WO2013181847A1

WO2013181847A1 - 一种无线局域网接入鉴权方法、设备及系统

Info

Publication number: WO2013181847A1
Application number: PCT/CN2012/076662
Authority: WO
Inventors: 李欢; 蔡慧
Original assignee: 华为技术有限公司
Priority date: 2012-06-08
Filing date: 2012-06-08
Publication date: 2013-12-12
Also published as: CN103609154B; CN103609154A

Abstract

本发明实施例提供了一种无线局域网接入鉴权方法、设备及系统，涉及通信领域，在3GPP接入网和WLAN接入网为同一个运营商，共享同一份签约数据的场景下，能够实现UE从3GPP和WLAN先后接入到3GPP核心网时的快速鉴权认证。该无线局域网接入鉴权方法，包括：接入点设备通过无线局域网WLAN获取用户设备的用户标识；所述接入点设备根据所述用户标识，查找到用于所述用户设备与3GPP网络进行空口加密的密钥；所述接入点设备通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN。发明实施例用于无线局域网接入。

Description

一种无线局域网接入鉴权方法、设备及系统技术领域

本发明涉及通信领域，尤其涉及一种无线局域网接入鉴权方法、设备及系统。

背景技术

第三代伙伴计戈 'J ( The 3rd Generation Partnership Proj ect , 简称 3GPP )接入网和无线局 i或网（ Wireless Wireless Local Area Network , 简称 WLAN ) 接入网融合即 3GPP接入网与 WLAN接入网在功能上是独立的，但物理上是一体的情况下，现有用户设备（ User Equipment , 简称 UE ) 从 3GPP 网络和 WLAN 网络先后接入的鉴权过程如图 1所示，一般包括：

5101、 UE接入 3GPP 网络，发送 Attach Request接入请求到移动性管理网元 ( Mobility Management Entity , 简称 MME )。

5102、 3GPP 网络鉴权与建立 NAS ( Network Access Server , 网络接入服务器 ) 安全过程——即激活完整性保护和 NAS加密。在此过程中， UE 与 MME 由主密钥 K_ASME派生出用于 NAS 加密的密钥 K_NASint , K_NASenc , 以及用于 UE与 eNodeB ( evolved Node B , 基站）之间空口加密的密钥 K_eN。_deB。鉴权成功之后， UE 完成 3GPP 侧的 PDN ( Packet Data Network , 分组数据网）连接建立过程。在此过程中， K_eN。_deB被传送给 eNodeB , 并由此派生出空口加密所需的密钥

KuPenc ' KRRCint , KRRC enc °

5103、随后， UE从 WLAN网络接入，完成层二连接建立。

5104、 WLAN网络发送扩展认证协议（ Extensible Authentication Protocol , 简称 ΕΑΡ ) 请求消息给 UE , 触发 UE发起鉴权认证。

5105、 UE 发送扩展认证协议响应消息 EAP-RSP , 其中包括自己的标识。

5106、 WLAN 网络将 UE 发送的 EAP 响应消息发送到 AAA ( Authentication Authorization Accounting , 鉴权, 授权和计费 ) 月良务器。

5107、 AAA服务器从归属网络服务器（ Home Subscriber Server, 简称 HSS ) 取回鉴权向量。

5108、 AAA月良务器从 HS S ( Home Subscriber Server , 归属网络服务器）取回签约数据。

5109、 AAA服务器发送 EAP-REQ到 WLAN接入网络，其中携带鉴权参数 RAND , AUTN。

S 1 10、 WLAN接入网络将 EAP-REQ消息转发给 UE。

51 1 1、 UE 检查 EAP-REQ 消息中的参数，验证网络。并发送 EAP-RSP消息给 WLAN接入网络。

51 12、 WLAN接入网络将此 EAP-RSP消息发送到 AAA服务器。

51 13、 AAA 服务器发送鉴权认证响应消息 EAP Success 到 WLAN接入网络，其中携带密钥 MSK ( Master Session Key , 主会话密钥）。

51 14、 WLAN接入网络存储密钥 MSK, 并通知 UE鉴权认证成功。至此 UE与 WLAN接入网络共享此鉴权认证过程中产生的密钥。

由上述过程可以看出， UE从 3GPP接入到 3GPP核心网时所使用的鉴权认证方式 , 与 UE从 WLAN接入到 3 GPP核心网时所使用的鉴权认证方式不同。换句话说， UE从 3GPP和 WLAN先后接入到 3GPP核心网时，即使 3GPP接入网与 WLAN接入网为同一个运营商 , 且共享同一份签约数据，该鉴权认证过程也需要经过两套，这将给连接建立带来较长的时延。

发明内容

本发明的实施例提供一种无线局域网接入鉴权方法、设备及系统，在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，能够实现 UE从 3 GPP和 WLAN先后接入到 3GPP 核心网时的快速鉴权认证。

为达到上述目的，本发明的实施例采用如下技术方案：一方面，提供一种无线局域网接入鉴权方法，包括：接入点设备通过无线局域网 WLAN获取用户设备的用户标识；所述接入点设备根据所述用户标识，查找到用于所述用户设备与 3 GPP 网络进行空口加密的密钥；

所述接入点设备通过所述 WLAN 向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

一方面，提供一种基站和接入点设备融合实体，包括：第一接收单元，用于通过第三代伙伴计划 3GPP 网络接收用户设备发送的包含所述用户设备的用户标识的第一消息，提取并保存所述用户标识；

密钥获得单元，用于获得用于所述用户设备与所述 3GPP 网络进行空口加密的密钥，保存所述密钥以及所述密钥和所述用户标识的对应关系；

第二接收单元，用于通过无线局域网 WLAN获取所述用户设备的所述用户标识；

查找单元，用于根据所述用户标识和所述对应关系，查找到所述密钥；

发送单元，用于通过所述 WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

一方面，提供一种基站，包括：

第一接收单元，用于通过第三代伙伴计划 3GPP 网络接收用户设备发送的包含所述用户设备的用户标识的第一消息，提取并保存所述用户标识；

第二接收单元，用于接收无线局域网 WLAN的接入点设备发送的包含所述用户标识的密钥查询消息；

第一发送单元，用于向所述接入点设备发送包含所述密钥的密钥应答消息，以便所述接入点设备从所述密钥应答消息中提取所述密钥并允许所述用户设备使用所述密钥接入所述 WLAN。

一方面，提供一种接入点设备，包括：

第一接收单元，用于通过无线局域网 WLAN获取用户设备的用户标识；

第一发送单元，用于向预先配置的第三代伙伴计划 3GPP 网络的基站发送包含所述用户标识的密钥查询消息；

第二接收单元，用于从所述基站接收包含所述密钥的密钥应答消息，并从所述密钥应答消息中提取所述密钥；

第二发送单元，用于通过所述 WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

一方面，提供一种通信系统，包括：用户设备和上述的基站和接入点设备融合实体。

一方面，提供一种通信系统，包括：用户设备、上述的基站、和上述的接入点设备。

本发明实施例提供的无线局域网接入鉴权方法、设备及系统，在用户设备从 WLAN的接入点设备接入 3GPP核心网的过程中重用了该用户设备与 3GPP 网络进行空口加密的密钥。因此，相对现有技术而言，在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP 和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1 为现有技术中 UE从 3 GPP 网络和 WLAN网络先后接入的鉴权过程示意图；

图 2为本发明实施例提供的无线接入网接入鉴权方法流程框图图；

图 3 为本发明实施例提供的无线接入网接入鉴权方法的流程示意图；

图 4为本发明另一实施例提供的无线接入网接入鉴权方法的流程示意图；

图 5 为本发明又一实施例提供的无线接入网接入鉴权方法的流程示意图；

图 6为本发明再一实施例提供的无线接入网接入鉴权方法的流程示意图；

图 7为本发明实施例提供的基站、接入点设备融合实体的结构示意图；

图 8为本发明另一实施例提供的基站和接入点设备融合实体的结构示意图；

图 9为本发明实施例提供的基站的结构示意图；

图 10为本发明另一实施例提供的基站的结构示意图；

图 1 1 为本发明实施例提供的接入点设备的结构示意图；图 12为本发明另一实施例提供的接入点设备的结构示意图；图 13为本发明实施例提供的通信系统的结构示意图；

图 14为本发明另一实施例提供的通信系统的结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例提供的无线局域网接入鉴权方法，如图 2所示，该方法步骤包括：

5201、接入点设备通过无线局域网 WLAN获取用户设备的用户标识。

5202、接入点设备根据所述用户标识，查找到用于所述用户设备与 3GPP网络进行空口加密的密钥。

在本步骤之前，可以进一步包括： 3GPP 网络的基站通过该 3GPP 网络接收所述用户设备发送的包含用户标识的第一消息，提取并保存该用户标识。

基站获得所述密钥，保存所述密钥以及所述密钥和所述用户标识的对应关系。

进一步地， "基站获得所述密钥" 可以包括：

基站接收用户设备发送的包含该密钥的初始上下文建立请求消息，提取该密钥。

或者，可以包括：

基站接收用户设备发送的包含第一密钥的初始上下文建立请求消息，提取该第一密钥，根据该第一密钥，派生所述密钥。

在本实施例中，接入点设备通过 WLAN获取用户设备的用户标识，接入点设备根据该用户标识，查找到用于用户设备与 3 GPP 网络进行空口加密的密钥，可以有以下四种具体实现方式。

方式一：

所述基站和所述接入点设备为同一实体。

用户标识可以为所述用户设备的介质访问控制（ Media Access Control , 简称为 MAC ) 地址，上述第一消息可以为无线资源控制协议 ( Radio Resource Control , 简称为 RRC ) 消息。接入点设备通过 WLAN获取用户设备的用户标识可以包括：接入点设备在建立与用户设备在 WLAN中的层二连接过程中，接收用户设备发送的包含 MAC地址的第二消息，并从第二消息中提取所述 MAC地址。

方式二：

基站和接入点设备为同一实体。

用户标识可以为用户设备的国际移动用户识别码（ International Mobile Subscriber Identification Number , 简称为 IMSI ) 或 NAI , 步骤 S202 中第一消息可以为附着请求消息。

接入点设备通过 WLAN获取用户设备的用户标识可以包括：在接入点设备建立与用户设备在 WLAN中的层二连接之后，接收用户设备发送的包含用户设备的 IMSI 或 NAI 的鉴权认证请求消息，从鉴权认证请求消息中提取 IMSI或所述 NAI。

方式三：

基站和接入点设备为可互通的不同实体。

用户标识可以为用户设备的 MAC 地址，步骤上述第一消息可以为 RRC消息。

接入点设备通过 WLAN获取用户设备的用户标识可以包括：接入点设备在建立与用户设备在 WLAN中的层二连接过程中，接收用户设备发送的包含 MAC地址的第二消息，并从第二消息中提取 MAC 地址。

接入点设备根据用户标识和上述对应关系，查找到密钥可以包括：接入点设备向基站发送包含用户标识的密钥查询消息；接入点设备从基站接收包含该密钥的密钥应答消息，并从该密钥应答消息中提取所述密钥。

方式四：

基站和接入点设备为可互通的不同实体。

用户标识可以为用户设备的 IMSI或 NAI ,上述第一消息可以为附着请求消息。接入点设备通过 WLAN获取用户标识可以包括：在接入点设备建立与用户设备在 WLAN中的层二连接之后，接收用户设备发送的包含用户设备的 IMSI或 NAI 的鉴权认证请求消息，从该鉴权认证请求消息中提取所述 IMSI或所述 NAI。

接入点设备根据用户标识和上述对应关系，查找到密钥可以包括：接入点设备向基站发送包含用户标识的密钥查询消息；接入点设备从基站接收包含所述密钥的密钥应答消息，并从所述密钥应答消息中提取所述密钥。

S203、接入点设备通过 WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许用户设备使用所述密钥或所述派生密钥接入 WLAN。

本发明实施例提供的无线局域网接入鉴权方法，在用户设备从 WLAN 的接入点设备接入 3 GPP核心网的过程中重用了该用户设备与 3GPP 网络进行空口加密的密钥。因此，相对现有技术而言，在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3 GPP和 WLAN先后接入到 3GPP核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP 和 WLAN 先后接入到 3 GPP核心网时的鉴权认证速度，降低了连接建立时延。

实施例二

本发明实施例提供的无线局域网接入鉴权方法，以 3GPP 接入网和 WLAN接入网融合场景为例， UE的用户标识以 MAC地址为例进行说明。此外，在本实施例中， 3GPP的基站（ eNodeB ) 和 WLAN 的接入点设备 ( Wifi ) 在物理上是可互通的同一实体，但在功能上是相对独立的。

如图 3所示，本实施例以 UE先从 3GPP接入 3GPP核心网并成功鉴权认证之后，再从 WLAN接入 3GPP核心网的步骤为例进行说明。

S301、 UE接入 3GPP网络，向 MME发送附着请求消息。 5302、 UE通过 MME完成与 3 GPP的鉴权与加密。

示例性的，在此过程中， UE与 MME由主密钥（第一密钥）K_{AS ME} 派生出用于 NAS加密的密钥 K_{NAS LNT} , K_{NA S} enC 以及用于 UE与基站之间空口加密的密钥 K_EN。_deB , 并由 K_EN。_deB派生出口空加密所需的密铜 KuPenc ' KRRCint ' KRRC enc °

此外，在本步骤中，基站获得用于与 UE进行空口加密的密钥，该密钥可以是 KAS ME, _ENODEB , K_UPENC, K_RRCint或 K_RRCENC中的一个或几个。其具体获得过程可以包括：基站接收 UE 发送的包含密钥的初始上下文建立请求消息，提取所述密钥。或者，基站接收 UE 发送的包含主密钥（第一密钥） K_{AS ME}的初始上下文建立请求消息，提取 K_{AS ME} , 根据所述 K_{A S ME} , 派生所述密钥。

需要说明的是，在上述步骤 S301 的附着请求或者步骤 S302的鉴权认证过程中， UE可以将自己的 MAC地址（用户标识）携带在例如 RRC消息等中发送给基站。基站从该消息中提取并保存该用户标识。

进一步地，基站在得到用于与该 UE 进行空口加密的密钥后，保存所述密钥和所述密钥与 UE用户标识的对应关系。

5303、鉴权认证成功后， UE完成 3GPP侧的 PDN连接建立过程。

可选的，基站还可以将融合的 WLAN 接入网的服务集标识 ( Service Set Identifier , 简称为 S SID ) 与 PDN连接建立响应消息，通过 3GPP网络向 UE发送。

S304、 WLAN 的接入点设备（在本实施例中可以是 Wifi ) 向 UE广播发送该接入点设备对应的（即融合的 ) 3GPP 小区的信息，以便处于该 3 GPP小区的 UE选择该接入点设备接入所述 WLAN。

S305、 UE接收到 WLAN的接入点设备的广播，选择包含自己所在 3GPP 小区的 WLAN接入网接入， WLAN 的接入点设备与 UE 建立层二连接。

在本步骤建立层二连接的过程中，接入点设备可以接收该 UE 发送的包含 UE的 MAC地址的第二消息，并从该第二消息中提取出所述 MAC地址。

5306、接入点设备向基站查询该 UE的此 MAC地址所对应的密钥。由于在本实施例中，基站和接入点设备为同一物理实体，因此，接入点设备的查询操作在实体内部进行即可。若 UE 已在该实体的 3GPP侧成功鉴权认证，则 UE和 WLAN接入网均可使用基站上存储的密钥或者直接以此密钥派生出新密钥使用。

5307、接入点设备向 UE发送鉴权成功消息，其中包括将要在 WLAN接入网中使用的密钥，以指示允许 UE使用该密钥或该密钥派生出的新密要接入所述 WLAN。

本发明实施例提供的无线局域网接入鉴权方法，保存了用户设备从 3GPP的基站接入 3GPP核心网时的空口加密密钥，并重用在该用户设备从 WLAN的接入点设备接入 3GPP核心网的过程中，当然，此时的 WLAN为该用户设备当前所在 3GPP小区的 WLAN。因此 , 相对现有技术而言 , 在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3 GPP和 WLAN先后接入到 3 GPP 核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

需要说明的是，在上述实施例中，是以 UE先进行 3GPP附着，然后再从 WLAN接入为例进行的说明，实际过程并不限于此，也可以是在 UE从 WLAN接入的同时，进行 3GPP的附着。但一定是 UE 首先完成与 3 GPP基站的鉴权、认证过程，再接入 WLAN接入点。

再有，上述过程中是以 UE 选择了包含在自身当前所在小区内的 WLAN接入网进行的接入，但如果 UE选择了不包含在自己当前所在小区的 WLAN接入网进行接入，则之后的过程与现有协议描述的一致，需要完整的 EAP鉴权认证过程，因与现有技术相同，不再贅述。实施例三

本发明实施例提供的无线局域网接入鉴权方法，基本与实施例二类似，只是 3 GPP的基站（ eNodeB )和 WLAN的接入点设备（ Wifi ) 在可互通的不同物理实体。

如图 4所示，在本实施例的各个步骤中，开始部分与上述实施例的步骤 S301〜步骤 S305相同，不再贅述。

之后的，包括：

S306'、接入点设备向基站发送包含 MAC地址的密钥查询消息。

S306 " 基站向接入点设备发送包含该 MAC 地址对应密钥的密钥应答消息，接入点设备从所述密钥应答消息中提取所述密钥。

接入点设备提取出所示密钥后的步骤也与上述实施例的步骤 S307相同，不再贅述。

本发明实施例提供的无线局域网接入鉴权方法，保存了用户设备从 3GPP的基站接入 3GPP核心网时的空口加密密钥，并重用在该用户设备从 WLAN的接入点设备接入 3GPP核心网的过程中，当然，此时的 WLAN为该用户设备当前所在 3GPP 小区的 WLAN。因此 , 相对现有技术而言 , 在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3 GPP和 WLAN先后接入到 3 GPP 核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

实施例四

本发明实施例提供的无线局域网接入鉴权方法，以 3GPP 接入网和 WLAN接入网融合场景为例 , UE的用户标识以 IMSI为例进行说明。此外，在本实施例中， 3GPP的基站（ eNodeB ) 和 WLAN的接入点设备（ Wifi ) 在物理上是可互通的同一实体，但在功能上是相对独立的。

如图 5所示，本实施例以 UE先从 3GPP接入 3GPP核心网并成功鉴权认证之后，再从 WLAN接入 3GPP核心网的步骤为例进行说明。

S501、 UE接入 3GPP网络，向 MME发送附着请求消息。

5502, UE通过 MME完成与 3GPP的鉴权与加密。

示例性的，在此过程中， UE与 MME由主密钥（第一密钥）K_ASME 派生出用于 NAS加密的密钥 K_NASLNT, K_NASenC 以及用于 UE与基站之间空口加密的密钥 K_EN。_deB, 并由 K_EN。_deB派生出口空加密所需的密铜 KuPenc ' KRRCint ' KRRC enc °

此外，在本步骤中，基站获得用于与 UE进行空口加密的密钥，该密钥可以是 KASME, _ENODEB, K_UPENC, K_RRCint或 K_RRCENC中的一个或几个。其具体获得过程可以包括：基站接收 UE 发送的包含密钥的初始上下文建立请求消息，提取所述密钥。或者，基站接收 UE 发送的包含主密钥（第一密钥） K_ASME的初始上下文建立请求消息，提取 K_ASME, 根据所述 K_ASME, 派生所述密钥。

需要说明的是，在上述步骤 S501 的附着请求或者步骤 S502的鉴权认证过程中， UE可以将自己的 IMSI携带在例如附着请求消息等中发送给基站。基站从该消息中提取并保存该用户标识。

5503、鉴权认证成功后， UE完成 3GPP侧的 PDN连接建立过程。

可选的，基站还可以将融合的 WLAN 接入网的服务集标识 ( Service Set Identifier, 简称为 SSID ) 与 PDN连接建立响应消息，通过 3GPP网络向 UE发送。

S504、 WLAN 的接入点设备（在本实施例中可以是 Wifi ) 向 UE广播发送该接入点设备对应的（即融合的 ) 3GPP 小区的信息，以便处于该 3GPP小区的 UE选择该接入点设备接入所述 WLAN。

5505、 UE接收到 WLAN的接入点设备的广播，选择包含自己所在 3GPP 小区的 WLAN接入网接入， WLAN 的接入点设备与 UE 建立层二连接。

5506、接入点设备向 UE发送 EAP请求。 5507、 UE 向接入点设备发送鉴权认证请求消息 EAP-RSP , 并在该鉴权认证请求消息中携带自己的用户标识—— IMSI。

5508、接入点设备向基站查询该 UE的此 MAC地址所对应的密钥。由于在本实施例中，基站和接入点设备为同一物理实体，因此，接入点设备的查询操作在实体内部进行即可。若 UE 已在该实体的 3GPP侧成功鉴权认证，则 UE和 WLAN接入网均可使用基站上存储的密钥或者直接以此密钥派生出新密钥使用。

5509、接入点设备向 UE发送鉴权成功消息，其中包括将要在 WLAN接入网中使用的密钥，以指示允许 UE使用该密钥或该密钥派生出的新密要接入所述 WLAN。

再有，上述过程中是以 UE 选择了包含在自身当前所在小区内的 WLAN接入网进行的接入，但如果 UE选择了不包含在自己当前所在小区的 WLAN接入网进行接入，则之后的过程与现有协议描述的一致，需要完整的 EAP鉴权认证过程，因与现有技术相同，不再贅述。实施例五

本发明实施例提供的无线局域网接入鉴权方法，基本与实施例五类似，只是 3 GPP的基站（ eNodeB )和 WLAN的接入点设备（ Wifi ) 在可互通的不同物理实体。

如图 6所示，在本实施例的各个步骤中，开始部分与上述实施例的步骤 S501〜步骤 S507相同，不再贅述。

之后的，包括：

S508'、接入点设备向基站发送包含 IMSI的密钥查询消息。

S508 " 基站向接入点设备发送包含该 IMSI 对应密钥的密钥应答消息，接入点设备从所述密钥应答消息中提取所述密钥。

接入点设备提取出所示密钥后的步骤也与上述实施例的步骤 S509相同，不再贅述。

实施例六

本发明实施例提供一种基站和接入点设备融合实体 70 , 可以应用在上述实施例一、实施例二、实施例四提供的方法中，并执行该方法中的相关步骤。如图 7所示，基站和接入点设备融合实体 70包括：

第一接收单元 701 ,用于通过第三代伙伴计划 3GPP 网络接收用户设备发送的包含用户设备的用户标识的第一消息，提取并保存该用户标识。

密钥获得单元 702 ,用于获得用于所述用户设备与 3GPP 网络进行空口加密的密钥，保存所述密钥以及所述密钥和所述用户标识的对应关系。

第二接收单元 703 , 用于通过无线局域网 WLAN获取该用户设备的用户标识。

查找单元 704 , 用于根据用户标识和上述对应关系，查找到该密钥。

发送单元 705 , 用于通过 WLAN向用户设备发送携带该密钥或该密钥的派生密钥的鉴权成功消息，以指示允许用户设备使用该密钥或派生密钥接入所述 WLAN。

进一步地，如图 8所示，密钥获得单元 702包括：

第一消息接收提取模块 7021 , 用于接收用户设备发送的包含所述密钥的初始上下文建立请求消息，提取所述密钥。

或者包括：

第二消息接收提取模块 7022 , 用于接收用户设备发送的包含第一密钥的初始上下文建立请求消息，提取所述第一密钥；密钥派生模块 7023 , 用于所述第一密钥，派生所述密钥。

本发明实施例提供的基站和接入点设备融合实体，能够保存用户设备从 3GPP的基站接入 3 GPP核心网时的空口加密密钥，并重用在该用户设备从 WLAN的接入点设备接入 3GPP核心网的过程中。因此，相对现有技术而言，在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3GPP 和 WLAN先后接入到 3GPP核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3 GPP和 WLAN先后接入到 3 GPP核心网时的鉴权认证速度，降低了连接建立时延。

实施例七

本发明实施例提供一种基站 90 , 可以应用在上述实施例一、实施例三、实施例五提供的方法中，并执行该方法中的相关步骤。如图 9所示，基站 90包括：

第一接收单元 901 ,用于通过第三代伙伴计划 3GPP 网络接收用户设备发送的包含用户设备的用户标识的第一消息，提取并保存该用户标识。

密钥获得单元 902 ,用于获得用于用户设备与该 3GPP网络进行空口加密的密钥，保存所述密钥以及所述密钥和用户标识的对应关系。

第二接收单元 903 , 用于接收无线局域网 WLAN的接入点设备发送的包含该用户标识的密钥查询消息。

第一发送单元 904 , 用于向接入点设备发送包含所述密钥的密钥应答消息，以便接入点设备从密钥应答消息中提取所述密钥，并允许该用户设备使用所述密钥接入该 WLAN。

本发明实施例提供的基站，能够保存用户设备从 3GPP 的基站接入 3 GPP核心网时的空口加密密钥，并发送给 WLAN的接入点设备，以便重用在该用户设备从 WLAN的接入点设备接入 3 GPP核心网的过程中。因此，相对现有技术而言，在 3 GPP接入网和 WLAN 接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

进一步地，如图 10所示，该基站 90还包括：

第二发送单元 905 ,用于通过所述 3GPP 网络向用户设备发送包含接入点设备的服务集标识 S SID的分组数据网连接建立响应消息，以便用户设备选择所述接入点设备接入 WLAN。

实施例八

本发明实施例提供一种接入点设备 1 10 , 可以应用在上述实施例一、实施例三、实施例五提供的方法中，并执行该方法中的相关步骤。如图 1 1 所示，接入点设备 1 10 包括：，包括：

第一接收单元 1 101 ,用于通过无线局域网 WLAN获取用户设备的用户标识。

第一发送单元 1 102 , 用于向预先配置的第三代伙伴计划 3GPP 网络的基站发送包含所述用户标识的密钥查询消息。

第二接收单元 1 103 , 用于从基站接收包含该密钥的密钥应答消息，并从该密钥应答消息中提取所述密钥。

第二发送单元 1 104 ,用于通过该 WLAN向该用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许该用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

本发明实施例提供的接入点设备，能够从 3GPP 的基站中或得到用户设备从 3GPP的基站接入 3GPP核心网时的空口加密密钥，并重用在该用户设备从 WLAN的接入点设备接入 3GPP核心网的过程中。因此，相对现有技术而言，在 3GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3GPP 和 WLAN先后接入到 3GPP核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

进一步地，如图 12所示，所述接入点设备 1 10还包括：广播单元 1 105 , 用于向用户设备广播发送该接入点设备 1 10对应的 3GPP小区的信息，以便处于所述 3GPP小区的用户设备选择所述接入点设备 1 10接入所述 WLAN。

实施例九

本发明实施例提供一种通信系统，如图 13所示，包括：用户设备 1301 , 以及如实施例二、实施例四、实施例六所述的基站和接入点设备融合实体 1302。

或者，该通信系统，如图 14所示，包括：

用户设备 1401 , 以及如实施例三、实施例五、实施例七所述的基站 1402 和如实施例三、实施例五、实施例八所述的接入点设备 1403。

本发明实施例提供的通信系统，基站保存了用户设备从 3 GPP 的基站接入 3GPP 核心网时的空口加密密钥，并重用在该用户设备从 WLAN的接入点设备接入 3 GPP核心网的过程中，当然，此时的 WLAN为该用户设备当前所在 3 GPP 小区的 WLAN。因此，相对现有技术而言，在 3 GPP接入网和 WLAN接入网为同一个运营商，共享同一份签约数据的场景下，用户设备从 3GPP和 WLAN先后接入到 3 GPP 核心网时不在需要进行两套鉴权认证过程，而是共用了一组密钥，也即只需进行一次鉴权认证即可，大大提高了用户设备从 3GPP和 WLAN先后接入到 3GPP核心网时的鉴权认证速度，降低了连接建立时延。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求书

1、一种无线局域网接入鉴权方法，其特征在于，包括：接入点设备通过无线局域网 WLAN获取用户设备的用户标识；所述接入点设备根据所述用户标识，查找到用于所述用户设备与

3GPP网络进行空口加密的密钥；

2、根据权利要求 1 所述的方法，其特征在于，在所述接入点设备根据所述用户标识，查找到用于所述用户设备与 3GPP网络进行空口加密的密钥之前，所述方法进一步包括：

所述 3GPP网络的基站通过所述 3GPP 网络接收所述用户设备发送的包含所述用户标识的第一消息，提取并保存所述用户标识；

所述基站获得所述密钥，保存所述密钥以及所述密钥和所述用户标识的对应关系。

3、根据权利要求 2所述的方法，其特征在于，所述基站和所述接入点设备为同一实体；

所述接入点设备根据所述用户标识，查找到用于所述用户设备与 3GPP网络进行空口加密的密钥，包括：

所述接入点设备根据所述用户标识和所述对应关系，查找到所述密钥。

4、根据权利要求 2所述的方法，其特征在于，所述基站和所述接入点设备为可互通的不同实体；

根据预先配置的所述接入点设备和所述基站的对应关系，所述接入点设备向所述基站发送包含所述用户标识的密钥查询消息；

所述接入点设备从所述基站接收包含所述密钥的密钥应答消息，并从所述密钥应答消息中提取所述密钥。

5、根据权利要求 2 - 4任一所述的方法，其特征在于，所述基站获得所述密钥包括：所述基站接收所述用户设备发送的包含所述密钥的初始上下文建立请求消息，提取所述密钥；

或者，

所述基站接收所述用户设备发送的包含第一密钥的初始上下文建立请求消息，提取所述第一密钥，根据所述第一密钥，派生所述密钥。

6、根据权利要求 3所述的方法，其特征在于，

所述用户标识为所述用户设备的介质访问控制 MAC地址，所述第一消息为无线资源控制协议 RRC消息；

所述接入点设备通过无线局域网 WLAN 获取所述用户标识包括：所述接入点设备在建立与所述用户设备在所述 WLAN 中的层二连接过程中，接收所述用户设备发送的包含所述 MAC地址的第二消息，并从所述第二消息中提取所述 MAC地址。

7、根据权利要求 3所述的方法，其特征在于，

所述用户标识为所述用户设备的国际移动用户识别码 IMSI或网络接入识别符 NAI , 所述第一消息为附着请求消息；

所述接入点设备通过无线局域网 WLAN 获取所述用户标识包括：在所述接入点设备建立与所述用户设备在所述 WLAN 中的层二连接之后，接收所述用户设备发送的包含所述用户设备的 IMSI或 NAI 的鉴权认证请求消息，从所述鉴权认证请求消息中提取所述 IMSI或所述 NAI。

8、根据权利要求 4所述的方法，其特征在于，

所述用户标识为所述用户设备的 MAC 地址，所述第一消息为 RRC消息；

9、根据权利要求 4所述的方法，其特征在于，

所述用户标识为所述用户设备的 IMSI或 NAI , 所述第一消息为附着请求消息；

10、根据权利要求 1 - 9任一所述方法，其特征在于，还包括：所述接入点设备向所述用户设备广播发送所述接入点设备对应的 3GPP小区的信息，以便处于所述 3GPP小区的所述用户设备选择所述接入点设备接入所述 WLAN。

11、根据权利要求 1 - 9任一所述方法，其特征在于，还包括：所述基站通过所述 3GPP网络向所述用户设备发送包含所述接入点设备的服务集标识 SSID的分组数据网连接建立响应消息，以便所述用户设备选择所述接入点设备接入所述 WLAN。

12、一种基站和接入点设备融合实体，其特征在于，包括：第一接收单元，用于通过第三代伙伴计划 3GPP网络接收用户设备发送的包含所述用户设备的用户标识的第一消息，提取并保存所述用户标识；

密钥获得单元，用于获得用于所述用户设备与所述 3GPP网络进行空口加密的密钥，保存所述密钥以及所述密钥和所述用户标识的对应关系；

第二接收单元，用于通过无线局域网 WLAN 获取所述用户设备的所述用户标识；

发送单元，用于通过所述 WLAN 向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

13、根据权利要求 12所述的基站和接入点设备融合实体，其特征在于，所述密钥获得单元包括：

第一消息接收提取模块，用于接收所述用户设备发送的包含所述密钥的初始上下文建立请求消息，提取所述密钥；

或者包括：

第二消息接收提取模块，用于接收所述用户设备发送的包含第一密钥的初始上下文建立请求消息，提取所述第一密钥；密钥派生模块，用于所述第一密钥，派生所述密钥。

14、一种基站，其特征在于，包括：

第一接收单元，用于通过第三代伙伴计划 3GPP网络接收用户设备发送的包含所述用户设备的用户标识的第一消息，提取并保存所述用户标识；

第二接收单元，用于接收无线局域网 WLAN 的接入点设备发送的包含所述用户标识的密钥查询消息；

第一发送单元，用于向所述接入点设备发送包含所述密钥的密钥应答消息，以便所述接入点设备从所述密钥应答消息中提取所述密钥，并允许所述用户设备使用所述密钥接入所述 WLAN。

15、根据权利要求 14所述的基站，其特征在于，所述基站还包括：

第二发送单元，用于通过所述 3GPP网络向所述用户设备发送包含接入点设备的服务集标识 SSID的分组数据网连接建立响应消息，以便所述用户设备选择所述接入点设备接入 WLAN。

16、一种接入点设备，其特征在于，包括：

第一接收单元，用于通过无线局域网 WLAN 获取用户设备的用户标识；第一发送单元，用于向预先配置的第三代伙伴计划 3GPP网络的基站发送包含所述用户标识的密钥查询消息；

第二发送单元，用于通过所述 WLAN 向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息，以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述 WLAN。

17、根据权利要求 16所述的接入点设备，其特征在于，所述接入点设备还包括：

广播单元，用于向所述用户设备广播发送所述接入点设备对应的 3GPP 小区的信息，以便处于所述 3GPP 小区的所述用户设备选择所述接入点设备接入所述 WLAN。

18、一种通信系统，其特征在于，包括：

用户设备，以及如权利要求 12或 13所述的基站和接入点设备融合实体。

19、一种通信系统，其特征在于，包括：

用户设备，以及如权利要求 14或 15所述的基站，和如权利要求 16、 17所述的接入点设备。