WO2014094251A1 - 通信安全处理方法及装置 - Google Patents

Abstract

本发明提供一种通信安全处理方法及装置。该通信处理方法包括：基站确定需要将用户设备UE接入到接入点AP；所述基站获取所述UE与所述AP交互所需的安全参数；所述基站在空口安全激活后，向所述UE发送所述安全参数，以使所述UE釆用所述安全参数对与所述AP交互的数据进行安全处理。本发明提供的通信安全处理方法及装置，通过利用UE与基站之间的安全空口传送安全相关参数，提高了数据通信的安全性，提高了运营商对网络的控制。

Description

通信安全处理方法及装置 技术领域 本发明实施例涉及通信技术， 尤其涉及一种通信安全处理方法及装置。 背景技术

近年来， 通信技术迅猛发展， 网络的空口吞吐率不断增加， 但是由于用 户数量逐渐增加， 数据业务也在不断增长， 使得通信网络的负荷越来越重， 经常会造成网络拥塞， 难以确保用户通信的质量。

为了緩解通信网络的拥塞， 网络运营商选择了数据分流的方式， 将通信 网络中的部分数据分流到其它可用的接入技术上， 作为对通信网络的补充， 无线保真（ Wireless Fidelity , 以下简称： WiFi )技术即为其中的一种。 WiFi 技术具有频谱免费、 空口吞吐率高以及设备成本低的特点， 因此使用 WiFi 技术进行数据分流， 可以大大提升空口吞吐率并且降低网络建设成本。

但是， 现有技术中， 用户设备（User Equipment,以下简称： UE )和 WiFi 接入点 （ Access Point,以下简称 AP )之间传输数据的安全性较低， 通信安全 受到威胁。 发明内容 本发明实施例提供一种通信安全处理方法及装置， 通过利用 UE与基站 之间的安全空口传送安全相关参数， 提高了数据通信的安全性。

本发明实施例第一方面提供一种通信安全处理方法， 包括：

基站确定需要将用户设备 UE接入到接入点 AP;

所述基站获取所述 UE与所述 AP交互所需的安全参数；

所述基站在空口安全激活后， 向所述 UE发送所述安全参数， 以使所述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。

结合第一方面， 在第一种可能的实施方式中， 所述基站确定需要将 UE接入到 AP, 包括：

所述基站根据预设分流策略， 确定需要将 UE接入到 AP; 或者， 所述基站接收所述 UE发送的接入 AP的请求消息， 根据所述请求消 息确定需要将 UE接入到 AP。

结合第一方面， 在第二种可能的实施方式中， 所述基站获取所述 UE 与所述 AP交互所需的安全参数， 包括：

所述基站生成所述安全参数；

所述方法， 还包括：

所述基站将所述安全参数发送给所述 AP。

结合第一方面， 在第三种可能的实施方式中， 所述基站获取所述 UE 与所述 AP交互所需的安全参数， 包括：

所述基站向所述 AP发送接入请求；

所述基站接收所述 AP发送的包含所述 AP生成的所述安全参数的接 入响应。

结合第一方面， 在第四种可能的实施方式中， 所述基站获取所述 UE与 所述 AP交互所需的安全参数， 包括：

所述基站向移动性管理实体 MME发送包含 AP标识的接入信息请求； 所述基站接收所述 MME发送的包含与所述 AP标识对应的所述安全 参数；

所述方法， 还包括：

所述基站将所述安全参数发送给所述 AP。

本发明实施例第二方面提供一种通信安全处理方法， 包括：

UE接收基站在空口安全激活后发送的与所述 AP 交互所需的安全参 数；

所述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。 结合第二方面， 在第一种可能的实施方式中， 所述 UE接收基站在空 口安全激活后发送的与所述 AP交互所需的安全参数之前， 还包括：

所述 UE向所述基站发送接入 AP的请求消息， 以使所述基站根据所 述请求消息确定需要将所述 UE接入到 AP。

本发明实施例第三方面提供一种通信安全处理方法， 包括：

接入点 AP接收基站发送的用户设备 UE接入所述 AP的接入请求； 所述 AP获取与所述 UE交互所需的安全参数； 所述 AP向所述基站发送 AP接入响应；

所述 AP在所述 UE接入到所述 AP后， 釆用所述安全参数对与所述 UE交互的数据进行安全处理。

结合第三方面， 在第一种可能的实施方式中， 所述 AP获取与所述 UE 交互所需的安全参数， 包括：

所述 AP生成所述安全参数； 或者，

所述 AP接收移送性管理实体 MME发送的所述安全参数；

所述 AP向所述基站发送 AP接入响应， 包括：

所述 AP向所述基站发送包含所述安全参数的 AP接入响应。

结合第三方面， 在第二种可能的实施方式中， 所述 AP获取与所述 UE 交互所需的安全参数， 包括：

所述 AP接收所述基站发送的所述安全参数。

本发明实施例第四方面提供一种通信安全处理方法， 包括：

移动性管理实体 MME接收基站发送的包含接入点 AP标识的接入信 息请求；

所述 MME获取与所述 AP标识对应的安全参数；

所述 MME向所述基站发送所述安全参数， 以使所述基站将所述安全 参数发送给 UE。

结合第四方面， 在第一种可能的实施方式中， 所述 MME获取与所述 AP标识对应的安全参数， 包括：

所述 MME从归属用户服务器 HSS中获取与所述 AP标识对应的安全 参数； 或者，

所述 MME生成与所述 AP标识对应的安全参数；

则所述方法， 还包括：

所述 MME将所述安全参数发送给所述 AP。

本发明实施例第五方面提供一种基站， 包括：

确定模块， 用于确定需要将用户设备 UE接入到接入点 AP;

获取模块， 用于获取所述 UE与所述 AP交互所需的安全参数； 发送模块， 用于在空口安全激活后， 向所述 UE发送所述安全参数， 以使所述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。 结合第五方面， 在第一种可能的实施方式中， 所述确定模块， 具体用 于：

根据预设分流策略， 确定需要将 UE接入到 AP; 或者，

根据所述 UE发送的接入 AP的请求消息确定需要将 UE接入到 AP。 结合第五方面， 在第二种可能的实施方式中， 所述获取模块， 包括： 生成单元， 用于生成所述安全参数；

所述发送模块， 还用于将所述安全参数发送给所述 AP。

结合第五方面， 在第三种可能的实施方式中， 所述获取模块， 包括： 第一发送单元， 用于向所述 AP发送接入请求；

第一接收单元， 用于接收所述 AP发送的包含所述 AP生成的所述安 全参数的接入响应。

结合第五方面， 在第四种可能的实施方式中， 所述获取模块， 包括： 第二发送单元， 用于向移动性管理实体 MME发送包含 AP标识的接 入信息请求；

第二接收单元， 用于接收所述 MME发送的包含与所述 AP标识对应 的所述安全参数；

所述发送模块， 还用于将所述安全参数发送给所述 AP。

本发明实施例第六方面提供一种用户设备 UE, 包括：

接收模块， 用于接收基站在空口安全激活后发送的与所述 AP交互所 需的安全参数；

处理模块， 用于釆用所述安全参数对与所述 AP交互的数据进行安全 处理。

结合第六方面， 在第一种可能的实施方式中， 所述 UE, 还包括： 发送模块， 用于接收基站在空口安全激活后发送的与所述 AP交互所 需的安全参数之前， 向所述基站发送接入 AP的请求消息， 以使所述基站 根据所述请求消息确定需要将所述 UE接入到 AP。

本发明实施例第七方面提供一种接入点 AP, 包括：

接收模块， 用于接收基站发送的用户设备 UE接入所述 AP的接入请 求；

获取模块， 用于获取与所述 UE交互所需的安全参数； 发送模块， 用于向所述基站发送 AP接入响应；

处理模块， 用于在所述 UE接入到所述 AP后， 釆用所述安全参数对 与所述 UE交互的数据进行安全处理。

结合第七方面， 在第一种可能的实施方式中， 所述获取模块， 具体用 于生成所述安全参数； 或者， 所述 AP接收移动性管理实体 MME发送的 所述安全参数；

所述发送模块， 具体用于发送包含所述安全参数的 AP接入响应。 结合第七方面， 在第二种可能的实施方式中， 所述获取模块， 还用于 接收所述基站发送的所述安全参数。

本发明实施例第八方面提供一种移动性管理实体 MME, 包括： 接收模块，用于接收基站发送的包含接入点 AP标识的接入信息请求； 获取模块， 用于获取与所述 AP标识对应的安全参数；

发送模块， 用于向所述基站发送所述安全参数， 以使所述基站将所述 安全参数发送给 UE。

结合第八方面， 在第一种可能的实施方式中， 所述获取模块， 具体用 于从归属用户服务器 HSS中获取与所述 AP标识对应的安全参数； 或者， 所述 MME用于生成与所述 AP标识对应的安全参数；

则所述发送模块， 还用于将所述安全参数发送给所述 AP。

本发明通信安全处理方法及装置， 通过基站获取 UE与 AP交互的安 全参数， 并利用与 UE之间的安全空口来传送通信安全所需的安全参数，

UE釆用获取的安全参数接入 AP, 并对与 AP交互的数据进行安全处理， 可以提高 UE与 AP交互的安全性， 保证数据通信安全。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见 地， 下面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员 来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附 图。

图 1为本发明提供的通信安全处理方法实施例一的流程示意图； 图 2为本发明提供的通信安全处理方法实施例二的流程示意图； 图 3为本发明提供的通信安全处理方法实施例三的流程示意图； 图 4为本发明提供的通信安全处理方法实施例四的流程示意图； 图 5为本发明提供的通信安全处理方法实施例五的信令流程图； 图 6为本发明提供的通信安全处理方法实施例六的信令流程图； 图 7为本发明提供的通信安全处理方法实施例七的信令流程图； 图 8为本发明提供的通信安全处理方法实施例八的信令流程图； 图 9为本发明提供的基站实施例一的结构示意图；

图 10为本发明提供的基站实施例二的结构示意图；

图 11为本发明提供的基站实施例三的结构示意图；

图 12为本发明提供的基站实施例四的结构示意图；

图 13为本发明提供的 UE实施例一的结构示意图；

图 14为本发明提供的 AP实施例一的结构示意图；

图 15为本发明提供的 MME实施例一的结构示意图；

图 16为本发明提供的基站实施例五的结构示意图；

图 17为本发明提供的 UE实施例二的结构示意图；

图 18为本发明提供的 AP实施例二的结构示意图；

图 19为本发明提供的 MME实施例二的结构示意图。 具体实施方式 图 1为本发明提供的通信安全处理方法实施例一的流程示意图， 如图 1 所示， 该方法包括：

S101 : 基站确定需要将 UE接入到 AP。

S102: 基站获取 UE与 AP交互所需的安全参数。

S103: 基站在空口安全激活后， 向 UE发送该安全参数， 以使 UE釆用 该安全参数对与 AP交互的数据进行安全处理。

具体来说， 基站确定需要将 UE接入到 AP, 则基站获取 UE与 AP交互 所需的安全参数， 在基站与 UE之间的安全空口激活之后， 即在经过安全模 式命令（ Security Mode Command, 以下简称 SMC )过程后， 基站与 UE之间 的数据传输都进行了加密等安全保护， 之后， 基站将获取的安全参数通过消 息的方式发送给 UE , 以确保 UE可以釆用该安全参数接入 AP , 并在接入到 该 AP后， 釆用基站发送的安全参数对与该 AP交互的数据进行安全处理， 即 可以对这些数据进行加密和 /或解密的处理。

本实施例提供的方法中， 通过基站获取 UE与 AP交互的安全参数， 并 利用与 UE之间的安全空口来传送通信安全所需的安全参数， UE釆用获 取的安全参数接入 AP, 并对与 AP 交互的数据进行安全处理， 可以提高 UE与 AP交互的安全性， 保证数据通信安全。

图 2为本发明提供的通信安全处理方法实施例二的流程示意图， 如图 2 所示， 该方法包括：

S201 : UE接收基站在空口安全激活后发送的与 AP交互所需的安全参数。

S202: UE釆用安全参数对与 AP交互的数据进行安全处理。

具体的， UE通过其与基站之间的空中接口来接收基站获取的安全参数， 此时， 基站与 UE之间的空口是被安全激活的， 即在经过 SMC过程后， 基站 与 UE之间的数据传输都进行了加密等安全保护， 所以该空中接口是安全的， 安全参数的传送也是安全保密的。 UE在接收到该安全参数后， 釆用该安全参 数接入到 AP, 并对与该 AP交互的数据进行安全处理， 即可以对与该 AP交 互的数据进行加密和 /或解密的处理。

本实施例提供的方法中，UE通过安全空口来接收基站获取的 UE与 AP 交互的安全参数， 并釆用接收到的安全参数接入 AP, 并对与 AP交互的数 据进行安全处理， 可以提高 UE与 AP交互的安全性， 保证数据通信安全。

图 3为本发明提供的通信安全处理方法实施例三的流程示意图， 如图 3 所示， 该方法包括：

S301 : AP接收基站发送的 UE接入该 AP的接入请求。

可选的， 在 UE请求接入 AP, 并将该接入 AP的请求发送给基站， 基站 在接收到该 UE接入 AP的请求后， 通过基站与 AP之间的接口 （有线接口， 例如： 光纤等）发送接入请求给 AP, AP接收该接入请求。

S302: 该 AP获取与 UE交互所需的安全参数。

S303: 该 AP向基站发送 AP接入响应。

具体的， AP在接收到基站发送的 UE接入 AP的请求后， AP获取 UE接 入 AP并与 AP交互所需的安全参数， 并将该安全参数保存， 之后， 该 AP通 过基站与 AP之间的接口向基站发送 AP接入响应， 可选的， 该接入响应里可 以携带安全参数， 基站在接收到 AP发送的接入响应之后， 将接入响应里携 带的安全参数通过基站与 UE之间的空中接口发送给 UE, 该空中接口经过 SMC过程后被安全激活， 基站与 UE之间的数据传输都进行了加密等安全保 护， 从而确保基站将安全参数安全传送给 UE。

S304: 该 AP在 UE接入到该 AP后， 釆用安全参数对与 UE交互的数据 进行安全处理。

具体的， UE接收到基站发送的安全参数之后， 此时， UE与 AP均已获 知该安全参数， 则 UE釆用该安全参数接入到该 AP, 该 AP在该 UE接入到 该 AP后， 釆用该安全参数对与该 UE交互的数据进行安全处理， 即对与该 UE交互的数据进行加密和 /或解密的处理。

本实施例提供的方法中，基站通过有线接口向 AP发送 UE接入 AP的请 求， AP接收该请求并获取 UE接入 AP所需的安全参数， 之后， 将安全参数 通过响应的方式发送给基站， 基站利用与 UE之间的安全空口将安全参数发 送给 UE, 该 AP在 UE釆用该安全参数接入到 AP之后， 对与该 UE交互的 数据进行安全处理，可以提高 UE与 AP交互的安全性，保证数据通信安全。

图 4为本发明提供的通信安全处理方法实施例四的流程示意图， 如图 4 所示， 该方法包括：

S401： 移动性管理实体（ Mobility Management Entity , 以下简称 ΜΜΕ ) 接收基站发送的包含 ΑΡ标识的接入信息请求。

可选的， 在 UE请求接入 ΑΡ, 并将该接入 ΑΡ的请求发送给基站， 基站 在接收到该 UE接入 ΑΡ的请求后，通过基站与 ΜΜΕ之间的接口（有线接口， 例如 光纤等）发送接入请求给 MME, ΜΜΕ接收该接入请求。

具体的， ΜΜΕ在接收到基站发送的 UE接入 ΑΡ的请求后， ΜΜΕ获取 UE接入 ΑΡ并与 ΑΡ交互所需的安全参数， 并将该安全参数保存， 之后， 该 ΜΜΕ通过基站与 ΜΜΕ之间的接口向基站发送该安全参数， 基站在接收到 ΜΜΕ发送的安全参数之后 ,将该安全参数通过基站与 UE之间的空中接口发 送给 UE, 该空中接口经过 SMC过程后被安全激活， 基站与 UE之间的数据 传输都进行了加密等安全保护， 从而确保基站将安全参数安全传送给 UE。 在一种实施场景下， MME通过与 AP之间的有线接口 （例如： 光纤等） 向 AP发送 UE接入 AP所需的安全参数， AP在接收到该安全参数之后保存， 并向基站发送 AP接入响应，该接入响应里携带 UE接入 AP所需的安全参数。 之后， UE接收到基站发送的安全参数， 此时， UE与 AP均已获知该安全参 数， 则 UE釆用该安全参数接入到该 AP, 该 AP在该 UE接入到该 AP后， 釆用该安全参数对与该 UE交互的数据进行安全处理，即对与该 UE交互的数 据进行加密和 /或解密的处理。

在另外一种实施场景下， MME通过 MME与基站之间的接口向基站发送 UE接入 AP 所需的安全参数， 基站在接收到该安全参数之后， 通过基站与 AP之间的有线接口向 AP发送该安全参数， AP接收到该安全参数之后保存， 并向基站发送 AP接入响应，此时该 AP接入响应中没有携带安全参数，之后， UE接收到基站发送的安全参数， 此时， UE与 AP均已获知该安全参数， 则 UE釆用该安全参数接入到该 AP, 该 AP在该 UE接入到该 AP后， 釆用该安 全参数对与该 UE交互的数据进行安全处理，即对与该 UE交互的数据进行加 密和 /或解密的处理。

本实施例提供的方法中，基站通过有线接口向 MME发送 UE接入 AP的 请求， MME接收该请求并获取 UE接入 AP所需的安全参数， 之后， 将安全 参数发送给基站， 基站利用与 UE之间的安全空口将安全参数发送给 UE, 在 AP获取到安全参数的前提下， 该 UE釆用该安全参数接入到 AP之后， 对与 该 UE交互的数据进行安全处理， 可以提高 UE与 AP交互的安全性， 保证 数据通信安全。

图 5为本发明提供的通信安全处理方法实施例五的信令流程图， 如图 5 所示， 该方法包括：

S501 : 基站确定需要将 UE接入到 AP。

可选的，基站确定需要将 UE接入到 AP,可以是该基站根据预设分流 策略， 确定需要将 UE接入到 AP, 即基站判断当前网络的拥塞情况， 根据 预设分流策略， 将 UE强制接入 AP, 以达到分流的效果， 确保当前的网络 质量； 也可以是 UE根据自身业务的情况， 向基站发送接入 AP的请求消 息， 基站根据该请求消息确定需要将 UE接入到 AP。 S502: 基站获取 UE接入 AP并与该 AP交互所需的安全参数。

本实施例的安全参数， 例如可以包括密钥、 安全随机数、 安全算法的任 意组合。

S503: 基站发送第一消息给 UE, 该第一消息中携带该安全参数。

具体的， 基站获取 UE接入 AP并与该 AP交互所需的安全参数， 该安全 参数可以包括密钥、 安全随机数、 安全算法的任意组合， 在基站与 UE之 间的空中接口安全激活后， 基站将获取的安全参数通过第一消息发送给 UE。该第一消息中携带该安全参数，且该消息可能用于增加一个 AP的消息， 也可以是一个独立的消息。 由于 UE与基站之间的空口是安全的， 即该空口 经过 SMC过程后被安全激活，基站与 UE之间的数据传输都进行了加密等安 全保护， 所以安全参数的传递是安全加密的， 密钥或者安全随机数可以直接 通过基站与 UE之间的空口发送给 UE。

S504: UE釆用该安全参数接入 AP, 并利用该安全参数对与 AP交互的 数据进行安全处理。

具体的， UE通过安全空口接收到安全参数之后， 釆用该安全参数接入到

AP, 并利用该安全参数对与 AP交互的数据进行安全处理， 即对与 AP进行 交互的数据进行加密和 /或解密的处理。

本实施例提供的方法中， 通过 UE向基站发送接入 AP的请求， 基站接 收该请求并获取 UE与 AP交互所需的安全参数， 并利用与 UE之间的安 全空口来传送通信安全所需的安全参数，UE釆用获取的安全参数接入 AP, 并对与 AP交互的数据进行安全处理。 通过本实施例提供的方法， 提高了 UE与 AP 交互的安全性， 保证数据通信安全， 同时也使得运营商能限制 UE自主接入到 AP, 即没有获取到基站发送的安全参数的 UE是不能接入 到该 AP上， 从而提高了运营商对于网络的控制。

图 6为本发明提供的通信安全处理方法实施例六的信令流程图， 如图 6 所示， 该方法包括：

S601 : 基站确定需要将 UE接入到 AP。

可选的，基站确定需要将 UE接入到 AP,可以是该基站根据预设分流 策略， 确定需要将 UE接入到 AP, 即基站判断当前网络的拥塞情况， 根据 预设分流策略， 将 UE强制接入 AP, 以达到分流的效果， 确保当前的网络 质量； 也可以是 UE根据自身业务的情况， 向基站发送接入 AP的请求消 息， 基站根据该请求消息确定需要将 UE接入到 AP。

S602: 基站发送第二消息给 AP, 该第二消息中携带了获取 UE接入 AP并与 AP交互所需的安全参数的请求 , 或者， 请求给 UE增加 AP的消 息。

S603: AP产生该安全参数。

举例来说， 该安全参数包括密钥、 安全随机数、 安全算法的任意组合。 具体的， 基站通过基站与 AP之间的有线接口 （例如： 光纤等）将第 二消息发送给 AP, 该第二消息中携带了获取 UE接入 AP并与 AP交互所 需的安全参数的请求， 或者， 请求给 UE增加 AP的消息。 AP在接收到该 消息后， 为 UE接入 AP生成所需的安全参数并保存， 该安全参数包括密 钥、 安全随机数、 安全算法的任意组合， 其中密钥和安全随机数可以使随 机产生的， 也可以是通过其他方式产生的， 密钥可以是 UE级的， 也就是 对于不同的 UE, AP 可以生成不同的密钥， 不同的密钥能更进一步提高 AP空口传输的安全性。

S604: AP发送第二消息的响应消息给基站， 该响应消息中携带该安全参 数。

S605: 基站发送第一消息给 UE, 该第一消息中携带该安全参数。

S606: UE釆用该安全参数接入 AP。

具体的， AP通过 AP与基站之间的有线接口发送第二消息的响应消息给 基站， 该响应消息中携带该安全参数， 基站在接收到该响应消息后， 通过安 全激活后的基站与 UE之间的空口发送第一消息给 UE,该第一消息中携带该 安全参数， UE在接收到该安全参数之后， 釆用该安全参数接入到 AP。

S607: AP与 UE利用该安全参数进行数据交互。

具体的， AP利用之前保存的安全参数， 在 UE成功接入到 AP之后， 使 用该保存的安全参数对于该 UE通信的数据进行加密和 /或解密的处理。

本实施例提供的方法中， 通过基站向 AP发送 UE接入 AP的请求， AP 接收该请求并生成 UE接入 AP所需的安全参数， 并将该安全参数通过基 站与 UE之间的安全空口发送给 UE, UE釆用获取的安全参数接入 AP, 该 AP也利用该安全参数对与该 UE交互的进行安全处理。 通过本实施例 提供的方法， 提高了 UE与 AP交互的安全性， 保证数据通信安全， 同时 也使得运营商能限制 UE自主接入到 AP,即没有获取到基站发送的安全参 数的 UE是不能接入到该 AP上， 从而提高了运营商对于网络的控制。

图 7为本发明提供的通信安全处理方法实施例七的信令流程图， 如图 7 所示， 该方法包括：

S701 : 基站确定需要将 UE接入到 AP。

可选的，基站确定需要将 UE接入到 AP,可以是该基站根据预设分流 策略， 确定需要将 UE接入到 AP, 即基站判断当前网络的拥塞情况， 根据 预设分流策略， 将 UE强制接入 AP, 以达到分流的效果， 确保当前的网络 质量； 也可以是 UE根据自身业务的情况， 向基站发送接入 AP的请求消 息， 基站根据该请求消息确定需要将 UE接入到 AP。

S702: 基站产生 UE接入 AP并与 AP进行交互所需的安全参数。

该安全参数可以包括密钥、 安全随机数、 安全算法的任意组合。

S703: 基站发送第三消息给 AP, 该第三消息携带该安全参数。

S704: AP发送第三消息的响应消息给基站。

具体的， 基站产生 UE接入 AP并与 AP进行交互所需的安全参数， 该安 全参数包括密钥、 安全随机数、 安全算法的任意组合， 其中密钥和安全随 机数可以使随机产生的， 也可以是通过其他方式产生的， 密钥可以是 UE 级的， 也就是对于不同的 UE, AP可以生成不同的密钥， 不同的密钥能更 进一步提高 AP空口传输的安全性。

之后， 基站通过基站与 AP之间的有线接口 （例如： 光纤等） 将第三 消息发送给 AP,该第三消息中携带该安全参数， 该第三消息也可以是用来 请求给 UE增加 AP的消息， AP在接收到待第三消息后， 将第三消息中携 带的安全参数保存。

AP在接收到基站发送的安全参数之后，通过 AP与基站之间的有线接口， 发送第三消息的响应消息给基站， 该接入响应中不包含该安全参数。

S705: 基站发送第一消息给 UE, 该第一消息中携带该安全参数。

S706: UE釆用该安全参数接入 AP。

具体的， 基站在产生安全参数之后， 通过基站与 UE之间激活后的安全 空口 （该空口经过 SMC过程后被安全激活， 基站与 UE之间的数据传输都进 行了加密等安全保护） 向 UE发送第一消息， 该该第一消息中携带该安全参 数， UE在接收到该安全参数之后， 釆用该安全参数接入到 AP。

S707: AP与 UE利用该安全参数进行数据交互。

具体的， AP利用之前保存的安全参数， 在 UE成功接入到 AP之后， 使 用该保存的安全参数对于该 UE通信的数据进行加密和 /或解密的处理。

本实施例提供的方法中， 通过基站产生 UE接入 AP并与 AP进行交互 所需的安全参数， 并将该安全参数通过消息的方式分别发送给 UE和 AP, 使得 UE与 AP能够釆用该安全参数进行数据的交互， 同时由于基站是通 过基站与 UE之间激活的安全空口向 UE发送安全参数， 确保了安全参数 的保密性。 通过本实施例提供的方法， 提高了 UE与 AP交互的安全性， 保证数据通信安全， 同时也使得运营商能限制 UE自主接入到 AP, 即没有 获取到基站发送的安全参数的 UE是不能接入到该 AP上， 从而提高了运 营商对于网络的控制。

图 8为本发明提供的通信安全处理方法实施例八的信令流程图， 如图 8 所示， 该方法包括：

S801 : 基站确定需要将 UE接入到 AP。

可选的，基站确定需要将 UE接入到 AP,可以是该基站根据预设分流 策略， 确定需要将 UE接入到 AP, 即基站判断当前网络的拥塞情况， 根据 预设分流策略， 将 UE强制接入 AP, 以达到分流的效果， 确保当前的网络 质量； 也可以是 UE根据自身业务的情况， 向基站发送接入 AP的请求消 息， 基站根据该请求消息确定需要将 UE接入到 AP。

S802: 基站发送第四消息给 MME, 该第四消息中包含接入点 AP标 识的接入信息请求， 或者， 请求给 UE增加 AP的消息。

S803 : MME为 UE获取 UE接入 AP并与 AP进行交互所需的安全参 数。

该安全参数可以包括密钥、 安全随机数、 安全算法的任意组合。

具体的， 基站通过基站与 MME之间的有线接口 （例如： 光纤等） 将 第四消息发送给 MME, 该第四消息中包含接入点 AP标识的接入信息请 求， 或者， 请求给 UE增加 AP的消息。 MME在接收到该消息后， 为 UE 接入 AP获取所需的安全参数并保存， 该安全参数包括密钥、 安全随机数、 安全算法的任意组合， 其中密钥和安全随机数可以使随机产生的， 也可以 是通过其他方式产生的， 密钥可以是 UE级的， 也就是对于不同的 UE, AP可以生成不同的密钥，不同的密钥能更进一步提高 AP空口传输的安全 性。

进一步地， MME在接收到该消息后， 为 UE接入 AP获取所需的安全 参数， 可以是 MME产生该安全参数， 也可以是 MME根据第四消息中包 含的 AP标识从归属用户服务器（ Home Subscriber Server, 以下简称 HSS ) 网元里获取安全参数， 其中第四消息中包含的 AP标识可以是 AP的媒体 接入控制 ( Media Access Control, 以下简称 MAC )地址或者服务集标识 ( Service Set identifier, 以下简称 SSID ) 。

S804: MME发送第四消息的响应消息给基站， 该消息携带该安全参 数。

S805: 基站向 AP发送 AP接入请求。

S806: AP向基站发送 AP接入响应。

具体的， MME获取到安全参数之后， 通过 MME与基站之间的有线 接口，发送第四消息的响应消息给基站， 该消息携带该安全参数。 可选的， MME 在获取到安全参数之后， 可以将安全参数通过携带在第四消息的响 应消息中发送给基站， 基站接收到该响应消息后， 向 AP发送 AP接入请 求， 并通过基站与 AP之间的有线接口将该响应消息中的安全参数发送给 AP, 或者， MME在获取到安全参数之后， 直接通过 MME与 AP之间的 有线接口将该安全参数发送给 AP。 之后， AP向基站发送 AP接入响应， 该接入响应里携带该安全参数。

S807: 基站发送第一消息给 UE, 该第一消息中携带该安全参数。

S808: UE釆用该安全参数接入 AP。

具体的， 基站在获取安全参数之后， 通过基站与 UE之间激活后的安全 空口， 向 UE发送第一消息， 该该第一消息中携带该安全参数， UE在接收到 该安全参数之后， 釆用该安全参数接入到 AP。

S809: AP与 UE利用该安全参数进行数据交互。

具体的， AP利用之前保存的安全参数， 在 UE成功接入到 AP之后， 使 用该保存的安全参数对于该 UE通信的数据进行加密和 /或解密的处理。 本实施例提供的方法中， 通过 MME获取 UE接入 AP并与 AP进行交 互所需的安全参数， 并将该安全参数发送给基站， 并通过基站将该安全参 数通过基站与 UE之间激活的安全空口发送给 UE, 使得 UE与 AP能够釆 用该安全参数进行数据的交互， 同时由于基站是通过基站与 UE之间激活 的安全空口向 UE发送安全参数， 确保了安全参数的保密性。 通过本实施 例提供的方法， 提高了 UE与 AP交互的安全性， 保证数据通信安全， 同 时也使得运营商能限制 UE自主接入到 AP,即没有获取到基站发送的安全 参数的 UE是不能接入到该 AP上， 从而提高了运营商对于网络的控制。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读 取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述 的存储介质包括： ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介 质。

图 9为本发明提供的基站实施例一的结构示意图， 如图 9所示， 该基站 可以包括： 确定模块 91、 获取模块 92以及发送模块 93 , 其中， 确定模块 91 , 用于确定需要将 UE接入到 AP; 获取模块 92, 用于获取 UE与 AP交互所 需的安全参数； 发送模块 93 , 用于在空口安全激活后， 向所述 UE发送安 全参数， 以使所述 UE釆用该安全参数对与所述 AP交互的数据进行安全 处理。

本实施例的基站可以执行图 1所示方法实施例， 其实现原理和技术效 果类似， 此处不再赘述。

图 10为本发明提供的基站实施例二的结构示意图，在图 9所示实施例 的基础上， 进一步地， 上述确定模块 91 , 具体用于根据预设分流策略， 确 定需要将 UE接入到 AP; 或者， 根据所述 UE发送的接入 AP的请求消息 确定需要将 UE接入到 AP。 上述获取模块 92, 包含可以包括： 生成单元

920。 生成单元 920, 用于生成所述安全参数； 发送模块 93 , 还用于将所 述安全参数发送给所述 AP。

本实施例的基站可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果类似， 此处不再赘述。

图 11为本发明提供的基站实施例三的结构示意图，在图 9所示实施例 的基础上， 进一步地， 获取模块 92, 可以包括： 第一发送单元 921和第一 接收单元 922。 其中， 第一发送单元 921 , 用于向所述 AP发送接入请求； 第一接收单元 922,用于接收所述 AP发送的包含所述 AP生成的所述安全 参数的接入响应。

本实施例的基站可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果类似， 此处不再赘述。

图 12为本发明提供的基站实施例四的结构示意图，在图 9所示实施例 的基础上， 进一步地， 获取模块 92, 可以包括： 第二发送单元 923以及第 二接收单元 924, 其中， 第二发送单元 923 , 用于向移动性管理实体 MME 发送包含 AP标识的接入信息请求；第二接收单元 924,用于接收上述 MME 发送的包含与上述 AP标识对应的安全参数； 相应地， 发送模块 93 , 还用 于将上述安全参数发送给上述 AP。 上述安全参数可以包括密钥、 安全随 机数、 安全算法的任意组合。

本实施例的基站可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果类似， 此处不再赘述。

图 13为本发明提供的 UE实施例一的结构示意图， 如图 13所示， 该装 置包括： 接收模块 111和处理模块 112, 其中， 接收模块 111 , 用于接收基站 在空口安全激活后发送的与 AP交互所需的安全参数； 处理模块 1 12, 用 于釆用所述安全参数对与 AP交互的数据进行安全处理。

本实施例的 UE可以执行图 2所示方法实施例， 其实现原理和技术效 果类似， 此处不再赘述。

进一步地，在图 13所示实施例的基础上，该装置还包括发送模块 1 10 , 用于接收基站在空口安全激活后发送的与 AP交互所需的安全参数之前， 向基站发送接入 AP的请求消息，以使基站根据该请求消息确定需要将 UE 接入到 AP , 该安全参数包括密钥、 安全随机数、 安全算法的任意组合。

本实施例的 UE可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果类似， 此处不再赘述。

图 14为本发明提供的 AP实施例一的结构示意图， 如图 14所示， 该装 置包括： 接收模块 120、 获取模块 121、 发送模块 122以及处理模块 123 , 其 中， 接收模块 120, 用于接收基站发送的 UE接入 AP的接入请求； 获取模 块 121 , 用于获取与 UE交互所需的安全参数； 发送模块 122, 用于向基站 发送 AP接入响应； 处理模块 123 , 用于在 UE接入到 AP后， 釆用所述安 全参数对 UE交互的数据进行安全处理。

本实施例的 AP可以执行图 3所示方法实施例， 其实现原理和技术效 果相类似， 此处不再赘述。

进一步地， 上述获取模块 121 , 具体用于生成安全参数； 或者， 所述 AP接收移动性管理实体 MME发送的所述安全参数； 还用于接收基站发 送的所述安全参数； 则上述发送模块 122, 具体用于发送包含所述安全参 数的 AP接入响应。 该安全参数包括密钥、 安全随机数、 安全算法的任意 组合。

本实施例的 AP可以执行图 5至及图 8所示方法实施例， 其实现原理 和技术效果相类似， 此处不再赘述。

图 15为本发明提供的 MME实施例一的结构示意图， 如图 15所示， 该 装置包括： 接收模块 130、 获取模块 131以及发送模块 132, 其中， 接收模块 130, 用于接收基站发送的包含 AP标识的接入信息请求； 获取模块 131 , 用于获取与所述 AP标识对应的安全参数； 发送模块 132, 用于向基站发 送所述安全参数， 以使基站将所述安全参数发送给 UE。

本实施例的 MME可以执行图 4所示方法实施例 , 其实现原理和技术 效果相类似， 此处不再赘述。

进一步地， 上述获取模块 131 , 具体用于从归属用户服务器 HSS中获 取与 AP标识对应的安全参数； 或者， 所述 MME用于生成与所述 AP标 识对应的安全参数； 上述发送模块， 具体还用于将所述安全参数发送给所 述 AP; 该安全参数包括密钥、 安全随机数、 安全算法的任意组合。

本实施例的 MME可以执行图 5至图 8所示方法实施例， 其实现原理 和技术效果相类似， 此处不再赘述。

图 16为本发明提供的基站实施例五的结构示意图， 如图 16所示， 该装 置包括： 处理器 140和发送器 141 , 其中， 处理器 140, 用于确定需要将 UE 接入到 AP, 还用于获取 UE与 AP交互所需的安全参数； 发送器 141 , 用 于在空口安全激活后， 向 UE发送所述安全参数， 以使 UE釆用所述安全 参数对与所述 AP交互的数据进行安全处理。 本实施例的基站可以执行图 1所示方法实施例， 其实现原理和技术效 果相类似， 此处不再赘述。

进一步地， 上述处理器 140, 具体用于根据预设分流策略， 确定需要 将 UE接入到 AP; 或者， 根据 UE发送的接入 AP的请求消息确定需要将 UE接入到 AP; 还用于生成安全参数； 并且还用于向所述 AP发送接入请 并且具体还用于向 MME发送包含 AP标识的接入信息请求以及接收所述 MME发送的包含与所述 AP标识对应的所述安全参数；则上述发送器 141 , 具体还用于将所述安全参数发送给上述 AP, 该安全参数包括密钥、 安全 随机数、 安全算法的任意组合。

本实施例的基站可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果相类似， 此处不再赘述。

图 17为本发明提供的 UE实施例二的结构示意图， 如图 17所示， 该装 置包括： 接收器 152和处理器 153 , 其中， 接收器 152, 用于接收基站在空 口安全激活后发送的与 AP交互所需的安全参数； 处理器 153 , 用于釆用 所述安全参数对与所述 AP交互的数据进行安全处理。

本实施例的 UE可以执行图 2所示方法实施例， 其实现原理和技术效 果相类似， 此处不再赘述。

进一步地， 在图 17所示实施例的基础上， 该装置还包括发送器 151 , 用于接收基站在空口安全激活后发送的与 AP交互所需的安全参数之前， 向基站发送接入 AP的请求消息，以使基站根据该请求消息确定需要将 UE 接入到 AP, 该安全参数包括密钥、 安全随机数、 安全算法的任意组合。

本实施例的 UE可以执行图 5至图 8所示方法实施例， 其实现原理和 技术效果相类似， 此处不再赘述。

图 18为本发明提供的 AP实施例二的结构示意图， 如图 18所示， 该装 置包括： 接收器 161、 发送器 162以及处理器 163 , 其中， 接收器 161 , 用于 接收基站发送的 UE接入 AP的接入请求； 发送器 162, 用于向基站发送 AP接入响应;处理器 163 , 用于获取与 UE交互所需的安全参数， 还用于 在 UE接入到 AP后， 釆用所述安全参数对与 UE交互的数据进行安全处 理。 本实施例的 AP可以执行图 3所示方法实施例， 其实现原理和技术效 果相类似， 此处不再赘述。

进一步地， 上述处理器 163 , 具体用于生成安全参数； 或者， 所述 AP 接收 MME发送的安全参数； 还用于接收基站发送的安全参数； 则上述发 送器 162, 具体用于发送包含所述安全参数的 AP接入响应。 该安全参数 包括密钥、 安全随机数、 安全算法的任意组合。

本实施例的 AP可以执行图 5至及图 8所示方法实施例， 其实现原理 和技术效果相类似， 此处不再赘述。

图 19为本发明提供的 MME实施例二的结构示意图， 如图 19所示， 该 装置包括： 接收器 171、 处理器 172以及发送器 173 , 其中， 接收器 171 , 用 于接收基站发送的包含接入点 AP标识的接入信息请求； 处理器 172, 用 于获取与所述 AP标识对应的安全参数； 发送器 173 , 用于向基站发送所 述安全参数， 以使基站将所述安全参数发送给 UE。

本实施例的 MME可以执行图 4所示方法实施例 , 其实现原理和技术 效果相类似， 此处不再赘述。

进一步地， 上述处理器 172, 具体用于从归属用户服务器 HSS中获取 与所述 AP标识对应的安全参数； 或者， 所述 MME用于生成与所述 AP 标识对应的安全参数； 上述发送器， 具体还用于将所述安全参数发送给所 述 AP; 该安全参数包括密钥、 安全随机数、 安全算法的任意组合。

本实施例的 MME可以执行图 5至图 8所示方法实施例， 其实现原理 和技术效果相类似， 此处不再赘述。

最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述各实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换； 而这些修改或者替换， 并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权 利 要 求 书

1、 一种通信安全处理方法， 其特征在于， 包括：

基站确定需要将用户设备 UE接入到接入点 AP;

所述基站获取所述 UE与所述 AP交互所需的安全参数；

所述基站在空口安全激活后， 向所述 UE发送所述安全参数， 以使所 述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。

2、 根据权利要求 1 所述的方法， 其特征在于， 所述基站确定需要将 UE接入到 AP, 包括：

所述基站根据预设分流策略， 确定需要将 UE接入到 AP; 或者， 所述基站接收所述 UE发送的接入 AP的请求消息， 根据所述请求消 息确定需要将 UE接入到 AP。

3、 根据权利要求 1所述的方法， 其特征在于， 所述基站获取所述 UE 与所述 AP交互所需的安全参数， 包括：

所述基站生成所述安全参数；

所述方法， 还包括：

所述基站将所述安全参数发送给所述 AP。

4、 根据权利要求 1所述的方法， 其特征在于， 所述基站获取所述 UE 与所述 AP交互所需的安全参数， 包括：

所述基站向所述 AP发送接入请求；

所述基站接收所述 AP发送的包含所述 AP生成的所述安全参数的接 入响应。

5、 根据权利要求 1所述的方法， 其特征在于， 所述基站获取所述 UE 与所述 AP交互所需的安全参数， 包括：

所述基站向移动性管理实体 MME发送包含 AP标识的接入信息请求； 所述基站接收所述 MME发送的包含与所述 AP标识对应的所述安全 参数；

所述方法， 还包括：

所述基站将所述安全参数发送给所述 AP。

6、 根据权利要求 1〜5 中任一项所述的方法， 其特征在于， 所述安全 参数包括密钥、 安全随机数、 安全算法的任意组合。

7、 一种通信安全处理方法， 其特征在于， 包括：

UE接收基站在空口安全激活后发送的与所述 AP 交互所需的安全参 数；

所述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。

8、 根据权利要求 7所述的方法， 其特征在于， 所述 UE接收基站在空 口安全激活后发送的与所述 AP交互所需的安全参数之前， 还包括：

所述 UE向所述基站发送接入 AP的请求消息， 以使所述基站根据所 述请求消息确定需要将所述 UE接入到 AP。

9、 根据权利要求 7或 8所述的方法， 其特征在于， 所述安全参数包 括密钥、 安全随机数、 安全算法的任意组合。

10、 一种通信安全处理方法， 其特征在于， 包括：

接入点 AP接收基站发送的用户设备 UE接入所述 AP的接入请求； 所述 AP获取与所述 UE交互所需的安全参数；

所述 AP向所述基站发送 AP接入响应；

所述 AP在所述 UE接入到所述 AP后， 釆用所述安全参数对与所述

UE交互的数据进行安全处理。

11、 根据权利要求 10所述的方法， 其特征在于， 所述 AP获取与所述 UE交互所需的安全参数， 包括：

所述 AP生成所述安全参数； 或者，

所述 AP接收移送性管理实体 MME发送的所述安全参数；

所述 AP向所述基站发送 AP接入响应， 包括：

所述 AP向所述基站发送包含所述安全参数的 AP接入响应。

12、 根据权利要求 10所述的方法， 其特征在于， 所述 AP获取与所述 UE交互所需的安全参数， 包括：

所述 AP接收所述基站发送的所述安全参数。

13、 根据权利要求 10〜12所述的方法， 其特征在于， 所述安全参数包 括密钥、 安全随机数、 安全算法的任意组合。

14、 一种通信安全处理方法， 其特征在于， 包括：

移动性管理实体 MME接收基站发送的包含接入点 AP标识的接入信 息请求； 所述 MME获取与所述 AP标识对应的安全参数；

所述 MME向所述基站发送所述安全参数， 以使所述基站将所述安全 参数发送给 UE。

15、 根据权利要求 14所述的方法， 其特征在于， 所述 MME获取与 所述 AP标识对应的安全参数， 包括：

所述 MME从归属用户服务器 HSS中获取与所述 AP标识对应的安全 参数； 或者，

所述 MME生成与所述 AP标识对应的安全参数；

则所述方法， 还包括：

所述 MME将所述安全参数发送给所述 AP。

16、 根据权利要求 14或 15所述的方法， 其特征在于， 所述安全参数 包括密钥、 安全随机数、 安全算法的任意组合。

17、 一种基站， 其特征在于， 包括：

确定模块， 用于确定需要将用户设备 UE接入到接入点 AP;

获取模块， 用于获取所述 UE与所述 AP交互所需的安全参数； 发送模块， 用于在空口安全激活后， 向所述 UE发送所述安全参数， 以使所述 UE釆用所述安全参数对与所述 AP交互的数据进行安全处理。

18、 根据权利要求 17 所述的基站， 其特征在于， 所述确定模块， 具 体用于：

根据预设分流策略， 确定需要将 UE接入到 AP; 或者，

根据所述 UE发送的接入 AP的请求消息确定需要将 UE接入到 AP。

19、 根据权利要求 17 所述的基站， 其特征在于， 所述获取模块， 包 括：

生成单元， 用于生成所述安全参数；

所述发送模块， 还用于将所述安全参数发送给所述 AP。

20、 根据权利要求 17 所述的基站， 其特征在于， 所述获取模块， 包 括：

第一发送单元， 用于向所述 AP发送接入请求；

第一接收单元， 用于接收所述 AP发送的包含所述 AP生成的所述安 全参数的接入响应。

21、 根据权利要求 17 所述的基站， 其特征在于， 所述获取模块， 包 括：

第二发送单元， 用于向移动性管理实体 MME发送包含 AP标识的接 入信息请求；

第二接收单元， 用于接收所述 MME发送的包含与所述 AP标识对应 的所述安全参数；

所述发送模块， 还用于将所述安全参数发送给所述 AP。

22、 根据权利要求 17〜21任一项所述的基站， 其特征在于， 所述安全 参数包括密钥、 安全随机数、 安全算法的任意组合。

23、 一种用户设备 UE, 其特征在于， 包括：

接收模块， 用于接收基站在空口安全激活后发送的与所述 AP交互所 需的安全参数；

处理模块， 用于釆用所述安全参数对与所述 AP交互的数据进行安全 处理。

24、 根据权利要求 23所述的 UE, 其特征在于， 还包括：

发送模块， 用于接收基站在空口安全激活后发送的与所述 AP交互所 需的安全参数之前， 向所述基站发送接入 AP的请求消息， 以使所述基站 根据所述请求消息确定需要将所述 UE接入到 AP。

25、 根据权利要求 23或 24所述的 UE, 其特征在于， 所述安全参数 包括密钥、 安全随机数、 安全算法的任意组合。

26、 一种接入点 AP, 其特征在于， 包括：

接收模块， 用于接收基站发送的用户设备 UE接入所述 AP的接入请 求；

获取模块， 用于获取与所述 UE交互所需的安全参数；

发送模块， 用于向所述基站发送 AP接入响应；

处理模块， 用于在所述 UE接入到所述 AP后， 釆用所述安全参数对 与所述 UE交互的数据进行安全处理。

27、 根据权利要求 26所述的 AP, 其特征在于， 所述获取模块， 具体 用于生成所述安全参数； 或者， 所述 AP接收移动性管理实体 MME发送 的所述安全参数； 所述发送模块， 具体用于发送包含所述安全参数的 AP接入响应。

28、 根据权利要求 26所述的 AP, 其特征在于， 所述获取模块， 还用 于接收所述基站发送的所述安全参数。

29、 根据权利要求 26〜28 中任一项所述的 AP, 其特征在于， 所述安 全参数包括密钥、 安全随机数、 安全算法的任意组合。

30、 一种移动性管理实体 MME, 其特征在于， 包括：

接收模块，用于接收基站发送的包含接入点 AP标识的接入信息请求； 获取模块， 用于获取与所述 AP标识对应的安全参数；

发送模块， 用于向所述基站发送所述安全参数， 以使所述基站将所述 安全参数发送给 UE。

31、 根据权利要求 30所述的 MME, 其特征在于， 所述获取模块， 具 体用于从归属用户服务器 HSS中获取与所述 AP标识对应的安全参数； 或 者， 所述 MME用于生成与所述 AP标识对应的安全参数；

则所述发送模块， 还用于将所述安全参数发送给所述 AP。

32、 根据权利要求 30或 31所述的 MME, 其特征在于， 所述安全参 数包括密钥、 安全随机数、 安全算法的任意组合。