WO2012159356A1 - 一种简化无线局域网认证的方法、装置及系统 - Google Patents

Abstract

提供一种简化无线局域网认证的方法、会话密钥存储方法、装置及系统。所述简化无线局域网认证的方法包括：第一接入点在与用户进行双向鉴权认证成功后，将用户的会话密钥及用户在无线局域网中的媒体接入控制层（MAC）地址发送给无线蜂窝网络接入网（RAN）管理节点存储；当用户从第一接入点切换到第二接入点时，所述第二接入点根据所述用户在无线局域网中的MAC地址向第二接入点所属的RAN管理节点查询所述用户的会话密钥（101）；如果所述第二接入点查询到所述用户的会话密钥，则不对所述用户进行双向鉴权认证，并利用所述会话密钥对会话的内容进行加密保护（102）。利用本发明，减少了重新进行双向鉴权的次数，降低了无线局域网中的接入点的接入时延和核心网中认证服务器的负担。

Description

一种简化无线局域网认证的方法、 装置及系统

技术领域

本发明涉及通信技术领域， 特别涉及一种简化无线局域网认证的方法、装 置及系统。 背景技术

随着人们对无线通信需求的不断增加，现有的无线蜂窝网络的带宽将很难 为满足未来的需求。 虽然无线蜂窝技术正在不断的演进， 但是由于频谱本身的 约束， 其吞吐量在未来的提升将比较有限。 为了解决无线通信的带宽瓶颈， 把 无线蜂窝技术和 WLAN技术相互融合。

目前， 无线蜂窝网络和 WLAN融合有多种方案。

一种融合的技术方案为： WLAN的 AP通过某个逻辑链路连接到无线蜂窝 网络接入网 (RAN)的某个管理节点中， 并且受该管理节点的管理； 该管理节点 对接收到的数据进行转发。 当用户从一个 AP的覆盖范围进入另一个 AP的覆 盖范围时， 用户需要通过 AAA服务器重新进行认证。 这样会给 AAA服务器 带来很大的通信负担， 同时也给用户接入带来较大的时延。

另一种融合的技术方案为： 在 IWLAN体系中为用户接入 WLAN AP进行 认证过程。 其中， IWLAN是另一种 WLAN与无线蜂窝网络的融合框架。 在 IWLAN的框架下面， WLAN的 AP和无线蜂窝网络 RAN侧的节点是没有直 接的逻辑连接， 用户设备上的 UMTS空口和 WLAN空口是采用的认证协议分 别为 UMTS-A A和 EAP-AKA。

在对现有技术的研究和实践过程中， 本发明的发明人发现， 现有的实现方 式中， 当用户从一个 AP的覆盖范围进入另一个 AP的覆盖范围时， 用户需要 重新进行认证。 这样会给 AAA服务器带来很大的通信负担， 同时也给用户接 入带来较大的时延。 发明内容

有鉴于此， 本发明实施例提供一种简化无线局域网认证的方法、会话密钥 存储方法、 装置及系统， 以解决在用户发生 AP切换时， 减少用户重新进行双 向鉴权的次数， 降低了 WLAN AP的接入时延。

本发明实施例提供一种简化无线局域网认证的方法， 所述方法包括： 当用户从第一接入点切换到第二接入点时，所述第二接入点根据所述用户 在无线局域网中的媒体接入控制层 MAC地址向所述第二接入点所属的 RAN 管理节点查询所述用户的会话密钥；

如果所述第二接入点查询到所述用户的会话密钥，则不对所述用户进行双 向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保护。

相应的， 本发明实施例还提供一种会话密钥存储方法， 所述方法包括： 无线蜂窝网络接入网 RAN管理节点接收到至少一个接入点发送的用户认 证信息， 所述用户认证信息包括： 第一会话密钥及用户在无线局域网中的媒体 接入控制层 MAC地址；

RAN管理节点保存和维护所述用户的认证信息。

相应的， 本发明实施例提供一种筒化无线局域网认证的装置， 与无线蜂 窝网络接入网 RAN管理节点进行数据交互， 所述装置包括：

第一查询单元， 用于在用户从第一接入点切换到该简化无线局域网认证 的装置时， 根据用户在无线局域网中的媒体接入控制层 MAC地址向所述装置 所属的 RAN管理节点查询所述用户的会话密钥；

加密单元， 用于所述第一查询单元查询到所述用户的会话密钥， 则不对 所述用户进行双向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保 护。

本发明实施例还提供一种会话密钥存储装置， 所述装置包括：

接收单元， 用于接收到至少一个接入点发送的用户认证信息， 所述用户 认证信息包括： 第一会话密钥及用户在无线局域网中的媒体接入控制层 MAC 地址；

存储单元， 用于保存和维护所述用户的认证信息。

相应的， 本发明实施例提供一种简化无线局域网认证系统， 所述系统包 括： 第一接入点， 第二接入点， 以及第一接入点和第二接入点所属的无线蜂窝 网络接入网 RAN管理节点， 其中，

所述第一接入点， 用于在与用户进行双向鉴权认证成功后， 将用户的会 话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述 RAN管 理节点；

所述 RAN管理节点 , 用于接收第一接入点发送的用户的会话密钥及用户 在无线局域网中的 MAC地址， 并存储和维护所述用户的认证信息；

所述第二接入点， 用于在用户从第一接入点切换到第二接入点时， 根据 所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并在 查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所述 会话密钥对会话的内容进行加密保护。

本发明实施例还提供一种筒化无线局域网认证系统， 所述系统包括： 第 一接入点，及其所属的第一无线蜂窝网络接入网 RAN管理节点， 第二接入点及 所属的第二 RAN管理节点， 其中，

所述第一接入点， 用于在与用户进行双向鉴权认证成功后， 将用户的会 话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述第一 RAN管理节点；

所述第一 RAN管理节点， 用于接收第一接入点发送的用户的会话密钥及 用户在无线局域网中的 MAC地址， 并存储和维护所述用户的会话密钥及用户 在无线局域网中的 MAC地址； 以及在用户从第一接入点切换到第二接入点时， 将所述用户的会话密钥及用户在无线局域网中的 MAC地址发送给第二 RAN管 理节点；

所述第二 RAN管理节点， 用于接收所述第一 RAN管理节点发送的所述用 户的会话密钥及用户在无线局域网中的 MAC地址， 并存储和维护所述用户的 会话密钥及用户在无线局域网中的 MAC地址；

所述第一接入点， 用于在用户从第一接入点切换到第二接入点时， 根据 所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并在 查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所述 会话密钥对会话的内容进行加密保护。

由上述技术方案可知， 本发明实施例利用管理 WLAN AP的 RAN管理节点 进行 MSK的共享， 使得当用户进入新的 AP覆盖范围时不需要重新进行双向鉴 权而直接进行数据通信， 从而减少了需要重新进行双向鉴权的次数， 降低了 WLAN AP的接入时延， 和核心网中认证服务器的负担。 附图说明

图 1为本发明实施例提供的一种简化无线局域网认证的方法的流程图； 图 2为本发明实施例提供的一种会话密钥存储方法的流程图；

图 3 为本发明实施例提供的一种筒化无线局域网认证的方法的应用场景 的示意图；

图 4为本发明实施例中源 RNC向目标 RNC切换的 Relocation Required的 消息示意图； 的消息示意图；' ^;、 。 '

图 6 为本发明实施例提供的一种筒化无线局域网认证的装置的结构示意 图 6A为本发明实施例提供的另一种简化无线局域网认证的装置的结构示 图 7为本发明实施例提供的一种会话密钥存储装置的结构示意图； 图 7A为本发明实施例提供的第二种会话密钥存储装置的结构示意图 图 7B为本发明实施例提供的第三种会话密钥存储装置的结构示意图 图 7C为本发明实施例提供的第四种会话密钥存储装置的结构示意图 图 8为本发明实施例一种简化无线局域网认证系统的结构示意图； 图 9为本发明实施例一种简化无线局域网认证系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例的方案，下面结合附图 和实施方式对本发明实施例作进一步的详细说明。

请参阅图 1 , 为本发明实施例提供一种筒化无线局域网认证的方法的流程 图， 在该实施例中， 接入点 （AP， Access Point ) 为无线局域网中的 AP, 即 WLAN AP, 所述方法包括：

步骤 101 : 当用户从第一接入点切换到第二接入点时， 所述第二接入点根 据所述用户在无线局域网中的 MAC地址向第二接入点所属的 RAN管理节点查 询所述用户的会话密钥；

步骤 102: 如果所述第二接入点查询到所述用户的会话密钥， 则不对所述 用户进行双向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保护。 在步驟 101之前， 所述方法还可以包括： 第一接入点在与用户进行双向鉴 权认证成功后， 将用户的会话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所属的无线蜂窝网络接入网 RAN管理节点存储。

也就是说， 该步骤为基础条件， 即第一接入点 （即源接入点）将用户的 会话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发 RAN管理节点 存储为基础条件， 在后需用户发送接入点切换时， 执行步骤 102和步骤 103。

在该实施例中， 第一接入点和第二接入点属于同一个 RAN管理节点管理， 也就是说， 用户切换到同一个 RAN管理节点下的新接入点。

在该实施例中， 第一接入点 （即源接入点） 需要在与用户进行双向鉴权 认证成功后， 先将用户的会话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给无线蜂窝网络接入网 RAN管理节点存储； 以便于在用户发生 接入点切换时，新的接入点能直接从 RAN管理节点获取该用户的会话密钥， 简 化在用户接入点发生切换时， 筒化新的接入点与该用户的双向鉴权认证过程。

在上述实施例中， 如果所述第二接入点没有查询到所述用户的会话密钥， 则与所述用户进行双向鉴权认证； 具体可以采用 EAP-AKA协议通过 AAA服务 器对用户进行双向鉴权认证。 其中， 在认证的过程中， AAA服务器扮演 EAP-AKA协议中的 EAP-server的角色， 第二接入点扮演 EAP-AKA协议中 Authenticator的角色； 其认证过程为： AAA服务器向 HLR获取鉴权向量 ( Authentication Vector ) ， AAA服务器根据鉴权向量计算密钥 MK， 并且根据 MK计算会话密钥 MSK。 AAA服务器向第二接入点发送所述用户对应的 MSK。 第二接入点将利用 MSK对无线通信的数据进行完整性检查和加密。

在所述第二接入点与所述用户双向鉴权认证成功后， 所述第二接入点将 所述用户的认证信息发送给 RAN管理节点存储，其中，所述述用户的认证信息 包括： 第二用户的 MSK及用户在无线局域网中的 MAC地址。

优选的， 当所述第一接入点与第二接入点所属的 RAN管理节点不同时， 在所述第二接入点根据所述用户在无线局域网中的 MAC地址向所述第二接入 点所属的 RAN管理节点查询所述用户的会话密钥之前， 所述方法还可以包括： 第二接入点所属的 RAN管理节点接收到第一接入点所属的 RAN管理节点发送 的所述用户的会话密钥及用户在无线局域网中的 MAC地址。 或者；

当所述第一接入点与第二接入点所属的 RAN管理节点不同时， 在用户从 第一接入点切换到第二接入点时， 所述方法还可以包括： 第二接入点所属的 RAN管理节点接收到第一接入点所属的 RAN管理节点发送的所述用户的会话 密钥及用户在无线局域网中的 MAC地址； 第二接入点根据所述用户在无线局 域网中的 MAC地址向所属的 RAN管理节点查询所述用户的会话密钥。

也就是说， 第一接入点所属的 RAN管理节点将所述用户的会话密钥及用 户在无线局域网中的 MAC地址发送给所述第二接入点所属的 RAN管理节点； 其中，第一接入点所属的 RAN管理节点可以通过核心网将用户的会话密钥及用 户在 MAC地址发送给所述第二接入点所属的 RAN管理节点； 所述第二接入点 向所属的 RAN管理节点查询所述用户的会话密；

如果所述第二接入点查询到所述用户的会话密钥， 则不与所述用户进行 双向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保护；

如果所述第二接入点没有查询到所述用户的会话密钥， 则与所述用户进 行双向鉴权认证；

在所述第二接入点与所述用户双向鉴权认证成功后， 所述第二接入点将 所述用户的认证信息发送给 RAN管理节点存储， 所述述用户的认证信息包括： 用户的会话密钥及用户在无线局域网中的 MAC地址。

在上述实施例中， 所述 RAN可以为通用移动通信系统陆地无线接入网 UTRAN中的无线网络控制器 RNC； 或者为增强型 UTRAN ( E-UTRAN中 ) 的 演进基站 eNodeB;

所述第一接入点所属的 RAN管理节点将所述用户的会话密钥及用户的

MAC地址发送给所述第二接入点所属的 RAN管理节点具体包括：

第一接入点所属的 RNC通过核心网将所述用户的会话密钥及用户在 MAC 地址发送给所述第二接入点所属的 RNC或者 eNodeB; 或者， 第一接入点所属 的 eNodeB通过核心网将所述用户的会话密钥及用户在 MAC地址发送给所述第 二接入点所属的 eNodeB或者 RNC; 或者

第二接入点所属的 RNC或者 eNodeB通过核心网接收到第一接入点所属的 RNC发送的所述用户的会话密钥及用户在在无线局域网中的 MAC地址发； 或 者， 第二接入点所属的 RNC或者 eNodeB通过核心网接收到第一接入点所属的 eNodeB发送的所述用户的会话密钥及用户在在无线局域网中的 MAC地址。

本发明实施例利用管理 WLAN AP的 RAN管理节点进行 MSK的共享，使得 当用户进入新的 AP覆盖范围时不需要重新进行双向鉴权而直接进行数据通 信，从而减少了需要重新进行双向鉴权的次数， 降低了 WLAN AP的接入时延， 和核心网中认证服务器的负担。

还请参阅图 2， 本发明实施例提供的一种会话密钥存储方法的流程图， 在 该实施例中， 接入点 AP为无线局域网中的 AP, 所述方法包括：

步骤 201 : 无线蜂窝网络接入网 RAN管理节点接收到至少一个接入点发送 的用户认证信息， 所述用户认证信息包括： 第一会话密钥及用户在无线局域网 中的媒体接入控制层 MAC地址；

步骤 202: RAN管理节点保存和维护所述用户的认证信息。

优选的， 在上述实施例中， RAN管理节点还提供查询接口， 便于接入点 查询用户的会话密钥， 所述方法还可以包括：

所述 RAN管理节点接收至少一个接入点发送的查询会话密钥请求， 其中， 所述查询会话密钥请求包括用户在无线局域网中的 MAC地址； 所述 RAN管理 节点根据所述 MAC地址进行查询， 得到用户的第一会话密钥； 所述 RAN管理 节点向所述接入点反馈查询到的会话密钥响应，所述会话密钥响应中包括用户 的第一会话密钥。

优选的 , 为了便于会话密钥 MSK随用户的 RAN管理节点的迁移而迁移 , 即当用户从 RAN管理节点下的第一接入点切换到目标 RAN管理节点下的第二 接入点时，所述方法还可以包括： 所述 RAN管理节点将所述用户的会话密钥及 用户在无线局域网中的 MAC地址发送给目标 RAN管理节点， 以便于在第一接 入点切换到第二接入点时，所述第二接入点从所述目标 RAN管理节点获取用户 的第一会话密钥。

优选的， 为了便于更新会话密钥， RAN管理节点还提供密钥更新接口， 所述方法还可以包括：所述 RAN管理节点接收到至少一个接入点发送的所述用 户的第二会话密钥（新会话密钥 )， 并将所述第一会话密钥更新为第二会话密 钥， 用户第二会话密钥替换第一会话密钥。

本发明利用管理 WLAN AP的 RAN管理节点进行 MSK密钥的共享，使得当 用户进入新的 AP覆盖范围时不需要重新进行双向鉴权而直接进行数据通信。 本发明提供了 MSK在 RAN管理节点共享的方法， 以及 MSK密钥随用户的 RAN 管理节点的迁移而迁移的方法。 为了便于本领域技术人员的理解， 下面以具体的实施例来说明。

实施例一

请参阅图 3， 为本发明实施例提供的一种筒化无线局域网认证的方法的应 用场景的示意图， 具体包括： 若干个 WLAN AP31、 多个 RAN管理节点 32和其 他若干个 RAN节点 33 , 其中， 若干个 WLAN AP通过某逻辑链路连接到无线蜂 窝网络接入网 RAN侧的某个 RAN管理节点上， 由该 RAN管理节点管理上下行 数据通过该管理节点进行分流和汇聚。 该 RAN管理节点也可能还管理其他的 RAN节点。

用户同时支持无线蜂窝网络接入网和 WLAN的通信协议， 并且在使用 WLAN通信时可以保持无线蜂窝网络接入网侧的通信连接。用户通过无线蜂窝 网络接入网连接的 RAN管理节点必须和通过 WLAN协议连接的 RAN管理节点 一致。

WLAN AP采用 EAP-AKA协议通过 AAA服务器对用户进行双向鉴权认 证。 AP和 AAA服务器分别对应 EAP-AKA协议中的 Authenticator和 EAP server。 因此， 当一个用户关联到一个 WLAN AP, 并且该 AP和用户间采用 EAP-AKA 协议双向鉴权认证成功后， 该 AP将获得 AAA服务器发送的该用户的 MSK , 并 将所述 MSK发送给 RAN管理节点存储。

也就是说， MSK将在 RAN管理节点中共享， 具体包括：

在 AP通过 AAA服务器第一次与用户双向鉴权认证成功后， AP向 RAN管理 节点发送该用户认证信息， 所述认证信息包括 MSK， 以及该用户在无线局域 网中的媒体接入控制层 MAC地址， 但不限于此， 还可以适应性包括其他的参 数， 本实施例不作限制。

当 AP收到 AAA服务器发送的该用户的新 MSK时（该新 MSK用于用户重新 发起鉴权或者发起快速重鉴权等）， AP需要向 RAN管理节点更新对应的 MSK， 即将新的 MSK发送给 RAN管理节点； RAN管理节点对接收到的 MSK和该用户 在无线局域网中的媒体接入控制层 MAC地址的二元組进行保存与维护。

当用户发生 AP切换（比如从第一接入点切换到第二接入点） 时， 所述实 施例一包括两种情况：

一种情况是： 用户在同一个 RAN管理节点下的不同 AP间切换， 即用户切 换到同一个 RAN管理节点下的新 AP， 具体为： 该新 AP用所述用户的 MAC地址向 RAN管理节点查询用户的 MSK;如果获 得 MSK , 则不需要对该用户进行双向鉴权， 同时利用该 MSK对通信内容进行 保护； 否则， 新 AP认为需要对该用户进行双向鉴权认证， 其双向鉴权认证过 程详见上述， 在此不再赘述。

另一种情况是： 用户在不同 RAN管理节点下的不同 AP间的切换， 即用户 切换到不同 RAN管理节点的新 AP (意味着用户已经在无线蜂窝网络侧进行 RAN管理节点的切换） ， 具体为：

当用户在无线蜂窝网络侧进行 RAN管理节点切换的时候， 源 RAN管理节 点需要把该用户对应的 MSK和 WLAN MAC地址传输给目标 RAN管理节点。

当所述用户关联到所述新 AP后， 所述新 AP用所述用户的 WLAN MAC地 址向 RAN管理节点查询 MSK; 如果获得 MSK, 则不需要对该用户进行双向鉴 权， 同时利用该 MSK对通信内容进行保护； 否则， 需要对该用户进行双向鉴 权； 其双向鉴权认证过程详见上述， 在此不再赘述。

实施例二

本发明提供的实施例二是实施例一的一个特例。 本实施例应用于所述无 线蜂窝网络接入网 RAN为通用移动通信系统-陆地无线接入网 （ UTRAN , Universal Mobile Telecommunications System-Terrestrial Radio Access Network ) 时的情况， 具体而言：

所述 RAN为 UTRAN； 所述 RAN管理节点为 UTRAN中的无线网絡控制器 RNC; 受所述 RAN管理节点管理的其他 RAN节点为基站 NodeB。

本实施例二的应用场景为：

用户从源 RNC (源 RAN管理节点）进入目标 RNC或者目标 eNodeB (目标 RAN管理节点） 时， 按照协议， 源 RNC将向核心网发送 "迁移请求 Relocation Required"类型的无线接入网络应用部分 RANAP消息。此 "Relocation Required" 类型消息中的 "源节点到目标节点的透明容器信息元素 （即 Source To Target Transparent Container" IE数据）将被直接传输给目标 RNC或者目标 eNodeB: 其中， 所述 IE数据就是一些信息元素， 他是由源 RNC产生的。

如图 4所示， 为本发明实施例中源 RNC向目标 RNC切换的 Relocation Required的消息示意图； 图中所示， 当目标 RAN管理节点是 RNC时， "Source To Target Transparent Container" IE数据需要包含源 RNC到目标 RNC的透明容器" 信息元素 , 即 "Source RNC To Target RNC Transparent Container" IE;

如图 5所示， 为本发明实施例中源 RNC向目标 eNodeB切换的 Relocation Required的消息示意图； 图中所示，

当目标管理节点是 eNodeB时， "Source To Target Transparent Container" IE需要包含源 eNodeB到目标 eNodeB的透明容器"信息元素，即 "Source eNodeB To Target eNodeB Transparent Container" IE。

" Source RNC To Target RNC Transparent Container" IE和 " Source eNodeB To Target eNodeB Transparent Container" IE都包含无线资源控制容器 ( RRC-Container ) 和扩展信息元素 （ iE-Extensions ) 两个子字段。 对 RRC-Container和 iE-Extensions数据的解释是可以自定义的， 因此， 本实施例可 以利用 RRC-Container和 iE-Extensions来携带自定义的信息， ， 比如， 可以将会 话密钥和 MAC地址填充带这两个字段中， 而不修改现有的无线标准。

本实施例二的具体过程包括：

当用户在同一个 RNC的不同 AP间切换时， 其具体的实现过程详见施例一 中对应的实现过程。

当用户从一个 RNC的 AP切换到其他 RNC (或者一个 eNodeB ) 的 AP时， 将实施例一中所描述的 "源 RAN管理节点需要把该用户对应的 MSK和 WLAN MAC地址传输给目标 RAN管理节点 " 可以具体细化为：

用户的 MSK和 WLAN MAC地址可以写入 "Relocation Required" 消息 "Source To Target Transparent Container" IE中的 RRC-Container或 iE-Extensions 字段， 从而从源 RNC传输到目标 RNC或者目标 eNodeB。

源 RNC和目标 RNC (或者目标 eNodeB ) 按照一个预先约定的格式对 RRC-Container或 iE-Extensions进行编码， 从而保证能够成功进行用户的 MSK 和 WLAN MAC地址的加密传输。

实施例三

本实施例三也是实施例一的另一个特例。 本实施例应用于当所述无线蜂 窝网絡采用 LTE协议时的情况， 具体而言：

所述 RAN为 E-UTRAN; 所述 RAN管理节点为 eNodeB; eNodeB没有管理 其他 RAN节点；

用户从源 eNodeB (源 RAN管理节点）进入目标 RNC或者目标 eNodeB (目 标 RAN管理节点）时，按照协议，源 eNodeB将向核心网发送"切换请求 Handover Required" 类型的接口应用协议 S1AP消息。 此 "Handover Required" 类型消息 中的 "Source To Target Transparent Container" IE数据将被直接传输给目标 RNC 或者目标 eNodeB:

当目标管理节点是 RNC时, "Source To Target Transparent Container" IE 需要包含 "Source RNC To Target RNC Transparent Container" IE;

当目标管理节点是 eNodeB时 , "Source To Target Transparent Container" IE需要包含 "Source eNodeB To Target eNodeB Transparent Container" IE。

同实施例二相同， "Source RNC To Target RNC Transparent Container" IE 和 " Source eNodeB To Target eNodeB Transparent Container " IE都色含 RRC-Container和 iE-Extensions两个子字段。 本实施例中， 对 RRC-Container和 iE-Extensions数据的解释是可以自定义的， 因此可以利用 RRC-Container和 iE-Extensions来携带自定义的信息， 比如， 可以将会话密钥和 MAC地址填充带 这两个字段中， 而不修改现有的无线标准。

本实施例的具体实现过程包括：

当用户在同一个 eNodeB的不同 AP间切换时， 其实现步骤同实施例一中相 对应的步骤一致， 具体详见上述， 在此不再赘述。

当用户从一个 eNodeB的 AP切换到其他 eNodeB (或者一个 RNC )的 AP时， 实施例一中所描述的 "源 RAN管理节点需要把该用户对应的 MSK和 WLAN MAC地址传输给目标 RAN管理节点 " 具体可以细化为：

用户的 MSK和 WLAN MAC地址可以写入 "Handover Required" 消息 " Source To Target Transparent Container " IE中 的 RRC-Container或 iE-Extensions字段， 从而从源 eNodeB传输到目标 RNC或者目标 eNodeB。

源 eNodeB和目标 eNodeB (或者目标 RNC )按照一个预先约定的格式对 RRC-Container或 iE-Extensions进行编码， 从而保证能够成功进行用户的 MSK 和 WLAN MAC地址的加密传输。

本发明实施例针对 EAP-AKA协议进行， 设计了密钥在管理节点间共享的 方法以及简化无线局域网认证的方法， 从而减少了当用户进行 AP切换时需要 重新进行双向鉴权的次数， 降低了 WLAN AP的接入时延和核心网中认证服务 器的负担。 基于上述实施例的实现过程， 本发明实施例提供一种简化无线局域网认 证的装置， 其结构示意图如图 6所示， 所述装置与无线蜂窝网络接入网 RAN管 理节点进行数据交互，所述 RAN理节点存储用户与第一接入点进行双向鉴权认 证成功的会话密钥， 及用户在无线局域网中的媒体接入控制层 MAC地址； 所 述装置包括： 第一查询单元 61和加密单元 62, 其中，

所述第一查询单元 61 , 用于在用户从第一接入点切换到该简化无线局域 网认证的装置时， 根据用户在无线局域网中的媒体接入控制层 MAC地址向所 述装置所属的 RAN管理节点查询所述用户的会话密钥； 所述加密单元 62,用于 所述第一查询单元查询到所述用户的会话密钥，则不对所述用户进行双向鉴权 认证， 并利用所述会话密钥对会话的内容进行加密保护。

优选的， 所述装置还可以包括： 鉴权认证单元 63和发送单元 64, 其中， 鉴权认证单元 63 , 用于在所述第一查询单元没有查询到所述用户的会话密钥 时， 则该鉴权认证单元与所述用户进行双向鉴权认证； 发送单元 64, 用于在该 鉴权认证单元与所述用户进行双向鉴权认证成功后，将所述用户的认证信息发 送给 RAN管理节点存储，所述用户的认证信息包括： 用户的会话密钥及用户在 无线局域网中的 MAC地址； 具体详见图 6A, 图 6A为本发明实施例提供的另一 种简化无线局域网认证的装置的结构示意图。

所述装置中各个单元的功能和作用的实现过程， 详见上述方法中对应的 实现过程， 在此不再赘述。

相应的， 本发明实施例还一种会话密钥存储装置， 其结构示意图如图 7所 示， 所述装置包括： 接收单元 71和存储单元 72, 其中， 所述接收单元 71 , 用于 接收到至少一个接入点发送的用户认证信息， 所述用户认证信息包括： 第一会 话密钥及用户在无线局域网中的媒体接入控制层 MAC地址； 所述存储单元 72, 用于保存和维护所述用户的认证信息。

优选的， 所述装置还可以包括： 查询单元 73， 用于在接收到至少一个接 入点发送的携带用户在无线局域网中的 MAC地址的查询会话密钥请求时， 根 据所述 MAC地址从所述存储单元查询对应的第一会话密钥； 反馈单元 74， 与 查询单元 73连接， 用于向所述接入点反馈会话密钥响应， 所述会话密钥响应包 括用户的第一会话密钥； 具体详见图 7A， 图 7A为本发明实施例提供的第二种 会话密钥存储装置的结构示意图。 优选的， 在上述所有实施例的基础上， 所述装置还可以包括： 密钥更新 单元 75, 用于在接收到至少一个接入点发送的所述用户的第二会话密钥， 将将 存储单元 72中的所述第一会话密钥更新为第二会话密钥； 具体详见图 7B , 图 7B为本发明实施例提供的第三种会话密钥存储装置的结构示意图， 即图 7B在 图 7A的基 上增加了密钥更新单元 75 , 当然， 在图 7的基础上也可以增加密钥 更新单元 75 , 本实施例只是以其中一种为例， 不限于此。

优选， 在上述所有实施例的基础上， 当用户从 RAN管理节点下的第一接 入点切换到目标 RAN管理节点下的第二接入点时， 所述装置还可以包括： 发送单元 76， 与存储单元 72连接， 用于将所述用户的会话密钥及用户在 无线局域网中的 MAC地址发送给目标 RAN管理节点， 以便于在第一接入点切 换到第二接入点时，所述第二接入点从所述目标 RAN管理节点获取用户的会话 密钥； 具体详见图 7C, 图 7C为本发明实施例提供的第四种会话密钥存储装置 的结构示意图； 即图 7 C在图 7B的基础上增加了发送单元 76, 当然， 在图 7、 图 A或图 7B的基 上也可以增加发送单元 76， 本实施例只是以其中一种为例， 并 不限于此。

所述装置中各个单元的功能和作用的实现过程， 详见上述方法中对应的 实现过程， 在此不再赘述。

相应的 , 本发明实施例还提供一种简化无线局域网认证系统， 其结构示 意图详见图 8， 所述系统包括： 第一接入点 81， 第二接入点 82， 以及第一接入 点和第二接入点所属的无线蜂窝网络接入网 RAN管理节点 83 , 其中，

所述第一接入点 81 , 用于在与用户进行双向鉴权认证成功后， 将用户的 会话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述 RAN 管理节点；

所述 RAN管理节点 83 , 用于接收第一接入点发送的用户的会话密钥及用 户在无线局域网中的 MAC地址， 并存储和维护所述用户的认证信息；

所述第二接入点 82, 用于在用户从第一接入点切换到第二接入点时， 根 据所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并 在查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所 述会话密钥对会话的内容进行加密保护。

其中， 所述 RAN管理节点 83包括会话密钥存储装置， 所述第二接入点包 括筒化无线局域网认证的装置，所述会话密钥存储装置和简化无线局域网认证 的装置的功能和作用如上述所示， 在此不再赘述。

相应的， 本发明实施例还提供另一种简化无线局域网认证系统， 其结构 示意图详见图 9， 所述系统包括： 第一接入点 91， 及其所属的第一无线蜂窝网 络接入网 RAN管理节点 92, 第二接入点 93及所属的第二 RAN管理节点 94, 其 中，

所述第一接入点 91 , 用于在与用户进行双向鉴权认证成功后， 将用户的 会话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述第一 RAN管理节点；

所述第一 RAN管理节点 92, 用于接收第一接入点发送的用户的会话密钥 及用户在无线局域网中的 MAC地址， 并存储和维护所述用户的会话密钥及用 户在无线局域网中的 MAC地址； 以及在用户从第一接入点切换到第二接入点 时， 将所述用户的会话密钥及用户在无线局域网中的 MAC地址发送给第二 RAN管理节点；

所述第二 RAN管理节点 94, 用于接收所述第一 RAN管理节点发送的所述 用户的会话密钥及用户在无线局域网中的 MAC地址， 并存储和维护所述用户 的会话密钥及用户在无线局域网中的 MAC地址；

所述第一接入点 93 , 用于在用户从第一接入点切换到第二接入点时 , 根 据所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并 在查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所 述会话密钥对会话的内容进行加密保护。

其中， 所述第一 RAN管理节点和第二 RAN管理节点分別包括会话密钥存 储装置， 所述第二接入点和第二接入点分别包括筒化无线局域网认证的装置， 所述会话密钥存储装置和简化无线局域网认证的装置的功能和作用如上述所 示， 在此不再赘述。

通过以上的实施方式的描述， 本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现， 也可以可借助软件加必要的通用硬件平台的方式来实 现。 基于这样的理解， 本发明的技术方案可以以软件产品的形式体现出来， 该 软件产品可以保存在一个非易失性保存介质 （例如， 可以是只读存储器 ( ROM ) , U盘， 移动硬盘， 随机存取存储器 （RAM ) 、 磁磔或者光盘等各 种可以存储程序代码的介质等）中，包括若干指令用以使得一台计算机设备（可 以是个人计算机， 服务器， 或者网络设备等）执行本发明各个实施例所述的方 法。

在本申请所提供的几个实施例中， 应该理解到， 所揭露装置和方法， 在 没有超过本申请的精神和范围内， 可以通过其他的方式实现。 例如， 以上所描 述的装置实施例仅仅是示意性的， 例如， 所述模块的划分， 仅仅为一种逻辑功 能划分， 实际实现时可以有另外的划分方式， 例如多个模块或组件可以结合或 者可以集成到另一个系统， 或一些特征可以忽略， 或不执行。 其中所述作为分 离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件 可以是或者也可以不是物理单元， 即可以位于一个地方， 或者也可以分布到多 个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实 施例方案的目的。

显然， 本领域的技术人 应该明白， 上述的本发明的各单元或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在 多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程序代 码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 或者将它 们分别制作成各个集成电路模块，或者将它们中的多个单元或步骤制作成单个 集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的较佳实施例而已， 并非用于限定本发明的保护范 围。 凡在本发明的精神和原则之内所作的任何修改、 等同替换、 改进等， 均包 含在本发明的保护范围内。

Claims

权 利 要 求

1、 一种简化无线局域网认证的方法， 其特征在于， 所述方法包括： 当用户从第一接入点切换到第二接入点时， 所述第二接入点根据所述用 户在无线局域网中的媒体接入控制层 MAC地址向所述第二接入点所属的 RAN 管理节点查询所述用户的会话密钥；

如果所述第二接入点查询到所述用户的会话密钥， 则不对所述用户进行 双向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保护。

2、 根据权利要求 1所述的方法， 其特征在于， 还包括：

如果所述第二接入点没有查询到所述用户的会话密钥， 则与所述用户进 行双向鉴权认证；

在所述第二接入点与所述用户双向鉴权认证成功后， 所述第二接入点将 所述用户的认证信息发送给 RAN管理节点存储， 所述述用户的认证信息包括： 用户的会话密钥及用户在无线局域网中的 MAC地址。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 当所述第一接入点与第 二接入点所属的 RAN管理节点不同时，在所述第二接入点根据所述用户在无线 局域网中的 MAC地址向所述第二接入点所属的 RAN管理节点查询所述用户的 会话密钥之前， 还包括：

第二接入点所属的 RAN管理节点接收到第一接入点所属的 RAN管理节点 发送的所述用户的会话密钥及用户在无线局域网中的 MAC地址。

4、 根据权利要求 2或 3所述的方法， 其特征在于， 所述与用户进行双向鉴 权认证具体为：采用 EAP-AKA协议通过 AAA服务器对用户进行双向鉴权认证。

5、 根据权利要求 1至 4任一项所述的方法， 其特征在于， 所述 RAN为通用 移动通信系统陆地无线接入网 UTRAN中的无线网络控制器 RNC; 或者为增强 型 UTRAN中的演进基站 eNodeB。

6、根据权利要求 5所述的方法，其特征在于， 所述第二接入点所属的 RAN 管理节点接收到第一接入点所属的 RAN管理节点发送的所述用户的会话密钥 及用户在无线局域网中的 MAC地址具体包括：

第二接入点所属的 RNC或者 eNodeB通过核心网接收到第一接入点所属的 RNC发送的所述用户的会话密钥及用户在在无线局域网中的 MAC地址发； 或 者

第二接入点所属的 RNC或者 eNodeB通过核心网接收到第一接入点所属的 eNodeB发送的所述用户的会话密钥及用户在在无线局域网中的 MAC地址。

7、 一种会话密钥存储方法， 其特征在于， 包括：

无线蜂窝网络接入网 RAN管理节点接收到至少一个接入点发送的用户认 证信息， 所述用户认证信息包括： 第一会话密钥及用户在无线局域网中的媒体 接入控制层 MAC地址；

RAN管理节点保存和维护所述用户的认证信息。

8、 根据权利要求 7所述的方法， 其特征在于， 还包括：

所述 RAN管理节点接收至少一个接入点发送的查询会话密钥请求， 所述 查询会话密钥请求包括： 用户在无线局域网中的 MAC地址；

所述 RAN管理节点根据所述 MAC地址进行查询， 得到用户的第一会话密 钥；

所述 RAN管理节点向所述接入点反馈查询到的会话密钥响应， 所述会话 密钥响应包括用户的第一会话密钥。

9、 根据权利要求 7或 8所述的方法， 其特征在于， 当用户从 RAN管理节点 下的第一接入点切换到目标 RAN管理节点下的第二接入点时， 所述方法还包 括：

所述 RAN管理节点将所述用户的会话密钥及用户在无线局域网中的 MAC 地址发送给目标 RAN管理节点， 以便于在第一接入点切换到第二接入点时，所 述第二接入点从所述目标 RAN管理节点获取用户的第一会话密钥。

10、 根据权利要求 7或 8所述的方法， 其特征在于， 还包括：

所述 RAN管理节点接收到至少一个接入点发送的所述用户的第二会话密 钥；

所述 RAN管理节点将所述第一会话密钥更新为第二会话密钥。

11、 一种简化无线局域网认证的装置， 与无线蜂窝网络接入网 RAN管理 节点进行数据交互， 其特征在于， 所述装置包括：

第一查询单元， 用于在用户从第一接入点切换到该简化无线局域网认证 的装置时， 根据用户在无线局域网中的媒体接入控制层 MAC地址向所述装置 所属的 RAN管理节点查询所述用户的会话密钥； 加密单元， 用于所述第一查询单元查询到所述用户的会话密钥， 则不对 所述用户进行双向鉴权认证， 并利用所述会话密钥对会话的内容进行加密保 护。

12、 根据权利要求 11所述的装置， 其特征在于， 还包括：

鉴权认证单元， 用于在所述第一查询单元没有查询到所述用户的会话密 钥时， 则与所述用户进行双向鉴权认证；

发送单元， 用于在与所述用户进行双向鉴权认证成功后， 将所述用户的 认证信息发送给 RAN管理节点存储，所述用户的认证信息包括： 用户的会话密 钥及用户在无线局域网中的 MAC地址。

13、 一种会话密钥存储装置， 其特征在于， 包括：

接收单元， 用于接收到至少一个接入点发送的用户认证信息， 所述用户 认证信息包括： 第一会话密钥及用户在无线局域网中的媒体接入控制层 MAC 地址；

存储单元， 用于保存和维护所述用户的认证信息。

14、 根据权利要求 13所述的装置， 其特征在于， 还包括：

查询单元， 用于在接收到至少一个接入点发送的携带用户在无线局域网 中 MAC地址的查询会话密钥请求时 , 根据所述 MAC地址从所述存储单元中查 询到对应的第一会话密钥；

反馈单元， 用于向所述接入点反馈会话密钥响应， 所述会话密钥响应包 括用户的第一会话密钥。

15、 根据权利要求 13或 14所述的装置， 其特征在于， 还包括：

密钥更新单元， 用于在接收到至少一个接入点发送的所述用户的第二会 话密钥， 将所述第一会话密钥更新为第二会话密钥。

16、根据权利要求 13至 15任一项所述的装置，其特征在于， 当用户从 RAN 管理节点下的第一接入点切换到目标 RAN管理节点下的第二接入点时，所述装 置还包括：

发送单元， 用于将所述用户的会话密钥及用户在无线局域网中的 MAC地 址发送给目标 RAN管理节点， 以便于在第一接入点切换到第二接入点时，所述 第二接入点从所述目标 RAN管理节点获取用户的会话密钥。

17、 一种筒化无线局域网认证系统， 其特征在于， 包括： 第一接入点， 第二接入点， 以及第一接入点和第二接入点所属的无线蜂窝网络接入网 RAN 管理节点， 其中，

所述第一接入点， 用于在与用户进行双向鉴权认证成功后， 将用户的会 话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述 RAN管 理节点；

所述 RAN管理节点， 用于接收第一接入点发送的用户的会话密钥及用户 在无线局域网中的 MAC地址， 并存储和维护所述用户的认证信息；

所述第二接入点， 用于在用户从第一接入点切换到第二接入点时， 根据 所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并在 查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所述 会话密钥对会话的内容进行加密保护。

18、 一种筒化无线局域网认证系统， 其特征在于， 包括： 第一接入点， 及其所属的第一无线蜂窝网络接入网 RAN管理节点，第二接入点及所属的第二 RAN管理节点， 其中，

所述第一接入点， 用于在与用户进行双向鉴权认证成功后， 将用户的会 话密钥及用户在无线局域网中的媒体接入控制层 MAC地址发送给所述第一 RAN管理节点；

所述第一 RAN管理节点， 用于接收第一接入点发送的用户的会话密钥及 用户在无线局域网中的 MAC地址， 并存储和维护所述用户的会话密钥及用户 在无线局域网中的 MAC地址； 以及在用户从第一接入点切换到第二接入点时， 将所述用户的会话密钥及用户在无线局域网中的 MAC地址发送给第二 RAN管 理节点；

所述第二 RAN管理节点， 用于接收所述第一 RAN管理节点发送的所述用 户的会话密钥及用户在无线局域网中的 MAC地址， 并存储和维护所述用户的 会话密钥及用户在无线局域网中的 MAC地址；

所述第一接入点， 用于在用户从第一接入点切换到第二接入点时， 根据 所述用户的 MAC地址从所述 RAN管理节点中查询所述用户的会话密钥； 并在 查询到所述用户的会话密钥时， 不对所述用户进行双向鉴权认证， 并利用所述 会话密钥对会话的内容进行加密保护。