件，包括無線設備通訊管理器1915、處理器1920、記憶體1925、軟體1930、收發機1935、天線1940和I/O控制器1945。該等部件可以經由一或多個匯流排（例如，匯流排1910）電子地通訊。

處理器1920可以包括智慧硬體設備（例如，通用處理器、DSP、中央處理單元（CPU）、微控制器、ASIC、FPGA、可程式設計邏輯設備、個別閘門或者電晶體邏輯部件、個別的硬體部件或者其任意組合）。在某些情況下，處理器1920可以被配置為使用記憶體控制器操作記憶體陣列。在其他情況下，記憶體控制器可以被整合到處理器1920中。處理器1920可以被配置為執行被儲存在記憶體中的電腦可讀取指令，以便執行各種功能（例如，支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的功能或者任務）。

記憶體1925可以包括隨機存取記憶體（RAM）和唯讀記憶體（ROM）。記憶體1925可以儲存包括指令的電腦可讀取、電腦可執行軟體1930，指令在被（例如，被處理器1920）執行時，使設備1905執行本文中描述的各種功能。在某些情況下，記憶體1925特別可以包含基本輸入/輸出系統（BIOS），BIOS可以控制諸如是與周邊部件或者設備的互動之類的基本硬體及/或軟體操作。

軟體1930可以包括用於實現本案內容的態樣的代碼，包括用於支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的代碼。軟體1930可以被儲存在諸如是系統記憶體此種非暫時性電腦可讀取媒體或者其他記憶體中。在某些情況下，軟體1930可以不是可以被處理器直接執行的，但可以使電腦（例如，在被編譯並且被執行時）執行本文中描述的功能。

收發機1935可以如上文描述的一般經由一或多個天線、有線的或者無線的鏈路雙向地進行通訊。例如，收發機1935可以代表無線收發機，並且可以與另一個無線收發機雙向地通訊。收發機1935可以亦包括數據機，數據機用於對封包進行調制，並且將經調制的封包提供給天線以用於傳輸，以及用於對從天線接收的封包進行解調。在某些情況下，設備1905可以包括單個天線1940。然而，在某些情況下，設備1905可以具有多於一個天線1940，多於一個天線1940可以是能夠併發地傳輸或者接收多個無線傳輸的。

I/O控制器1945可以管理設備1905的輸入和輸出信號。I/O控制器1945亦可以管理未被整合到設備1905中的周邊。在某些情況下，I/O控制器1945可以代表去往外部的周邊的實體連接或者埠。在某些情況下，I/O控制器1945可以採用諸如是iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或者另一種已知的作業系統之類的作業系統。在其他情況下，I/O控制器1945可以代表數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備或者與數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備互動。在某些情況下，I/O控制器1945可以被實現為處理器的一部分。在某些情況下，使用者可以經由I/O控制器1945或者經由被I/O控制器1945控制的硬體部件與設備1905互動。

無線設備通訊管理器1915可以是參考圖17和圖18描述的無線設備通訊管理器1715和1815的態樣的實例。無線設備通訊管理器1915可以執行如本文中描述的與同LAN 440的經由AN 405的安全連接的建立相關的各種操作，及/或可以管理至少部分地被設備1905的其他部分執行的此種操作的態樣。例如，無線設備通訊管理器1915可以與收發機1935和天線1940及/或I/O控制器1945合作地執行通訊操作。在某些實例中，無線設備通訊管理器1915可以被體現在獨立的處理器中，並且可以與處理器1920協調地執行操作。在某些實例中，無線設備通訊管理器1915可以被體現在軟體/韌體代碼（例如，如被儲存在記憶體1925中或者無線設備1905上的其他地方的）中，並且被處理器1920執行。

圖 20 圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備2005的方塊圖2000。設備2005可以是如參考圖1描述的AN 405的態樣的實例。設備2005可以包括接收器2010、AN通訊管理器2015和傳輸器2020。設備2005亦可以包括處理器。該等部件之每一者部件可以與彼此通訊（例如，經由一或多個匯流排）。

接收器2010可以接收與各種資訊通道相關聯的諸如是封包、使用者資料或者控制資訊此種資訊（例如，控制通道、資料通道和與用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術相關的資訊等）。可以將所接收的資訊繼續傳遞給設備2005的其他部件。接收器2010可以是參考圖23描述的收發機2335的態樣的實例。接收器2010可以包括或者與單個天線或者複數個天線相關聯。

傳輸器2020可以傳輸由設備2005的其他部件產生的信號。在某些實例中，可以將傳輸器2020與接收器2010共置在收發機模組中。例如，傳輸器2020可以是參考圖23描述的收發機2335的態樣的實例。傳輸器2020可以包括單個天線，或者其可以包括天線的集合。

AN通訊管理器2015及/或其各種子部件中的至少一些子部件可以用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若用被處理器執行的軟體來實現，則AN通訊管理器2015及/或其各種子部件中的至少一些子部件的功能可以被通用處理器、DSP、ASIC、FPGA或者其他可程式設計邏輯設備、個別閘門或者電晶體邏輯、個別的硬體部件或者被設計為執行本案內容中描述的功能的其任意組合執行。AN通訊管理器2015及/或其各種子部件中的至少一些子部件可以是在實體上位於各種位置處的，包括是分散式的使得功能的部分被一或多個實體設備在不同的實體位置處實現。在某些實例中，根據本案內容的各種態樣，AN通訊管理器2015及/或其各種子部件中的至少一些子部件可以是單獨的並且不同的部件。在其他實例中，根據本案內容的各種態樣，可以將AN通訊管理器2015及/或其各種子部件中的至少一些子部件與包括但不限於I/O部件、收發機、網路伺服器、另一個計算設備、本案內容中描述的一或多個其他部件或者其組合的一或多個其他硬體部件組合在一起。AN通訊管理器2015亦可以是參考圖22描述的AN通訊管理器2215的態樣的實例。

在其中AN通訊管理器2015支援如本文中描述的用於建立與LAN 440的經由AN 405的安全連接的經修改的技術的實例中，AN通訊管理器2015可以建立與無線設備115的連接，決定無線設備115已決定執行認證，傳輸對如作為非存取層（NAS）層或者RRC層的用於認證的協定終點的指示，並且提供用於無線設備115與協定終點之間的認證的通訊。

在其中AN通訊管理器2015支援如本文中描述的用於與LAN 440的連接的從源AN 405向目標AN 405的交遞的經修改的技術的實例中，目標AN 405處的AN通訊管理器2015可以建立與無線設備115的連接；從LAN 440的第一網路節點（例如，源AN 405）接收第一安全金鑰，第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的；對與在無線設備115與LAN 440的第二網路節點（例如，諸如是認證伺服器410之類的認證節點）之間被執行的認證程序相關聯的認證資訊進行中繼；基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰；基於第一安全金鑰經由連接傳輸無線設備115與LAN 440之間的安全的通訊，其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用；並且基於第二安全金鑰經由連接傳輸無線設備115與LAN 440之間的安全的通訊，其中第二安全金鑰的使用是不受約束策略支配的。

在其中AN通訊管理器2015支援用於與LAN 440的連接的從源AN 405向目標AN 405的快速過渡的經修改的技術的實例中，源AN 405處的AN通訊管理器2015可以經由第一連接從無線設備115接收關於認證的FT參數的集合；對FT參數的集合進行快取以用於在交遞期間進行轉發；在交遞期間向LAN 440的目標AN 405傳輸FT參數的集合；從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是基於FT參數的集合的；並且經由第一連接向無線設備115傳輸對於執行向目標AN 405的交遞的命令，命令包括安全參數的集合。

圖 21 圖示根據本案內容的各種態樣的支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的AN通訊管理器2115的方塊圖2100。AN通訊管理器2115可以是參考圖20和圖23描述的AN通訊管理器2015或者AN通訊管理器2315的態樣的實例。AN通訊管理器2115可以包括AN連接管理器2120、AN認證管理器2125、AN認證通訊管理器2130、AN金鑰管理器2135、AN LAN通訊管理器2140、AN FT管理器2145、AN交遞管理器2150、AN承載管理器2155和AN認證器2160。該等模組之每一者模組可以與彼此直接或者間接地通訊（例如，經由一或多個匯流排）。AN通訊管理器2115可以亦與傳輸器和接收器（未圖示）通訊，傳輸器和接收器可以是參考圖20描述的接收器2010及/或傳輸器2020的態樣的實例。AN通訊管理器2115可以與傳輸器及/或接收器合作地操作以便支援本文中描述的各種操作。

AN連接管理器2120可以建立與無線設備115的連接。在某些情況下，可以使用蜂巢RAT或者至少部分地基於蜂巢RAT建立連接。

AN認證管理器2125可以管理如被AN 405執行的認證操作。例如，AN認證管理器2125可以傳輸關於AN 405使用認證器執行認證的指示。在某些情況下，在以下各項中的至少一項中傳輸關於AN 405使用認證器執行認證的指示：系統資訊、對無線設備115的查詢的回應、RACH建立訊息或者其組合。在某些情況下，安全參數的集合是基於至少一個隨機參數的。

回應於所傳輸的對於認證終點是認證器的指示，AN認證管理器2125可以從無線設備115接收關於將利用認證器執行與無線設備115的認證的指示。在某些情況下，在RRC連接建立訊息中接收關於將利用認證器執行認證的指示。在某些情況下，在至少一個資源上在來自無線設備115的隨機存取訊息中接收關於將利用認證器執行認證的指示。

在某些實例中，AN認證管理器2125可以決定無線設備115已決定執行認證，並且傳輸對如作為NAS層或者RRC層的用於認證的協定終點的指示。AN認證管理器2125亦可以傳輸關於AN 405使用被包含在與AN 405相關聯的CN（例如，包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等）中的認證器來執行認證的指示。在某些實例中，AN認證管理器2125可以決定無線設備115已決定利用另一個認證器執行隨後的認證，其中另一個認證器被包含在與AN 405通訊的CN中。

在某些實例中，AN認證管理器2125可以經由在AN 405與無線設備115之間被建立的連接交換至少一個隨機參數，並且向目標AN 405傳輸該至少一個隨機參數。AN認證管理器2125亦可以向以下各項中的至少一項傳輸與安全金鑰相關聯的約束策略：目標AN 405、無線設備115或者其組合。

在某些情況下，用於執行認證的認證節點包括無線LAN控制器，並且認證程序是基於以下各項的：懇求者金鑰保存者ID、認證器金鑰保存者ID、PMK ID、PMK名稱或者其組合。在某些情況下，用於執行認證的認證節點包括認證伺服器，並且認證程序是基於EAP的。

AN認證通訊管理器2130可以管理如關於認證通訊的AN 405的通訊操作。例如，AN認證通訊管理器2130可以提供用於無線設備115與被指示為用於認證的協定終點之間的認證的通訊。在某些情況下，提供用於認證的通訊包括傳輸關於經由與無線設備115已建立的連接的認證程序的訊息，並且認證程序可以是基於EAP的。AN認證通訊管理器2130亦可以傳輸與第二認證相關聯的訊息，並且對與在無線設備115與LAN 440的另一個網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。在各種實例中，可以經由RRC層、NAS層或者乙太網路執行認證程序。

在某些情況下，在與連接相關聯的第一無線電承載上執行認證程序，並且提供用於認證的通訊包括：經由與與無線設備115已建立的連接相關聯的無線電承載傳輸與認證相關聯的訊息。例如，AN認證通訊管理器2130可以經由無線電承載與無線設備115交換認證資訊及/或隨機參數。在某些實例中，在與連接相關聯的第二無線電承載上傳輸安全的通訊，與連接相關聯的第二無線電承載是和與連接相關聯的第一無線電承載不同的。在某些情況下，經由RRC層傳輸訊息。

AN金鑰管理器2135可以執行如本文中描述的與AN 405處的金鑰產生和管理相關聯的操作。例如，AN金鑰管理器2135可以基於被交換的認證資訊及/或隨機參數產生安全金鑰。在某些實例中，AN金鑰管理器2135可以從LAN 440的第一網路節點（例如，源AN 405）接收第一安全金鑰，第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的；並且基於被中繼的認證資訊從LAN 440的第二網路節點（例如，諸如是認證伺服器此種認證節點）接收第二安全金鑰。在某些實例中，AN金鑰管理器可以基於第二安全金鑰匯出第三安全金鑰，其中第三安全金鑰是不受約束策略支配的。

AN LAN通訊管理器2140可以如本文中描述的一般建立與無線設備115的連接。例如，AN LAN通訊管理器2140可以基於安全金鑰經由已建立的連接傳輸無線設備115與LAN 440之間的安全的通訊。在某些實例中，AN LAN通訊管理器2140可以經由經由與連接相關聯的無線電承載的連接與LAN 440安全地通訊。

在各種實例中，可以經由或者可以不經由針對安全金鑰的約束策略決定安全金鑰的使用。在某些情況下，針對安全金鑰的約束策略包括以下各項中的至少一項：在其內安全金鑰對於無線設備115經由連接與LAN 440安全地通訊而言有效的時間間隔；對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊而言有效的封包的數量；對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊而言有效的一或多個無線電承載的集合；對於其安全金鑰對於無線設備115經由連接與LAN 440安全地通訊而言有效的無線電承載類型；或者其組合。在某些實例中，AN LAN通訊管理器2140可以從基於第一安全金鑰傳輸無線設備115與LAN 440之間的安全的通訊切換到基於第二安全金鑰傳輸無線設備115與LAN 440之間的安全的通訊，其中切換是基於針對第一安全金鑰的約束策略、第二安全金鑰的可用性或者其組合的。

AN FT管理器2145可以管理如本文中描述的與從源AN 405向目標AN 405的快速過渡相關聯的被AN 405執行的操作。例如，AN FT管理器2145可以經由與無線設備115已建立的連接從無線設備115接收關於認證的FT參數的集合；並且對FT參數的集合進行快取以用於在交遞期間進行轉發。AN FT管理器2145可以在交遞期間向LAN 440的目標AN 405傳輸FT參數的集合。在某些實例中，AN FT管理器2145可以向無線設備115傳輸對針對基於網路的FT的支援的指示。在某些情況下，FT參數的集合包括以下各項中的至少一項：關於懇求者金鑰保存者ID的資訊、關於第一認證器金鑰保存者ID的資訊、關於安全金鑰的資訊、快速基本服務集（BSS）過渡參數的集合或者其組合。

AN交遞管理器2150可以管理如本文中描述的在支援從源AN 405向目標AN 405的交遞時被AN 405執行的操作。例如，AN交遞管理器2150可以經由與無線設備115已建立的連接向無線設備115傳輸用於決定用於交遞的AN 405的配置。在某些實例中，AN交遞管理器2150可以經由連接從無線設備115接收包括關於目標AN 405的資訊的量測報告，關於目標AN 405的資訊是基於配置的。

在某些實例中，AN交遞管理器2150可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是基於FT參數的集合的；經由第一連接向無線設備115傳輸對於執行向目標AN 405的交遞的命令，命令包括安全參數的集合。在某些情況下，安全參數的集合包括以下各項中的至少一項：關於金鑰保存者ID的資訊、密碼套件選擇參數、在其內安全金鑰有效的時間間隔、隨機參數、隨機參數辨識符、安全金鑰的認可的證明或者其組合。

AN承載管理器2155可以管理如本文中描述的與無線電承載相關聯（如與同無線設備115的已建立的連接相關聯）的AN 405處的操作。在某些實例中，AN承載管理器2155可以基於安全金鑰建立一或多個無線電承載。在某些情況下，被AN承載管理器2155管理的一或多個無線電承載可以包括以下各項中的至少一項：信號傳遞無線電承載、資料無線電承載或者其組合。

在某些實例中，AN認證器2160可以是被與AN 405共置的認證器，並且AN認證器可以執行如本文中描述的AN 405處的認證操作。

圖 22 圖示根據本案內容的各種態樣的包括支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的設備2205的系統2200的圖。設備2205可以是如參考圖4、圖6、圖8、圖9直到圖16和圖20描述的設備2005的AN 405的實例或者包括此種設備2005的AN 405的部件。設備2205可以包括用於雙向的語音和資料通訊的部件，此種部件包括用於傳輸和接收通訊的部件，包括AN通訊管理器2215、處理器2220、記憶體2225、軟體2230、收發機2235和I/O控制器2240。該等部件可以經由一或多個匯流排（例如，匯流排2210）電子地通訊。

處理器2220可以包括智慧硬體設備（例如，通用處理器、DSP、CPU、微控制器、ASIC、FPGA、可程式設計邏輯設備、個別閘門或者電晶體邏輯部件、個別的硬體部件或者其任意組合）。在某些情況下，處理器2220可以被配置為使用記憶體控制器操作記憶體陣列。在其他情況下，記憶體控制器可以被整合到處理器2220中。處理器2220可以被配置為執行被儲存在記憶體中的電腦可讀取指令，以便執行各種功能（例如，支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的功能或者任務）。

記憶體2225可以包括RAM和ROM。記憶體2225可以儲存包括指令的電腦可讀取、電腦可執行軟體2230，指令在被（例如，被處理器2220）執行時，使設備2205執行本文中描述的各種功能。在某些情況下，記憶體2225特別可以包含BIOS，BIOS可以控制諸如是與周邊部件或者設備的互動的基本硬體及/或軟體操作。

軟體2230可以包括用於實現本案內容的態樣的代碼，包括用於支援用於建立無線設備115與LAN 440之間的經由AN 405的安全連接的經修改的技術的代碼。軟體2230可以被儲存在諸如是系統記憶體此種非暫時性電腦可讀取媒體或者其他記憶體中。在某些情況下，軟體2230可以不是可以被處理器直接執行的，但可以使電腦（例如，在被編譯並且被執行時）執行本文中描述的功能。

收發機2235可以如上文描述的一般經由一或多個天線、有線的或者無線的鏈路雙向地進行通訊。例如，收發機2235可以代表無線收發機，並且可以與另一個無線收發機雙向地通訊。收發機2235可以亦包括數據機，數據機用於對封包進行調制，並且將經調制的封包提供給天線以用於傳輸，以及用於對從天線接收的封包進行解調。在某些情況下，設備2205可以包括單個天線2237。然而，在某些情況下，設備2205可以具有多於一個天線2237，多於一個天線2237可以是能夠併發地傳輸或者接收多個無線傳輸的。

I/O控制器2240可以管理設備2205的輸入和輸出信號。I/O控制器2240亦可以管理未被整合到設備2205中的周邊。在某些情況下，I/O控制器2240可以代表去往外部的周邊的實體連接或者埠。在某些情況下，I/O控制器2240可以採用諸如是iOS®、ANDROID®、MS-DOS®、MS-WINDOWS®、OS/2®、UNIX®、LINUX®或者另一種已知的作業系統此種作業系統。在其他情況下，I/O控制器2240可以代表或者與數據機、鍵盤、滑鼠、觸控式螢幕或者類似的設備互動。在某些情況下，I/O控制器2240可以被實現為處理器的一部分。在某些情況下，使用者可以經由I/O控制器2240或者經由被I/O控制器2240控制的硬體部件與設備2205互動。

AN通訊管理器2215可以是參考圖20和圖21描述的AN設備通訊管理器2015和2115的態樣的實例。AN通訊管理器2215可以執行如本文中描述的和與要存取LAN 440的無線設備115的安全連接的建立相關的各種操作，及/或可以管理至少部分地被設備2205的其他部分執行的此種操作的態樣。例如，AN通訊管理器2215可以與收發機2235和天線2237及/或I/O控制器2245合作地執行通訊操作。在某些實例中，AN通訊管理器2215可以被體現在獨立的處理器中，並且可以與處理器2220協調地執行操作。在某些實例中，AN通訊管理器2215可以被體現在軟體/韌體代碼（例如，如被儲存在記憶體2225中或者設備2205上的其他地方的）中，並且被處理器2220執行。

圖 23 圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2300的流程圖。方法2300的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法2300的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊2305處，無線設備115可以建立與LAN 440的AN 405的連接。方塊2305的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2305的操作的態樣可以被如參考圖18描述的無線設備連接管理器1820執行。

在方塊2310處，無線設備115可以決定執行認證。方塊2310的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2305的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2315處，無線設備115可以接收對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2315的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2315的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2320處，無線設備115可以至少部分地基於所接收的指示經由與AN 405已建立的連接利用協定終點執行認證。方塊2320的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2320的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

圖 24 圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2400的流程圖。方法2400的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法2400的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊2410處，無線設備115可以建立與LAN 440的AN 405的連接。方塊2410的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2410的操作的態樣可以被如參考圖18描述的無線設備連接管理器1820執行。

在方塊2415處，無線設備115可以決定執行認證。方塊2415的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2415的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2420處，無線設備115可以接收如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2420的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2420的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2425處，無線設備115可以至少部分地基於所接收的指示經由與同AN 405的已建立的連接相關聯的無線電承載利用協定終點執行認證，其中認證包括經由無線電承載與認證器交換認證資訊。方塊2425的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2425的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行（例如，與無線設備承載管理器1850合作地）。

在方塊2430處，無線設備115可以經由無線電承載與AN 405交換至少一個隨機參數。方塊2430的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2430的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2435處，無線設備115可以至少部分地基於被交換的認證資訊和至少一個隨機參數產生安全金鑰。方塊2435的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2435的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。

在方塊2440處，無線設備115可以至少部分地基於安全金鑰建立一或多個額外的無線電承載。方塊2440的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2440的操作的態樣可以被如參考圖18描述的無線設備承載管理器1850執行。

在方塊2445處，無線設備115可以至少部分地基於所產生的安全金鑰經由經由無線電承載、一或多個額外的無線電承載或者該兩者的連接與LAN 440安全地通訊。方塊2445的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2445的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830（例如，與無線設備承載管理器1850合作地）執行。

圖 25 圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2500的流程圖。方法2500的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法2500的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊2505處，AN 405可以建立與無線設備115的連接。方塊2505的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2505的操作的態樣可以被如參考圖21描述的AN連接管理器2120執行。

在方塊2510處，AN 405可以決定無線設備115已決定執行認證。方塊2510的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2510的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊2515處，AN 405可以傳輸對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2515的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2515的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊2520處，AN 405可以提供用於無線設備115與協定終點之間的認證的通訊。方塊2520的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2520的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。

圖 26 圖示說明根據本案內容的各種態樣的支援建立無線設備115與LAN 440之間的經由AN 405的安全連接的方法2600的流程圖。方法2600的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法2600的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊2605處，AN 405可以建立與無線設備115的連接。方塊2605的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2605的操作的態樣可以被如參考圖21描述的AN連接管理器2120執行。

在方塊2610處，AN 405可以決定無線設備115已決定執行認證。方塊2610的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2610的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊2615處，AN 405可以傳輸對如作為NAS層或者RRC層的用於認證的協定終點的指示。方塊2615的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2615的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊2620處，AN 405可以提供用於無線設備115與協定終點之間的認證的通訊。方塊2620的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2620的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。

在方塊2625處，AN 405可以決定無線設備115已決定利用第二認證器執行第二認證，其中第二認證器被包含在與AN 405通訊的CN（例如，包括AN 405的LAN 440的CN 130、單獨的蜂巢服務供應商網路的CN 130等）中。方塊2625的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2625的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊2630處，AN 405可以傳輸與第二認證相關聯的訊息。方塊2630的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2630的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。

圖 27 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的交遞的方法2700的流程圖。方法2700的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法2700的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊2705處，無線設備115可以至少部分地基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊。方塊2705的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2705的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

在方塊2710處，無線設備115可以執行從LAN 440的源AN 405向LAN 440的目標AN 405的交遞。方塊2710的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2710的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊2715處，無線設備115可以至少部分地基於第一安全金鑰匯出第二安全金鑰。方塊2715的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2715的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。

在方塊2720處，無線設備115可以至少部分地基於第二安全金鑰和針對第二安全金鑰的約束策略經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2720的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2720的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

在方塊2725處，無線設備115可以經由第二連接利用LAN 440的認證節點執行認證程序以便獲得第三安全金鑰（例如，不受針對第二金鑰的約束策略支配的安全金鑰）。方塊2725的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2725的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2730處，無線設備115可以至少部分地基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2730的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2730的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

圖 28 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的交遞的方法2800的流程圖。方法2800的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法2800的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915執行（例如，與傳輸器及/或接收器合作地）。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊2805處，無線設備115可以至少部分地基於第一安全金鑰經由與LAN 440的源AN 405的第一連接與LAN 440安全地通訊。方塊2805的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2805的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

在方塊2810處，無線設備115可以量測從LAN 440的目標AN 405接收的至少一個信號。方塊2810的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2810的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊2815處，無線設備115可以至少部分地基於量測接收交遞命令。方塊2815的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2815的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊2820處，無線設備115可以執行從LAN 440的源AN 405向LAN 440的目標AN 405的交遞。方塊2820的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2820的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1830執行。

在方塊2825處，無線設備115可以至少部分地基於第一安全金鑰匯出第二安全金鑰。方塊2825的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2825的操作的態樣可以被如參考圖18描述的無線設備金鑰管理器1840執行。

在方塊2830處，無線設備115可以至少部分地基於第二安全金鑰和針對第二安全金鑰的約束策略經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2830的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2830的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

在方塊2835處，無線設備115可以經由第二連接利用LAN 440的認證節點執行認證程序以便獲得第三安全金鑰（例如，不受針對第二金鑰的約束策略支配的安全金鑰）。方塊2835的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2835的操作的態樣可以被如參考圖18描述的無線設備認證管理器1825執行。

在方塊2840處，無線設備115可以至少部分地基於第三安全金鑰經由與LAN 440的目標AN 405的第二連接與LAN 440安全地通訊。方塊2840的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2840的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

圖 29 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的交遞的方法2900的流程圖。方法2900的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法2900的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215執行（例如，與傳輸器及/或接收器合作地）。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊2905處，AN 405可以建立與無線設備115的連接。方塊2905的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2905的操作的態樣可以被如參考圖21描述的AN連接管理器2120執行。

在方塊2910處，AN 405可以從LAN 440的第一網路節點接收第一安全金鑰，第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的。方塊2910的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2910的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。

在方塊2915處，AN 405可以對與在無線設備115與LAN 440的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。方塊2915的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2915的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。

在方塊2920處，AN 405可以至少部分地基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰。方塊2920的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2920的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。

在方塊2925處，AN 405可以至少部分地基於第一安全金鑰經由連接在無線設備115與LAN 440之間傳輸安全的通訊，其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用。方塊2925的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2925的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。

在方塊2930處，AN 405可以至少部分地基於第二安全金鑰經由連接在無線設備115與LAN 440之間傳輸安全的通訊（例如，不受針對第一安全金鑰的約束策略支配的安全的通訊）。方塊2930的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊2930的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。

圖 30 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的交遞的方法3000的流程圖。方法3000的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法3000的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215執行（例如，與傳輸器及/或接收器合作地）。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊3005處，AN 405可以建立與無線設備115的連接。方塊3005的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3005的操作的態樣可以被如參考圖21描述的AN連接管理器2120執行。

在方塊3010處，AN 405可以從LAN 440的第一網路節點接收第一安全金鑰，第一安全金鑰是與針對第一安全金鑰的約束策略相關聯的。方塊3010的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3010的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。

在方塊3015處，AN 405可以對與在無線設備115與LAN 440的第二網路節點之間被執行的認證程序相關聯的認證資訊進行中繼。方塊3015的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3015的操作的態樣可以被如參考圖21描述的AN認證通訊管理器2130執行。

在方塊3020處，AN 405可以至少部分地基於被中繼的認證資訊從LAN 440的第二網路節點接收第二安全金鑰。方塊3020的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3020的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。

在方塊3025處，AN 405可以至少部分地基於第一安全金鑰經由連接在無線設備115與LAN 440之間傳輸安全的通訊，其中經由針對第一安全金鑰的約束策略決定第一安全金鑰的使用。方塊3025的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3025的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。

在方塊3030處，AN 405可以至少部分地基於第二安全金鑰匯出第三安全金鑰（例如，不受針對第一安全金鑰的約束策略支配的另一個安全金鑰）。方塊3035的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3035的操作的態樣可以被如參考圖21描述的AN金鑰管理器2135執行。

在方塊3035處，AN 405可以至少部分地基於第三安全金鑰經由連接在無線設備115與LAN 440之間傳輸安全的通訊（例如，不受針對第一安全金鑰的約束策略支配的安全的通訊）。方塊3030的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3030的操作的態樣可以被如參考圖21描述的AN LAN通訊管理器2140執行。

圖 31 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3100的流程圖。方法3100的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法3100的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215執行（例如，與傳輸器及/或接收器合作地）。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊3105處，AN 405可以經由第一連接從無線設備115接收關於認證的FT參數的集合。方塊3105的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3105的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3110處，AN 405可以對FT參數的集合進行快取以便在交遞期間進行轉發。方塊3110的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3110的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3115處，AN 405可以在交遞期間向LAN 440的目標AN 405傳輸FT參數的集合。方塊3115的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3115的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3120處，AN 405可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是至少部分地基於FT參數的集合的。方塊3120的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3120的操作的態樣可以被如參考圖21描述的AN交遞管理器2150執行。

在方塊3125處，AN 405可以經由第一連接向無線設備115傳輸對於執行向目標AN 405的交遞的命令，命令包括安全參數的集合。方塊3125的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3125的操作的態樣可以被如參考圖21描述的AN交遞管理器2150執行。

圖 32 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3200的流程圖。方法3200的操作可以被如本文中描述的AN 405或者其部件實現。例如，方法3200的操作可以被如參考圖20直到圖22描述的AN通訊管理器2015、2115或者2215執行（例如，與傳輸器及/或接收器合作地）。在某些實例中，AN 405可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，AN 405可以使用專用硬體執行下文描述的功能的態樣。

在方塊3205處，AN 405可以經由第一連接從無線設備115接收關於認證的FT參數的集合。方塊3205的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3205的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3210處，AN 405可以對FT參數的集合進行快取以便在交遞期間進行轉發。方塊3210的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3210的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3215處，AN 405可以經由第一連接交換至少一個隨機參數。方塊3215的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3215的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊3220處，AN 405可以在交遞期間向LAN 440的目標AN 405傳輸FT參數的集合。方塊3220的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3220的操作的態樣可以被如參考圖21描述的AN FT管理器2145執行。

在方塊3225處，AN 405可以向目標AN 405傳輸至少一個隨機參數。方塊3225的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3225的操作的態樣可以被如參考圖21描述的AN認證管理器2125執行。

在方塊3230處，AN 405可以從目標AN 405接收與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是至少部分地基於FT參數的集合和至少一個隨機參數的。方塊3230的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3230的操作的態樣可以被如參考圖21描述的AN交遞管理器2150執行。

在方塊3235處，AN 405可以經由第一連接向無線設備115傳輸對於執行向目標AN 405的交遞的命令，命令包括安全參數的集合。方塊3240的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3240的操作的態樣可以被如參考圖21描述的AN交遞管理器2150執行。

圖 33 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3300的流程圖。方法3300的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法3300的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊3305處，無線設備115可以經由第一連接向LAN 440的源AN 405傳輸用於在用於交遞的源AN 405處進行快取的關於認證的FT參數的集合。方塊3305的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3305的操作的態樣可以被如參考圖18描述的無線設備FT管理器1845執行。

在方塊3310處，無線設備115可以經由第一連接從源AN 405接收用於決定用於交遞的AN 405的配置。方塊3310的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3310的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊3315處，無線設備115可以經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的交遞的命令，命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是至少部分地基於FT參數的集合的。方塊3315的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3315的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊3320處，無線設備為115可以至少部分地基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。方塊3320的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3320的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

圖 34 圖示說明根據本案內容的各種態樣的支援無線設備115的從與LAN 440的源AN 405的連接向與LAN 440的目標AN 405的連接的快速過渡的方法3400的流程圖。方法3400的操作可以被如本文中描述的無線設備115或者其部件實現。例如，方法3400的操作可以被如參考圖17直到圖19描述的無線設備通訊管理器1715、1815或者1915（例如，與傳輸器及/或接收器合作地）執行。在某些實例中，無線設備115可以執行代碼的集合，以便控制設備的功能單元執行下文描述的功能。額外地或者替換地，無線設備115可以使用專用硬體執行下文描述的功能的態樣。

在方塊3405處，無線設備115可以經由第一連接向LAN 440的源AN 405傳輸用於在用於交遞的源AN 405處進行快取的關於認證的FT參數的集合。方塊3405的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3405的操作的態樣可以被如參考圖18描述的無線設備FT管理器1845執行。

在方塊3410處，無線設備115可以經由第一連接從源AN 405接收用於決定用於交遞的AN 405的配置。方塊3410的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3410的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊3415處，無線設備115可以經由第一連接向源AN 405傳輸包括關於目標AN 405的資訊的量測報告，關於目標AN 405的資訊是至少部分地基於配置的。方塊3415的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3415的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊3420處，無線設備115可以經由第一連接從源AN 405接收對於執行向LAN 440的目標AN 405的交遞的命令，命令包括與無線設備115與目標AN 405之間的安全的通訊相關聯的安全參數的集合，安全參數的集合是至少部分地基於FT參數的集合的。方塊3420的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3420的操作的態樣可以被如參考圖18描述的無線設備交遞管理器1835執行。

在方塊3425處，無線設備115可以至少部分地基於安全參數的集合經由與目標AN 405的第二連接與LAN 440安全地通訊。方塊3425的操作可以根據參考圖1直到圖16描述的方法被執行。在具體的實例中，方塊3425的操作的態樣可以被如參考圖18描述的無線設備LAN通訊管理器1830執行。

應當指出，上文描述的方法說明了本案內容中描述的技術的可能的實現。在某些實例中，可以組合參考圖23、圖24、圖27、圖28、圖33或者圖34描述的方法2300、2400、2700、2800、3300或者3400的態樣。在某些實例中，可以組合方法2500、2600、2900、3000、3100或者3200的態樣。在某些實例中，方法的操作可以按照不同的次序被執行，或者包括不同的操作。在某些實例中，方法中的每種方法的態樣可以包括其他方法的步驟或者態樣或者本文中描述的其他步驟或者技術。

提供本文中的描述內容以便使熟習此項技術者能夠製作或者使用本案內容。對本案內容的各種修改對於熟習此項技術者將是顯而易見的，並且本文中定義的一般原理可以被應用於其他變型，而不脫離本案內容的範疇。因此，本案內容將不限於本文中描述的實例和設計，而將符合與本文中揭示的原理和新穎特徵一致的最寬範疇。

結合附圖在本文中闡述的描述內容描述了示例性配置，而不代表可以被實現或者落在請求項的範疇內的全部實例。本文中使用的術語「示例性」表示「充當示例、實例或者說明」，而不是「較佳的」或者「比其他實例有利的」。出於提供對所描述的技術的理解的目的，詳細描述內容包括具體細節。然而，可以在不具有該等具體細節的情況下實踐該等技術。在某些情況下，以方塊圖形式圖示公知的結構和設備，以避免使所描述的實例的概念模糊不清。

如本文中使用的，短語「基於」不應當理解為對條件的封閉集合的引用。例如，被描述為「基於條件A」的示例性特徵可以是基於條件A和條件B兩者的，而不會脫離本案內容的範疇。換言之，如本文中使用的，短語「基於」應當以與短語「至少部分地基於」相同的方式來理解。

本文中描述的功能可以使用硬體、被處理器執行的軟體、韌體或者其任意組合來實現。若使用被處理器執行的軟體來實現，則功能可以作為電腦可讀取媒體上的一或多個指令或者代碼被儲存或者傳輸。其他實例和實現落在本案內容和所附請求項的範疇內。例如，由於軟體的本質，上文描述的功能可以使用被處理器執行的軟體、硬體、韌體、硬佈線或者該等項中的任意項的組合來實現。實現功能的特徵亦可以在實體上位於各種位置處，包括是分散式的使得功能的部分在不同的（實體）位置處被實現。此外，如本文中（包括在請求項中）使用的，如項目的清單（例如，由諸如是「……中的至少一項」或者「一項或多項」此種短語開頭的項目的清單）中使用的「或者」指示包容性的清單，使得例如A、B或者C中的至少一項的清單表示A或者B或者C或者AB或者AC或者BC或者ABC（亦即，A和B和C）。

電腦可讀取媒體包括非暫時性電腦儲存媒體和通訊媒體兩者，通訊媒體包括任何促進電腦程式從一個地方向另一個地方的傳輸的媒體。非暫時性儲存媒體可以是任何可以被通用或者專用電腦存取的可用媒體。經由實例而非限制，非暫時性電腦可讀取媒體可以包括RAM、ROM、電子可抹除可程式設計唯讀記憶體（EEPROM）、壓縮光碟（CD）ROM、或者其他光碟儲存設備、磁碟儲存設備或者其他磁性儲存設備或者任何其他的可以被用於攜帶或者儲存採用指令或者資料結構的形式的期望的程式碼構件並且可以被通用或者專用電腦或者通用或者專用處理器存取的非暫時性媒體。此外，任何連接被恰當地稱為電腦可讀取媒體。例如，若使用同軸線纜、光纖線纜、雙絞線、數位用戶線（DSL）或者諸如是紅外線、無線電和微波此種無線技術從網站、伺服器或者其他遠端源傳輸軟體，則同軸線纜、光纖線纜、雙絞線、DSL或者諸如是紅外線、無線電和微波此種無線技術被包括在媒體的定義內。如本文中使用的磁碟和光碟包括CD、鐳射光碟、光碟、數位多功能光碟（DVD）、軟碟或者藍光光碟，其中磁碟通常磁性地複製資料，而光碟利用鐳射光學地複製資料。上文各項的組合亦被包括在電腦可讀取媒體的範疇內。

本文中描述的技術可以被用於各種無線通訊系統，諸如CDMA、TDMA、FDMA、OFDMA、單載波分頻多工存取（SC-FDMA）和其他系統。經常可互換地使用術語「系統」和「網路」。CDMA系統可以實現諸如是CDMA 2000、通用陸地無線電存取（UTRA）等此種無線電技術。CDMA 2000覆蓋IS-2000、IS-95和IS-856標準。IS-2000版本0和A通常被稱為CDMA 2000 1X、1X等。IS-856（TIA-856）通常被稱為CDMA 2000 1xEV-DO、高速封包資料（HRPD）等。UTRA包括寬頻CDMA（WCDMA）和CDMA的其他變型。TDMA系統可以實現諸如是（行動通訊全球系統（GSM））此種無線電技術。OFDMA系統可以實現諸如是超行動寬頻（UMB）、進化型UTRA（E-UTRA）、IEEE 802.11、IEEE 802.16（WiMAX）、IEEE 802.20、Flash-OFDM等此種無線電技術。UTRA和E-UTRA是通用行動電信系統（通用行動電信系統（UMTS））的一部分。3GPP LTE和LTE-A是使用E-UTRA的UMTS的新版本。在來自名稱為「第三代合作夥伴計畫」（3GPP）的組織的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在來自名稱為「第三代合作夥伴計畫2」（3GPP2）的組織的文件中描述了CDMA 2000和UMB。本文中描述的技術可以被用於上文提到的系統和無線電技術以及其他的系統和無線電技術。然而，本文中的描述內容出於實例的目的描述了LTE系統，並且在上文的描述內容的大部分內容中使用了LTE術語，儘管技術是超越LTE應用適用的。

在包括本文中描述的網路的LTE/LTE-A網路中，術語進化型節點B（eNB）可以被通常用於描述基地站。本文中描述的無線通訊系統或多個無線通訊系統可以包括在其中不同類型的eNB為各種地理區域提供覆蓋的異構的LTE/LTE-A網路。例如，每個eNB或者基地站可以為巨集細胞、小型細胞或者其他類型的細胞提供通訊覆蓋。術語「細胞」是可以取決於上下文被用於描述基地站、與基地站相關聯的載波或者分量載波（CC）或者載波或者基地站的覆蓋區域（例如，扇區等）的3GPP術語。

基地站可以包括或者可以被熟習此項技術者稱為基地站收發機、無線電基地站、AP、無線電收發機、節點B、進化型節點B（eNB）、家庭節點B、家庭進化型節點B或者某個其他合適的術語。基地站的地理覆蓋區域可以被劃分成組成該覆蓋區域的僅一部分的扇區。本文中描述的無線通訊系統或多個無線通訊系統可以包括不同類型的基地站（例如，巨集或者小型細胞基地站）。本文中描述的無線設備可以是能夠與包括巨集eNB、小型細胞eNB、中繼基地站等的各種類型的基地站和網路設備通訊的。對於不同的技術，可以存在重疊的地理覆蓋區域。在某些情況下，不同的覆蓋區域可以是與不同的通訊技術相關聯的。在某些情況下，針對一種通訊技術的覆蓋區域可以和與另一種技術相關聯的覆蓋區域重疊。不同的技術可以是與相同的基地站或者與不同的基地站相關聯的。

巨集細胞通常覆蓋相對大的地理區域（例如，半徑為若干公里），並且可以允許由具有對網路提供商的服務訂閱的無線設備執行的不受限的存取。小型細胞是可以在與巨集細胞相同或者不同的（例如，經授權、未授權等）頻帶中操作的、與巨集細胞相比較低功率的基地站。根據各種實例，小型細胞可以包括微微細胞、毫微微細胞和微細胞。例如，微微細胞可以覆蓋小型地理區域，並且可以允許由具有對網路提供商的服務訂閱的無線設備執行的不受限的存取。毫微微細胞亦可以覆蓋小型地理區域（例如，家庭），並且可以提供由具有與毫微微細胞的關聯的無線設備（例如，封閉用戶群組（CSG）中的無線設備、家庭中的使用者的無線設備等）執行的受限的存取。用於巨集細胞的eNB可以被稱為巨集eNB。用於小型細胞的eNB可以被稱為小型細胞eNB、微微eNB、毫微微eNB或者家庭eNB。eNB可以支援一或多個（例如，兩個、三個、四個等）細胞（例如，CC）。無線設備可以是能夠與包括巨集eNB、小型細胞eNB、中繼基地站等的各種類型的基地站和網路設備通訊的。

本文中描述的無線通訊系統或多個無線通訊系統可以支援同步的或者非同步的操作。對於同步的操作，基地站可以具有相似的訊框時序，並且可以使來自不同的基地站的傳輸在時間上近似對準。對於非同步的操作，基地站可以具有不同的訊框時序，並且可以不使來自不同的基地站的傳輸在時間上對準。本文中描述的技術可以被用於同步的或者非同步的操作。

本文中描述的DL傳輸亦可以被稱為前向鏈路傳輸，而UL傳輸亦可以被稱為反向鏈路傳輸。例如包括圖1和圖2的無線通訊系統100和200的本文中描述的每個通訊鏈路可以包括一或多個載波，其中每個載波可以是由多個次載波（例如，不同頻率的波形信號）組成的信號。每個經調制的信號可以在不同的次載波上被發送，並且可以攜帶控制資訊（例如，參考信號、控制通道等）、管理負擔資訊、使用者資料等。本文中描述的通訊鏈路（例如，圖1的通訊鏈路125）可以使用分頻雙工（FDD）（例如，使用配對的頻譜資源）或者分時雙工（TDD）操作（例如，使用不配對的頻譜資源）傳輸雙向的通訊。可以針對FDD（例如，訊框結構類型1）和TDD（例如，訊框結構類型2）定義訊框結構。

結合本文中的揭示內容描述的各種說明性的方塊和模組可以利用通用處理器、數位信號處理器（DSP）、ASIC、現場可程式設計閘陣列（FPGA）或者其他可程式設計邏輯設備、個別閘門或者電晶體邏輯、個別的硬體部件或者被設計為執行本文中描述的功能的其任意組合來實現或者執行。通用處理器可以是微處理器，但替換地，處理器可以是任何習知的處理器、控制器、微控制器或者狀態機。處理器亦可以被實現為計算設備的組合（例如，DSP與微處理器的組合、多個微處理器、結合DSP核的一或多個微處理器或者任何其他此種配置）。因此，本文中描述的功能可以被至少一個積體電路（IC）上的一或多個其他處理單元（或者核）執行。在各種實例中，可以經由本領域中已知的任何方式被程式設計的不同類型的IC可以被使用（例如，結構化/平臺ASIC、FPGA或者另一種半定製的IC）。每個單元的功能亦可以整體上或者部分地利用被體現在記憶體中、被格式化以便被一或多個通用或者專用處理器執行的指令來實現。

在附圖中，相似的部件或者特徵可以具有相同的元件符號。另外，各種相同類型的部件可以經由在元件符號之後跟隨破折號和在相似的部件之間進行區分的第二元件符號來區分。若在說明中使用了僅第一元件符號，則描述內容適用於具有相同的第一元件符號的相似的部件中的任一個部件，而不考慮第二元件符號。

提供本文中的描述內容以便使熟習此項技術者能夠製作或者使用本案內容。對本案內容的各種修改對於熟習此項技術者將是顯而易見的，並且本文中定義的一般原理可以被應用於其他變型，而不會脫離本案內容的範疇。因此，本案內容不限於本文中描述的實例和設計，而是將符合與本文中揭示的原理和新穎特徵一致的最寬範疇。

100‧‧‧無線通訊系統
105‧‧‧基地站
105-a‧‧‧基地站
110‧‧‧地理覆蓋區域
115‧‧‧無線設備
115-a‧‧‧無線設備
115-b‧‧‧無線設備
115-c‧‧‧無線設備
115-d‧‧‧無線設備
115-e‧‧‧無線設備
115-f‧‧‧無線設備
115-g‧‧‧無線設備
115-h‧‧‧無線設備
115-i‧‧‧無線設備
115-j‧‧‧無線設備
115-k‧‧‧無線設備
115-l‧‧‧無線設備
125‧‧‧通訊鏈路
130‧‧‧CN
130-a‧‧‧CN
132‧‧‧回載鏈路
134‧‧‧回載鏈路
200‧‧‧無線通訊系統
204‧‧‧RAN
208‧‧‧全球IP網路
210‧‧‧本端IP網路
214‧‧‧本端閘道（L-GW）
242‧‧‧STA
242-a‧‧‧STA
242-b‧‧‧STA
244‧‧‧AP
244-a‧‧‧第一AP
244-b‧‧‧第二AP
244-c‧‧‧第一AP
244-d‧‧‧第二AP
248‧‧‧AAA
248-b‧‧‧AAA
248-d‧‧‧AAA
300‧‧‧架構
340‧‧‧傳統LAN
340-a‧‧‧傳統LAN
340-b‧‧‧傳統LAN
346‧‧‧傳統LAN DS
346-a‧‧‧傳統LAN DS
346-b‧‧‧傳統LAN DS
400‧‧‧參考架構
405‧‧‧AN
405-a‧‧‧源AN
405-b‧‧‧目標AN
405-c‧‧‧源AN
405-d‧‧‧目標AN
405-e‧‧‧AN
405-f‧‧‧AN
405-g‧‧‧AN
405-h‧‧‧AN
405-i‧‧‧AN
405-j‧‧‧源AN
405-k‧‧‧目標AN
405-l‧‧‧目標AN
405-m‧‧‧源AN
405-n‧‧‧目標AN
410‧‧‧認證伺服器
410-a‧‧‧認證伺服器
410-b‧‧‧認證伺服器
410-c‧‧‧認證伺服器
410-d‧‧‧認證伺服器
410-e‧‧‧認證伺服器
410-f‧‧‧認證伺服器
410-g‧‧‧認證伺服器
440‧‧‧LAN
440-a‧‧‧LAN
440-b‧‧‧LAN
440-c‧‧‧LAN
440-d‧‧‧LAN
440-e‧‧‧LAN
440-f‧‧‧LAN
446‧‧‧LAN DS
446-a‧‧‧LAN DS
446-b‧‧‧LAN DS
446-c‧‧‧LAN DS
500‧‧‧參考架構
600‧‧‧參考架構
705‧‧‧WLC
805‧‧‧中央建鑰節點
805-a‧‧‧中央建鑰節點
805-b‧‧‧中央建鑰節點
900‧‧‧圖示
905-a‧‧‧協定堆疊
905-b‧‧‧協定堆疊
905-c‧‧‧協定堆疊
905-d‧‧‧協定堆疊
910-a‧‧‧協定堆疊
910-b‧‧‧協定堆疊
910-c‧‧‧協定堆疊
910-d‧‧‧協定堆疊
915-c‧‧‧協定堆疊
915-d‧‧‧協定堆疊
1000‧‧‧圖示
1100‧‧‧圖示
1200‧‧‧圖示
1300‧‧‧訊息流程
1305‧‧‧操作
1310‧‧‧操作
1315‧‧‧操作
1320‧‧‧操作
1325‧‧‧操作
1330‧‧‧操作
1335‧‧‧操作
1340‧‧‧操作
1345‧‧‧操作
1350‧‧‧操作
1355‧‧‧操作
1360‧‧‧操作
1365‧‧‧操作
1370‧‧‧操作
1375‧‧‧操作
1380‧‧‧操作
1385‧‧‧操作
1400‧‧‧訊息流程
1405‧‧‧操作
1410‧‧‧操作
1415‧‧‧操作
1420‧‧‧操作
1425‧‧‧操作
1427‧‧‧操作
1430‧‧‧操作
1432‧‧‧操作
1435‧‧‧操作
1440‧‧‧操作
1445‧‧‧操作
1450‧‧‧操作
1455‧‧‧操作
1460‧‧‧操作
1465‧‧‧操作
1470‧‧‧操作
1472‧‧‧操作
1475‧‧‧操作
1477‧‧‧操作
1480‧‧‧操作
1485‧‧‧操作
1487‧‧‧操作
1490‧‧‧操作
1495‧‧‧操作
1497‧‧‧操作
1500‧‧‧訊息流程
1505‧‧‧操作
1510‧‧‧操作
1515‧‧‧操作
1520‧‧‧操作
1525‧‧‧操作
1530‧‧‧操作
1535‧‧‧操作
1540‧‧‧操作
1545‧‧‧操作
1550‧‧‧操作
1555‧‧‧操作
1560‧‧‧操作
1565‧‧‧操作
1570‧‧‧操作
1575‧‧‧操作
1577‧‧‧操作
1580‧‧‧操作
1585‧‧‧操作
1590‧‧‧操作
1595‧‧‧操作
1600‧‧‧訊息流程
1605‧‧‧操作
1610‧‧‧操作
1615‧‧‧操作
1620‧‧‧操作
1625‧‧‧操作
1630‧‧‧操作
1635‧‧‧操作
1640‧‧‧操作
1645‧‧‧操作
1650‧‧‧操作
1655‧‧‧操作
1660‧‧‧操作
1665‧‧‧操作
1670‧‧‧操作
1675‧‧‧操作
1680‧‧‧操作
1685‧‧‧操作
1690‧‧‧操作
1695‧‧‧操作
1700‧‧‧方塊圖
1705‧‧‧設備
1710‧‧‧接收器
1715‧‧‧無線設備通訊管理器
1720‧‧‧傳輸器
1800‧‧‧方塊圖
1815‧‧‧無線設備通訊管理器
1820‧‧‧無線設備連接管理器
1825‧‧‧無線設備認證管理器
1830‧‧‧無線設備LAN通訊管理器
1835‧‧‧無線設備交遞管理器
1840‧‧‧無線設備金鑰管理器
1845‧‧‧無線設備FT管理器
1850‧‧‧無線設備承載管理器
1900‧‧‧系統
1905‧‧‧設備
1910‧‧‧匯流排
1915‧‧‧無線設備通訊管理器
1920‧‧‧處理器
1925‧‧‧記憶體
1930‧‧‧軟體
1935‧‧‧收發機
1940‧‧‧天線
1945‧‧‧I/O控制器
2000‧‧‧方塊圖
2005‧‧‧設備
2010‧‧‧接收器
2015‧‧‧AN通訊管理器
2020‧‧‧傳輸器
2100‧‧‧方塊圖
2115‧‧‧AN通訊管理器
2120‧‧‧AN連接管理器
2125‧‧‧AN認證管理器
2130‧‧‧AN認證通訊管理器
2135‧‧‧AN金鑰管理器
2140‧‧‧AN LAN通訊管理器
2145‧‧‧AN FT管理器
2150‧‧‧AN交遞管理器
2155‧‧‧AN承載管理器
2160‧‧‧AN認證器
2200‧‧‧系統
2205‧‧‧設備
2210‧‧‧匯流排
2215‧‧‧AN通訊管理器
2220‧‧‧處理器
2225‧‧‧記憶體
2230‧‧‧軟體
2235‧‧‧收發機
2240‧‧‧I/O控制器
2300‧‧‧方法
2305‧‧‧方塊
2310‧‧‧方塊
2315‧‧‧方塊
2320‧‧‧方塊
2400‧‧‧方法
2410‧‧‧方塊
2415‧‧‧方塊
2420‧‧‧方塊
2425‧‧‧方塊
2430‧‧‧方塊
2435‧‧‧方塊
2440‧‧‧方塊
2445‧‧‧方塊
2500‧‧‧方法
2505‧‧‧方塊
2510‧‧‧方塊
2515‧‧‧方塊
2520‧‧‧方塊
2600‧‧‧方法
2605‧‧‧方塊
2610‧‧‧方塊
2615‧‧‧方塊
2620‧‧‧方塊
2625‧‧‧方塊
2630‧‧‧方塊
2700‧‧‧方法
2705‧‧‧方塊
2710‧‧‧方塊
2715‧‧‧方塊
2720‧‧‧方塊
2725‧‧‧方塊
2730‧‧‧方塊
2800‧‧‧方法
2805‧‧‧方塊
2810‧‧‧方塊
2815‧‧‧方塊
2820‧‧‧方塊
2825‧‧‧方塊
2830‧‧‧方塊
2835‧‧‧方塊
2840‧‧‧方塊
2900‧‧‧方法
2905‧‧‧方塊
2910‧‧‧方塊
2915‧‧‧方塊
2920‧‧‧方塊
2925‧‧‧方塊
2930‧‧‧方塊
3000‧‧‧方法
3005‧‧‧方塊
3010‧‧‧方塊
3015‧‧‧方塊
3020‧‧‧方塊
3025‧‧‧方塊
3030‧‧‧方塊
3035‧‧‧方塊
3100‧‧‧方法
3105‧‧‧方塊
3110‧‧‧方塊
3115‧‧‧方塊
3120‧‧‧方塊
3125‧‧‧方塊
3200‧‧‧方法
3205‧‧‧方塊
3210‧‧‧方塊
3215‧‧‧方塊
3220‧‧‧方塊
3225‧‧‧方塊
3230‧‧‧方塊
3235‧‧‧方塊
3300‧‧‧方法
3305‧‧‧方塊
3310‧‧‧方塊
3315‧‧‧方塊
3320‧‧‧方塊
3400‧‧‧方法
3405‧‧‧方塊
3410‧‧‧方塊
3415‧‧‧方塊
3420‧‧‧方塊
3425‧‧‧方塊

圖1圖示根據本案內容的各種態樣的無線通訊系統的實例；

圖2圖示根據本案內容的各種態樣的用於經由蜂巢RAT連接到全球和本端IP網路的無線通訊系統的實例；

圖3圖示根據本案內容的各種態樣的針對對傳統LAN的傳統存取的架構；

圖4圖示根據本案內容的各種態樣的針對對LAN的基於蜂巢RAT的存取的參考架構；

圖5圖示根據本案內容的各種態樣的針對對傳統LAN的基於Wi-Fi的傳統存取的認證的參考架構；

圖6圖示根據本案內容的各種態樣的針對對LAN的基於蜂巢RAT的存取的交遞的參考架構；

圖7圖示根據本案內容的各種態樣的針對使用FT技術對傳統LAN的基於Wi-Fi的傳統存取的參考架構；

圖8圖示根據本案內容的各種態樣的針對使用FT技術對LAN的基於蜂巢RAT的存取的參考架構；

圖9圖示對根據本案內容的各種態樣的可以被用於支援基於蜂巢RAT的LAN存取的C平面功能的協定堆疊的說明；

圖10圖示對根據本案內容的各種態樣的可以被用於支援基於蜂巢RAT的LAN存取的U平面功能的協定堆疊的說明；

圖11圖示對根據本案內容的各種態樣的可以被用於與使用IEEE 802.1x的認證伺服器的經由C平面的經由EAP的認證的協定堆疊的說明；

圖12圖示根據本案內容的各種態樣的可以被用於經由U平面的經由EAP的認證的協定堆疊；

圖13圖示根據本案內容的各種態樣的用於建立無線設備與LAN之間的經由AN的安全連接的示例性訊息流程；

圖14圖示根據本案內容的各種態樣的用於執行具有與LAN的安全連接的無線設備的從源AN到目標AN的交遞的示例性訊息流程；

圖15圖示根據本案內容的各種態樣的用於建立無線設備與LAN之間的安全連接的示例性訊息流程；

圖16圖示根據本案內容的各種態樣的用於執行與LAN的安全連接的從源AN到目標AN的快速過渡的示例性訊息流程；

圖17圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的方塊圖；

圖18圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的無線設備通訊管理器的方塊圖；

圖19圖示根據本案內容的各種態樣的包括支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的系統的圖；

圖20圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的方塊圖；

圖21圖示根據本案內容的各種態樣的支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的AN通訊管理器的方塊圖；

圖22圖示根據本案內容的各種態樣的包括支援用於建立無線設備與LAN之間的經由AN的安全連接的經修改的技術的設備的系統的圖；

圖23直到圖26圖示說明根據本案內容的各種態樣的支援建立無線設備與LAN之間的經由AN的安全連接的方法的流程圖；

圖27直到圖30圖示說明根據本案內容的各種態樣的支援無線設備的從與LAN的源AN的連接向與LAN的目標AN的連接的交遞的方法的流程圖；及

圖31直到圖34圖示說明根據本案內容的各種態樣的支援無線設備的從與LAN的源AN的連接向與LAN的目標AN的連接的快速過渡的方法的流程圖。

國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無

國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無

115-b‧‧‧無線設備

400‧‧‧參考架構

405‧‧‧AN

410‧‧‧認證伺服器

440‧‧‧LAN

446‧‧‧LAN DS

Claims (78)

1. 一種一無線設備處的無線通訊的方法，該方法包括以下步驟： 建立與一區域網路（LAN）的一存取節點（AN）的一連接；決定執行一認證；接收對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及至少部分地基於所接收的該指示，經由與該AN已建立的該連接利用該協定終點執行該認證。
2. 根據請求項1之方法，其中用於該認證的該協定終點包括一認證器，該方法亦包括以下步驟： 向該AN傳輸關於將利用該認證器執行該認證的一指示。
3. 根據請求項2之方法，其中所傳輸的關於將利用該認證器執行該認證的該指示是在一RRC連接建立訊息中被傳輸的。
4. 根據請求項2之方法，亦包括以下步驟： 選擇用於執行一隨機存取程序的至少一個資源；及使用該至少一個所選擇的資源執行與該AN的該隨機存取程序，其中用於執行該隨機存取程序的該至少一個所選擇的資源包括該關於將利用該認證器執行該認證的指示。
5. 根據請求項1之方法，其中用於該認證的該協定終點包括一認證器，該方法亦包括以下步驟： 接收關於該AN使用該認證器執行認證的一指示，其中決定執行該認證是至少部分地基於接收該關於該AN使用該認證器執行認證的指示的。
6. 根據請求項5之方法，其中該關於該AN使用該認證器執行認證的指示是在以下各項中的至少一項中被接收的：系統資訊、對該無線設備的一查詢的一回應、一隨機存取通道（RACH）建立訊息或者其一組合。
7. 根據請求項1之方法，亦包括以下步驟： 接收關於該AN使用一第二認證器執行認證的一指示，其中該第二認證器被包含在與該AN相關聯的一核心網路（CN）中。
8. 根據請求項7之方法，其中決定執行一認證之步驟包括以下步驟： 選擇被與該AN共置的一認證器、該第二認證器或者該兩者來執行該認證。
9. 根據請求項1之方法，其中決定執行該認證是至少部分地基於被儲存在該無線設備處的該AN的一配置的。
10. 根據請求項9之方法，亦包括以下步驟： 接收與該AN相關聯的一辨識符；及至少部分地基於所接收的該辨識符取得該AN的該配置。
11. 根據請求項1之方法，其中該認證是經由與同該AN已建立的該連接相關聯的一無線電承載執行的。
12. 根據請求項11之方法，其中該認證是經由該RRC層執行的。
13. 根據請求項11之方法，其中用於該認證的該協定終點包括一認證器，並且其中執行該認證之步驟包括以下步驟： 經由該無線電承載與該認證器交換認證資訊；經由該無線電承載與該AN交換至少一個隨機參數；及至少部分地基於所交換的該認證資訊和該至少一個隨機參數產生一安全金鑰。
14. 根據請求項13之方法，亦包括以下步驟： 至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的該安全金鑰，經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。
15. 根據請求項1之方法，其中該認證是至少部分地基於經由與同該AN已建立的該連接相關聯的一無線電承載被執行的一可擴展認證協定（EAP）的。
16. 根據請求項15之方法，其中該認證是經由該RRC層或者乙太網路執行的。
17. 根據請求項1之方法，其中用於該認證的該協定終點包括一第一認證器，該方法亦包括以下步驟： 決定利用一第二認證器執行一第二認證，該第二認證器被包含在與該AN通訊的一核心網路（CN）中；及經由該AN利用該第二認證器執行該第二認證。
18. 根據請求項17之方法，其中該第二認證是經由該NAS層執行的。
19. 根據請求項1之方法，其中該連接是使用一蜂巢無線電存取技術（RAT）建立的。
20. 根據請求項1之方法，其中該認證是利用被與該AN共置的一認證器或者被託管在放置得遠離該AN的該LAN的一節點處的一認證器或者該兩者執行的。
21. 一種用於一無線設備處的無線通訊的裝置，包括： 一處理器；及記憶體，其與該處理器電子地通訊；指令，其被儲存在該記憶體中，並且在被該處理器執行時可操作為使該裝置執行以下操作：建立與一區域網路（LAN）的一存取節點（AN）的一連接；決定執行一認證；接收對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及至少部分地基於所接收的該指示，經由與該AN已建立的該連接利用該協定終點執行該認證。
22. 根據請求項21之裝置，其中用於該認證的該協定終點包括一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 向該AN傳輸關於將利用該認證器執行該認證的一指示。
23. 根據請求項22之裝置，其中所傳輸的關於將利用該認證器執行該認證的該指示是在一RRC連接建立訊息中被傳輸的。
24. 根據請求項22之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 選擇用於執行一隨機存取程序的至少一個資源；及使用該至少一個所選擇的資源執行與該AN的該隨機存取程序，其中用於執行該隨機存取程序的該至少一個所選擇的資源包括該關於將利用該認證器執行該認證的指示。
25. 根據請求項21之裝置，其中用於該認證的該協定終點包括一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 接收關於該AN使用該認證器執行認證的一指示，其中該等用於決定執行該認證的指令是至少部分地基於接收該關於該AN使用該認證器執行認證的指示可操作的。
26. 根據請求項25之裝置，其中該關於該AN使用該認證器執行認證的指示是在以下各項中的至少一項中被接收的：系統資訊、對該無線設備的一查詢的一回應、一隨機存取通道（RACH）建立訊息或者其一組合。
27. 根據請求項21之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 接收關於該AN使用一第二認證器執行認證的一指示，其中該第二認證器被包含在與該AN相關聯的一核心網路（CN）中。
28. 根據請求項27之裝置，其中該等用於決定執行一認證的指令是可操作為使該裝置執行以下操作的： 選擇被與該AN共置的一認證器、該第二認證器或者該兩者來執行該認證。
29. 根據請求項21之裝置，其中該等用於決定執行該認證的指令是至少部分地基於被儲存在該無線設備處的該AN的一配置可操作的。
30. 根據請求項29之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 接收與該AN相關聯的一辨識符；及至少部分地基於所接收的該辨識符取得該AN的該配置。
31. 根據請求項21之裝置，其中該認證是經由與同該AN已建立的該連接相關聯的一無線電承載執行的。
32. 根據請求項31之裝置，其中該認證是經由該RRC層執行的。
33. 根據請求項31之裝置，其中用於該認證的該協定終點包括一認證器，並且其中該等用於執行該認證的指令是可操作為使該裝置執行以下操作的： 經由該無線電承載與該認證器交換認證資訊；經由該無線電承載與該AN交換至少一個隨機參數；及至少部分地基於所交換的該認證資訊和該至少一個隨機參數產生一安全金鑰。
34. 根據請求項33之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的該安全金鑰，經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。
35. 根據請求項21之裝置，其中該認證是至少部分地基於經由與同該AN已建立的該連接相關聯的一無線電承載被執行的一可擴展認證協定（EAP）的。
36. 根據請求項35之裝置，其中該認證是經由該RRC層或者乙太網路執行的。
37. 根據請求項21之裝置，其中用於該認證的該協定終點包括一第一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 決定利用一第二認證器執行一第二認證，該第二認證器被包含在與該AN通訊的一核心網路（CN）中；及經由該AN利用該第二認證器執行該第二認證。
38. 根據請求項37之裝置，其中該第二認證是經由該NAS層執行的。
39. 根據請求項21之裝置，其中該連接是使用一蜂巢無線電存取技術（RAT）建立的。
40. 根據請求項21之裝置，其中該認證是利用被與該AN共置的一認證器或者被託管在放置得遠離該AN的該LAN的一節點處的一認證器或者該兩者執行的。
41. 一種用於一無線設備處的無線通訊的裝置，該裝置包括： 用於建立與一區域網路（LAN）的一存取節點（AN）的一連接的構件；用於決定執行一認證的構件；用於接收對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示的構件；及用於至少部分地基於所接收的該指示經由與該AN已建立的該連接利用該協定終點執行該認證的構件。
42. 一種儲存用於一無線設備處的無線通訊的電腦可執行代碼的非暫時性電腦可讀取媒體，該代碼是可執行為執行以下操作的： 建立與一區域網路（LAN）的一存取節點（AN）的一連接；決定執行一認證；接收對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及至少部分地基於所接收的該指示，經由與該AN已建立的該連接利用該協定終點執行該認證。
43. 一種用於一區域網路（LAN）的一存取節點（AN）處的無線通訊的方法，該方法包括以下步驟： 建立與一無線設備的一連接；決定該無線設備已決定執行一認證；傳輸對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。
44. 根據請求項43之方法，其中用於該認證的該協定終點包括一認證器，該方法亦包括以下步驟： 從該無線設備接收關於將利用該認證器執行該認證的一指示。
45. 根據請求項44之方法，其中該關於將利用該認證器執行該認證的指示是在一RRC連接建立訊息中被接收的。
46. 根據請求項44之方法，其中該關於將利用該認證器執行該認證的指示是在至少一個資源上在來自該無線設備的一隨機存取訊息中被接收的。
47. 根據請求項43之方法，其中用於該認證的該協定終點包括一認證器，該方法亦包括以下步驟： 傳輸關於該AN使用該認證器執行認證的一指示。
48. 根據請求項47之方法，其中該關於該AN使用該認證器執行認證的指示是在以下各項中的至少一項中被傳輸的：系統資訊、對該無線設備的一查詢的一回應、一隨機存取通道（RACH）建立訊息或者其一組合。
49. 根據請求項47之方法，亦包括以下步驟： 傳輸關於該AN使用一第二認證器執行認證的一指示，其中該第二認證器被包含在與該AN相關聯的一核心網路（CN）中。
50. 根據請求項43之方法，其中提供用於該認證的通訊之步驟包括以下步驟： 經由與同該無線設備已建立的該連接相關聯的一無線電承載傳輸與該認證相關聯的訊息。
51. 根據請求項50之方法，其中該等訊息是經由該RRC層傳輸的。
52. 根據請求項50之方法，亦包括以下步驟： 經由該無線電承載與該無線設備交換認證資訊；經由該無線電承載與該無線設備交換至少一個隨機參數；及至少部分地基於所交換的該認證資訊和該至少一個隨機參數產生一安全金鑰。
53. 根據請求項52之方法，亦包括以下步驟： 至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的該安全金鑰，經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。
54. 根據請求項43之方法，其中提供用於該認證的通訊之步驟包括以下步驟： 經由與該無線設備已建立的該連接傳輸關於一認證程序的訊息，其中該認證程序是至少部分地基於一可擴展認證協定（EAP）的。
55. 根據請求項54之方法，其中該認證程序是經由該RRC層或者乙太網路執行的。
56. 根據請求項43之方法，其中用於該認證的該協定終點包括一第一認證器，該方法亦包括以下步驟： 決定該無線設備已決定利用一第二認證器執行一第二認證，其中該第二認證器被包含在與該AN通訊的一核心網路（CN）中；及傳輸與該第二認證相關聯的訊息。
57. 根據請求項56之方法，其中該第二認證是經由該NAS層執行的。
58. 根據請求項43之方法，其中該連接是使用一蜂巢無線電存取技術（RAT）建立的。
59. 根據請求項43之方法，其中該認證是利用被與該AN共置的一認證器、利用被託管在放置得遠離該AN的該LAN的一節點處的一認證器或者該兩者執行的。
60. 一種用於一區域網路（LAN）的一存取節點（AN）處的無線通訊的裝置，包括： 一處理器；及記憶體，其與該處理器電子地通訊；指令，其被儲存在該記憶體中，並且在被該處理器執行時可操作為使該裝置執行以下操作：建立與一無線設備的一連接；決定該無線設備已決定執行一認證；傳輸對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。
61. 根據請求項60之裝置，其中用於該認證的該協定終點包括一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 從該無線設備接收關於將利用該認證器執行該認證的一指示。
62. 根據請求項61之裝置，其中該關於將利用該認證器執行該認證的指示是在一RRC連接建立訊息中被接收的。
63. 根據請求項61之裝置，其中該關於將利用該認證器執行該認證的指示是在至少一個資源上在來自該無線設備的一隨機存取訊息中被接收的。
64. 根據請求項60之裝置，其中用於該認證的該協定終點包括一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 傳輸關於該AN使用該認證器執行認證的一指示。
65. 根據請求項64之裝置，其中該關於該AN使用該認證器執行認證的指示是在以下各項中的至少一項中被傳輸的：系統資訊、對該無線設備的一查詢的一回應、一隨機存取通道（RACH）建立訊息或者其一組合。
66. 根據請求項64之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 傳輸關於該AN使用一第二認證器執行認證的一指示，其中該第二認證器被包含在與該AN相關聯的一核心網路（CN）中。
67. 根據請求項60之裝置，其中該等用於提供用於該認證的通訊的指令是可操作為使該裝置執行以下操作的： 經由與同該無線設備已建立的該連接相關聯的一無線電承載傳輸與該認證相關聯的訊息。
68. 根據請求項67之裝置，其中該等訊息是經由該RRC層傳輸的。
69. 根據請求項67之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 經由該無線電承載與該無線設備交換認證資訊；經由該無線電承載與該無線設備交換至少一個隨機參數；及至少部分地基於所交換的該認證資訊和該至少一個隨機參數產生一安全金鑰。
70. 根據請求項69之裝置，其中該等指令是可操作為使該裝置執行以下操作的： 至少部分地基於該安全金鑰建立一或多個額外的無線電承載；及至少部分地基於所產生的該安全金鑰，經由經由該無線電承載、該一或多個額外的無線電承載或者該兩者的該連接與該LAN安全地通訊。
71. 根據請求項60之裝置，其中該等用於提供用於該認證的通訊的指令是可操作為使該裝置執行以下操作的： 經由與該無線設備已建立的該連接傳輸關於一認證程序的訊息，其中該認證程序是至少部分地基於一可擴展認證協定（EAP）的。
72. 根據請求項71之裝置，其中該認證程序是經由該RRC層或者乙太網路執行的。
73. 根據請求項60之裝置，其中用於該認證的該協定終點包括一第一認證器，並且該等指令是可操作為使該裝置執行以下操作的： 決定該無線設備已決定利用一第二認證器執行一第二認證，其中該第二認證器被包含在與該AN通訊的一核心網路（CN）中；及傳輸與該第二認證相關聯的訊息。
74. 根據請求項73之裝置，其中該第二認證是經由該NAS層執行的。
75. 根據請求項60之裝置，其中該連接是使用一蜂巢無線電存取技術（RAT）建立的。
76. 根據請求項60之裝置，其中該認證是利用被與該AN共置的一認證器、利用被託管在放置得遠離該AN的該LAN的一節點處的一認證器或者該兩者執行。
77. 一種用於一區域網路（LAN）的一存取節點（AN）處的無線通訊的裝置，該裝置包括： 用於建立與一無線設備的一連接的構件；用於決定該無線設備已決定執行一認證的構件；用於傳輸對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示的構件；及用於提供用於該無線設備與該協定終點之間的該認證的通訊的構件。
78. 一種儲存用於一區域網路（LAN）的一存取節點（AN）處的無線通訊的電腦可執行代碼的非暫時性電腦可讀取媒體，該代碼是可執行為執行以下操作的： 建立與一無線設備的一連接；決定該無線設備已決定執行一認證；傳輸對如作為一非存取層（NAS）層或者一無線電資源控制（RRC）層的用於該認證的一協定終點的一指示；及提供用於該無線設備與該協定終點之間的該認證的通訊。