方法、装置和系统与流程

本发明涉及一种方法、装置和系统，具体但非排他地，涉及蜂窝网络和无线局域网(wlan)聚合。

背景技术：

通信系统可以被看作通过提供在通信路径中涉及的各种实体之间的载波来使能诸如用户终端、基站和/或其它节点的两个或多个实体之间的通信会话的设施。例如，通信系统可利用通信网络和一个或多个可兼容的通信设备来提供。通信例如可包括用于承载诸如语音、电子邮件(email)、文本消息、多媒体和/或内容数据等通信的数据通信。提供的服务的非限制性示例包括双向或多路呼叫、数据通信或多媒体服务、和接入诸如因特网的数据网络系统。

在无线通信系统中，至少两个基站之间的至少一部分通信在无线链路上发生。无线系统的示例包括移动网络、基于卫星的通信系统和不同的无线本地网络，例如，无线局域网(wlan)。移动网络通常可被划分为小区，因此通常被称为蜂窝系统。

用户可利用适当的通信设备或终端接入通信系统。用户的通信设备通常被称为用户设备(ue)。通信设备被提供有适当的信号接收和发射装置以用于使能通信，例如，使能接入通信网络或直接与其它用户通信。通信设备可接入由例如小区的基站的站提供的载波，并在载波上发射和/或接收通信。

技术实现要素：

在第一方面，提供一种方法，包括：控制在用户设备处接收来自第一网络的接入信息，所述接入信息与第二网络相关联，第一和第二网络使用不同的无线接入技术；以及使用所述接入信息与第二网络进行通信。

该方法可包括向第一网络和第二网络中的至少一个提供用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

该方法可包括在与第二网络的认证过程中使用所述接入信息。

认证过程可以是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第二方面，提供一种方法，包括：由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

该方法可包括控制由第一网络向第二网络请求接入信息。

该方法可包括由第一网络分配所述接入信息；以及向第二网络提供所述接入信息。

该方法可包括从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第三方面，提供一种方法，包括：在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

该方法可包括控制从第一网络接收接入信息，所述接入信息由第一网络分配。

该方法可包括响应于来自第一网络的请求，向第一网络提供接入信息。

基于接入信息允许用户设备接入第二网络可包括：在与用户设备的认证过程中使用所述接入信息。

认证过程可以是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

该方法可包括控制从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

基于接入信息允许用户设备接入第二网络可包括：在与用户设备的认证过程中使用用户设备标识信息。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第四方面，提供一种装置，包括用于执行根据第一至第三方面中任一个所述的方法的装置。

在第五方面，提供一种用于计算机的计算机程序产品，包括当所述产品在计算机上运行时用于执行根据第一至第三方面中任一个所述的方法的软件代码部分。

在第六方面，提供一种装置，包括：至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为通过至少一个处理器使装置至少：控制在用户设备处接收来自第一网络的接入信息，所述接入信息与第二网络相关联，第一和第二网络使用不同的无线接入技术；以及使用所述接入信息与第二网络进行通信。

该装置可被配置为向第一网络和第二网络中的至少一个提供用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

该装置可被配置为在与第二网络的认证过程中使用所述接入信息。

认证过程可以是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第七方面，提供一种装置，包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为通过至少一个处理器使装置至少：由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

该装置可被配置为控制由第一网络向第二网络请求接入信息。

该装置可被配置为由第一网络分配所述接入信息；以及向第二网络提供所述接入信息。

该装置可被配置为从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第八方面，提供一种装置，包括：至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为通过至少一个处理器使装置至少：在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

该装置可被配置为控制从第一网络接收接入信息，所述接入信息由第一网络分配。

该装置可被配置为响应于来自第一网络的请求，向第一网络提供接入信息。

该装置可被配置为在与用户设备的认证过程中使用所述接入信息。

该装置可被配置为从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

该装置可被配置为在与用户设备的认证过程中使用所述用户设备标识信息。

认证过程可以是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第九方面，提供一种在非易失性计算机可读存储介质上具体化的计算机程序，该计算机程序包括用于控制处理器以执行过程的程序代码，该过程包括：控制在用户设备处接收来自第一网络的接入信息，所述接入信息与第二网络相关联，第一和第二网络使用不同的无线接入技术；以及使用所述接入信息与第二网络进行通信。

该过程可包括向第一网络和第二网络中的至少一个提供用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

该过程可包括在与第二网络的认证过程中使用所述接入信息。

认证过程可以是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第十方面，提供一种在非易失性计算机可读存储介质上具体化的计算机程序，该计算机程序包括用于控制处理器以执行过程的程序代码，该过程包括：由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

该过程可包括控制由第一网络向第二网络请求接入信息。

该过程可包括由第一网络分配所述接入信息；以及向第二网络提供所述接入信息。

该过程可包括从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

在第十一方面，提供一种在非易失性计算机可读存储介质上具体化的计算机程序，该计算机程序包括用于控制处理器以执行过程的程序代码，该过程包括：在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

该过程可包括控制从第一网络接收接入信息，所述接入信息由第一网络分配。

该过程可包括响应于来自第一网络的请求，向第一网络提供接入信息。

基于接入信息允许用户设备接入第二网络包括：在与用户设备的认证过程中使用所述接入信息。

认证过程是可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的至少一个。

该过程可包括控制从用户设备接收用户设备标识信息。

用户设备标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。

基于接入信息允许用户设备接入第二网络可包括：在与用户设备的认证过程中使用所述用户设备标识信息。

所述接入信息可包括无线局域网证书、伪终端标识信息和临时用户设备标识信息中的至少一个。

第一网络可以是无线接入网，第二网络可以是无线局域网。

已经在上面描述许多不同的实施例。应当理解，通过上述实施例的任何两个或多个的组合可提供进一步的实施例。

附图说明

现在将仅以示例的方式参考附图描述实施例，其中：

图1示出包括基站和多个通信设备的示例通信系统的示意图；

图2示出示例移动通信设备的示意图；

图3a、3b和3c示出认证ue的方法的示例流程图；

图4示出认证ue的示例方法的示例时序图；

图5示出示例控制装置的示意图；

图6示出用于认证ue的示例装置；

图7示出用于认证ue的示例装置；

图8示出用于认证ue的示例装置。

具体实施方式

在详细说明示例之前，参考示例性图1至图2简要说明无线通信系统和移动通信设备的某些一般原理以帮助理解所描述的示例依据的技术。

下面的实施例仅仅是示例。尽管说明书在若干位置处提到“一”、“一个”或“一些”实施例，但这并不意味着每一个这种提及针对同一个实施例，或者仅应用于单个实施例的特征。不同实施例的单个特征也可以组合以提供其它实施例。此外，词语“包括”和“包含”应当被理解为不限制所描述的实施例仅包含所提及的那些特征，这种实施例也可以包含没有被特别提及的特征、结构、单元、模块等。

在如图1所示的无线通信系统100中，移动通信设备或用户设备(ue)102、104、105可被提供经由至少一个基站或类似的无线发射和/或接收节点或点的无线接入。基站通常由至少一个适当的控制器装置控制，以使能其操作和管理移动通信设备与基站进行通信。控制器装置可位于无线接入网(例如，无线通信系统100)或核心网(未示出)中，并可被实现为一个中心装置或者其功能可在几个装置上分布。控制器装置可以是基站的一部分和/或由诸如无线网络控制器的单独的实体提供。在图1中，示出控制装置108和109以控制各个宏级别基站106和107。基站的控制装置可与其它控制实体互连。控制装置通常具有存储容量和至少一个数据处理器。控制装置和功能可以在多个控制单元之间分布。在一些系统中，控制装置可附加地或可替换地在无线网络控制器中提供。控制装置可提供诸如针对图5讨论的装置。

然而，lte系统可被认为具有所谓的“平面”架构，而无需提供rnc；相反，(e)nb与核心网直接进行通信，即系统架构演进网关(sae-gw)和移动性管理实体(mme)，这些实体也可被汇集，意味着多个这些节点可以服务多个(组)(e)nb。每一个ue每一次仅由一个mme和/或s-gw服务，(e)nb跟踪当前关联。sae-gw是lte中的“高级”用户平面核心网络单元，其可由s-gw和p-gw(分别是服务网关和分组数据网络网关)组成。s-gw和p-gw的功能是分离的，它们不要求位于同一地点。

在图1中，基站或节点106和107被示为经由网关112连接到更广的通信网络113。可以提供进一步的网关功能以连接到另一个网络。

较小的基站或节点(接入节点ap)116、118和120也可以连接到网络113，例如，通过分离的网关功能和/或经由宏级别站的控制器。基站116、118和120可以是微微或毫微微级别基站等。在该示例中，基站116和118经由网关111连接，而基站120经由控制器装置108连接。在一些实施例中，可以不提供较小的基站。

然而，实施例不限制于作为示例给出的系统，本领域技术人员可将方案应用于具有所需特性的其它通信系统。适用的通信系统的另一个示例是5g概念。假定5g中的网络架构与lte-演进中的架构非常类似。5g可能使用多输入—多输出(mimo)天线、比lte更多的基站或节点(所谓的小小区概念)，包括与较小的基站共同操作的宏站点，还可能使用各种无线电技术以获得更好的覆盖和增强的数据速率。

应当理解，未来的网络将更可能利用网络功能虚拟化(nfv)，其是提出将网络节点功能虚拟化成可操作连接或链接在一起以提供服务的“构建块”或实体的网络架构概念。虚拟化网络功能(vnf)可包括一个或多个使用标准或通用服务器而非定制硬件运行计算机程序代码的虚拟机器。还可利用云计算或数据存储。在无线通信中，这可意味着节点操作将至少部分地在可操作耦合到远端射频头的服务器、主机或节点中执行。节点操作将可以在多个服务器、节点或主机中分布。还应当理解，核心网操作和基站操作之间的工作量分布可不同于lte或者甚至是不存在的。

现在将参照图2详细描述可能的移动通信设备，图2示出通信设备200的示意性、部分截面的视图。这种通信设备通常被称为用户设备(ue)或终端。适当的移动通信设备可由能够发送和接收无线电信号的任何设备提供。非限制性示例包括移动台(ms)或者诸如移动电话或被称为“智能电话”的移动设备、提供有无线接口或其它无线接口设施(例如，usb适配器)的计算机、个人数据助理(pda)或者提供有无线通信能力的平板电脑(膝上型、触摸屏计算机)、或者这些的任何组合等。用户设备(ue)的一些其它示例是游戏控制台、笔记本电脑、多媒体设备和使用无线调制解调器的设备(告警或测量设备等)。移动通信设备例如可提供用于承载诸如语音、电子邮件(email)、文本消息、多媒体等通信的数据通信。因此，用户可经由他们的通信设备被给予和提供许多服务。这些服务的非限制性示例包括双向或多路呼叫、数据通信或多媒体服务、或者仅接入诸如因特网的数据通信网络系统。用户还可被提供广播或多播数据。内容的非限制性示例包括下载、电视和广播节目、视频、广告、各种告警和其它信息。

移动设备200可经由用于接收的适当的装置通过空中或无线接口207接收信号，并可经由用于发射无线电信号的适当的装置发射信号。在图2中，收发信机装置由框206示意性指定。收发信机装置206例如可利用无线电部分和关联的天线布置提供。天线布置可在移动设备内部或外部设置。

移动设备通常具有至少一个数据处理实体201、至少一个存储器202和其它可能的组件203，以用在被设计以执行的任务的软件和硬件辅助执行中，包括控制接入接入系统和其它通信设备以及控制与接入系统和其它通信设备进行通信。数据处理、存储和其它相关的控制装置可在适当的电路板和/或芯片组上提供。该特征由参考标记204表示。用户可利用适用的诸如按键板205、语音命令、触摸感应屏或板、或者其组合等用户接口控制移动设备的操作。还可以提供显示器208、扬声器和麦克风。此外，移动通信设备可包括适当的到其它设备和/或用于连接外部附件的(有线或无线)连接器，例如，免提设备和附件。

通信设备102、104、105可基于诸如码分多址(cdma)或宽带码分多址(wcdma)的各种接入技术接入通信系统。其它非限制性示例包括时分多址(tdma)、频分多址(fdma)及其各种方案，诸如交织频分多址(ifdma)、单载波频分多址(sc-fdma)和正交频分多址(ofdma)、空分多址(sdma)等。

无线通信系统的示例是由第三代合作伙伴计划(3gpp)标准化的架构。最新的基于3gpp的开发通常被称为通用移动通信系统(umts)无线接入技术的长期演进(lte)。3gpp规范的各种开发阶段被称为发布。lte的最新的开发通常被称为lte演进(lte-a)。lte使用被称为演进的通用陆地无线接入网络(e-utran)的移动架构。这种系统的基站被称为演进型或增强型节点b(enb)，并向通信设备提供诸如用户平面无线链路控制/媒体访问控制/物理层协议(rlc/mac/phy)和控制平面无线资源控制(rrc)协议终端的e-utran特征。无线接入系统的其它示例包括由基于诸如无线局域网(wlan)和/或wimax(全球微波互联接入)的技术的系统的基站提供的无线接入系统。基站可提供用于整个小区或类似无线服务区域的覆盖。

3gpp具有诸如lte和3g的标准化的移动无线接入技术，而wlan移动无线接入基于ieee标准802.11。ue可装备有至少一个3gpprat和wlan无线接口。wlan接入点可以是用户部署的并工作在非授权频谱上，而3gpp基站和ue可由运营商拥有并使用授权频谱。近来，运营商也已经开始部署wlanap，并寻求在wlan和3gpp网络之间提供更好的协调能力。尽管3gpp可使用授权频谱，但是称为lte-u(lte的授权辅助接入(laa))的倡议涉及使用也由wlan使用的非授权频谱。

wlan支路可被建立为ue和接入网之间的次要无线承载，类似于非授权lte使用。演进的分组系统(eps)本身可能不知道wlan；wlan可在ue和enb之间传输lte用户平面分组，如同它们最初经由lte支路传送(可向eps提供wlan指示，例如，用于减少计费)。ue可在向终端应用传送下行链路有效载荷之前合并来自两个接口的下行链路有效载荷。ue还可经由两个接口中的任何一个传送上行链路数据，而无需应用知道它。enbs1接口可用作网络侧中的锚点。该过程可称为紧互通。

术语ran用于指示其中存在无线资源控制功能的任何3gpp无线接入网络实体。在lte中，这可以是enb节点，而在wcdma中，它可以是ran节点(节点b和/或rnc)。除非另有说明，wlan术语是指wlan接入网络。eps是lte分组核心网络。

wlanap或者可与ran位于同一地点，或者集成到ran或具有合适的数据和与ran的控制接口的远端实体中。可由ran控制wlan的使用，所有的wlan业务可通过ran路由。wlan可以是对于eps不可见的(除了可选无线接入技术标识(ratid)之外)。ue和ran可选择每个有效载荷分组是否经由wlan或ran无线支路传送。从用户数据报协议(udp)和传输控制协议(tcp)的观点来看，两个接口可作为一个接口工作。聚合可补充andsf和ran卸载方案。

当ue连接到ran并建立3gpp连接时，ue通常被认证和/或授权，并且建立用于无线通信的必要的安全机制(例如，加密和/或完整性)。为了使用wlan无线电，期望相同级别的安全性。在3gpp域中，这可意味着在wlan无线电中使用wpa2(wi-fi安全访问)安全协议。所需的认证和安全密钥生成可基于sim证书，如在ran中一样。这可以是完全独立于所建立的3gpp安全，并涉及使用远程认证、授权和计费(aaa)和归属用户服务器(hss)资源。eap(可扩展认证协议)-sim(用户标识模块)、eap-aka(认证和密钥协商)和eap-aka-prime是当前在wlan一侧指定的3gpp安全机制。由于ue已经在ran一侧被认证和授权，因此，如果该安全性可以在wlan一侧重新用于载波聚合，则这是有益的。

也可期望在创建wlan接口以用于聚合时在wlan一侧识别设备并在ran一侧授权。由于业务可在被传送到eps之前在enb中合并，因此，标识应当是可靠的和安全的。当前，wlan和ran不可共享可用于将这两个支路关联在一起的标识。

业务可经由eps核心网发送并相应地计费。在enb和eps核心网之间的s1接口可被扩展以包括关于wlan使用的统计。当使用远程认证时，由于wlan网络可生成记账记录，因此，应当避免在wlan侧的双重计费。

基于伪终端标识符(ptid)的解决方案允许ran和wlan协商用于wlan接入的用户标识符。ptid是ran分配的临时/一次性用户名以在wlan接入中使用。当ue连接到需要使用基于eap的认证机制(开放的认证)时，wlan将向ue请求这种用户名。该用户名具有允许wlan将其识别成wlan卸载用户名的格式，并能够拦截认证和向ran一侧请求进一步的授权。安全机制包括使用eap-sim/aka/aka-prime以用于认证，因此认证在归属hss服务器中发生。为了实现快速接入并保持wlan内接于ran，这可能不是期望的。其它认证机制如果是足够安全和稳健的，则也可使用，诸如基于证书的eap-ttls或者基于受保护的用户名和口令的eap-peap(这需要足够复杂)。

可替代的解决方案向ue引入通过3gpp无线电交换永久/临时/一次性wpa2预先共享密钥(psk)安全密钥或成对主密钥(pmk)等以用于通过wlan无线电与wlan建立wpa2安全。ue向ran提供它的媒体访问控制(mac)地址，ran与wlan协商将要使用的psk或pmk。

由于psk/pmk交换，ue和wlan两者都能够建立在802.11规范中规定的成对主密钥安全关联(pmksa)。通常，作为成功的eap认证的结果或者根据psk来创建pmska上下文。关键组件是mac地址和pmk。

在psk的情况下，pmk由ue和wlan在本地从psk中导出。如果ue和wlan能够使用相同的pmksa，则它们可安全通信。

通常在eap认证中，pmk从对于ue和归属认证服务器(aaa/hss)已知的eap认证密钥中导出。这可略过，密钥可在ran中在本地创建。

在这两种机制中，基本上创建安全关联所需要的所有信息经由安全ue/ran连接和ran/wlan连接在ue、ran和wlan之间交换。这样，ue可完全跳过wlan中的eap认证过程，并直接使用802.11规定的4次握手来证明知道安全密钥，从而允许wlan和ran识别卸载情境。

最初在802.11r中引入并在802.11-2012规范中包括的快速bss(基站子系统)切换定义了一种机制以当ue在执行两个wlanap之间的切换时避免随后的认证阶段。该方法仅仅适用于单个wlan网络内。目标wlanap和源wlanap交换从pmk中导出的特定安全密钥，允许ue重新建立wlan会话而无需完全认证。802.11没有规定这些密钥在ap之间如何交换；通常如果两个ap由相同的wlan控制器管理，则这被支持。作为一个选项，这可被扩展到覆盖3gpp聚合。ran可假定源wlanap在该过程中的作用，并准备ue和目标wlan以用于快速bss切换。

在pmksa交换上使用常规的本地基于eap或psk机制的主要动机是与现有的wlan设施兼容。不需要新的wlanhw或者甚至修改sw；它可在网络侧中仅经由配置实现。通过引入本地aaa服务器，仅仅需要在网络侧上的ran中进行修改。ran可经由现有的aaa系统通常具有的配置接口配置aaa服务器。ue需要适应lte芯片必须根据ran命令配置用于ue的wlan设置。基于pmska转换或快速bss切换的机制在一些情况下可提供更快的连接时间，但是其深入到wlan芯片级别和ue(软件/硬件)sw/hw实现，是不容易获得的。

ptid概念可演进以引入本地ran控制的认证。图3a示出在wlan中认证ue的方法的示例，其中，wlan将要用作次要无线承载。该方法包括，在框900中，控制在用户设备处接收来自第一网络的接入信息，所述接入信息与第二网络相关联，第一和第二网络使用不同的无线接入技术。在框902中，该方法包括使用所述接入信息与第二网络进行通信。

图3b示出根据另一个实施例的认证ue的方法的示例。该方法包括，在步骤1000中，由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

图3c示出根据另一个实施例的认证ue的方法的示例。该方法包括，在第一步骤1100中，在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术。在第二步骤中，该方法包括基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

无线接入技术可包括长期演进(lte)、长期演进升级(lte-a)、无线局域网(wlan或wifi)、全球微波互联接入(wimax)、个人通信服务(pcs)、宽带码分多址(wcdma)、使用超宽带(uwb)技术的系统、传感器网络、和移动ad-hoc网(manet)。在以上所描述的方法中，第一网络可以是ran，第二网络可以是wlan。

方法的实施例可包括向第一和/或第二网络提供ue标识信息，例如，向enb提供ue标识信息。ue标识信息可包括媒体访问控制地址、临时用户设备标识信息和伪终端标识信息中的至少一个。临时用户设备标识信息和伪终端标识信息可在第一网络中分配并提供给ue，以用于向第二网络提供。临时用户设备标识信息还可以由第一网络向第二网络请求并经由第一网络提供给ue。

接入信息可包括用于在第二网络中加密、认证和授权的证书。接入信息可包括在第一网络和第二网络之间交换以建立共同标识的密码和用户名。该用户名可附有特定领域。该领域通常被认为是或者与卸载相关联、或者与聚合使用相关联，或者与在其中它被分配的ran/wlan本地相关联。

接入信息可包括诸如wlan提供的密码、wlan识别信息的wlan认证证书，诸如ptid的ran分配的临时ue标识、诸如mac地址或ssid的wlan网络标识、预先共享密钥(psk)、成对主密钥(pmk)等。

接入信息可通过第一网络(例如，ran、接口)传送到ue。

接入信息可用于与第二网络的认证过程中。例如，接入信息可用于可扩展认证协议过程、基于预先共享密钥的认证系统、快速基本服务集转换机制和基于成对主密钥的认证系统中的任何一个。

在实施例中，方法可包括由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

在实施例中，方法可包括在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

该方法可包括由控制第一网络向第二网络请求接入信息。可替换地，或此外，该方法可包括由第一网络分配所述接入信息并向第二网络提供所述接入信息。

例如，可使用eap-ttls(隧道传输层安全性)、eap-peap(受保护的可扩展认证协议)或者任何其它合适的例如，基于使用纯文本用户名、服务器证书和diffie-hellman交换的公钥密码，允许ue与wlan建立安全信道的eap方法建立wlan安全。在一个示例中，一旦已经建立安全信道，ms-chapv2(微软挑战握手认证协议)与可在安全信道内执行以提供用户标识的用户名和密码进行交换。即，eap认证可在第二网络或wlan内本地执行而无需到达运营商aaa机器。

接入信息可包括适用于传统wlan802.1x认证的eap证书。这些证书可由ran节点管理。该证书可向ue和wlan两者提供以用于wlan卸载/聚合。在最简形式中，存在aaa服务器，其认证由ue向wlan提供的证书。ran维持由该aaa服务器使用的证书。该证书可包括用户@域形式的用户名和口令。用户例如可使用ap-ttls/mschapv2认证机制进行认证。域组件用于定位aaa服务器。由于ran能够管理这些证书，因此ran可有效控制ue在wlan中的存在时间。ran还可假定aaa作用和本地管理整个wlan使用。这可不需要wlan网络实体的任何新的发展并能够与当前的wlan网络兼容。证书向wlan识别ue。

在基于预先共享密钥(psk)的认证机制中，ran能够管理用于用户的psk密钥。psk可用于广播支持psk认证的wlan网络中。ran可为每一个授权的ue分配专用psk，并将其与uemac地址相关联。ran可向wlan指示授权的[ue_mac,psk]元组，还可根据其具有的wlan卸载/聚合策略，管理该元组在wlan中的存在时间。

还可使用共享的psk。在这种情况下，最终所有的设备可能学习psk，授权可仅仅基于uemac地址。该模式已经由一些wlan网络支持。ran可能需要在wlan节点(wlanap/wlan控制器/aaa服务器中的一个)中管理这些mac地址。wlan网络可仅支持一个共享的psk，该机制可能需要用户特定psk值。

还可使用基于成对主密钥(pmk)的认证。这在指示支持eap认证的wlan网络中可用。通常，在成功的eap认证之后，pmk根据交换的数据或根据本地密钥生成源(如sim卡)在ue和aaa服务器中本地生成；ue和aaa服务器两者都能够生成相同的密钥。aaa服务器向wlan网络提供ul(上行链路)和dl(下行链路)密钥以与ue建立安全通信。一旦ue得知pmk，只要wlan网络愿意使用该密钥，ue就可使用该psk与相同的ap建立随后的wlan连接。psk是pmk的一种形式。如果ran管理这些用于ue和wlan网络的pmk并向ue和wlan网络提供密钥，则ue可跳过eap认证过程，并通过执行与ap的所谓4次握手来确认密钥所有权。握手在两个方向上使用pmk导出密钥，两个端点都可验证对端具有正确的密钥。pmk密钥可存储在成对主密钥安全关联(pmksa)中，该pmksa由ue和wlan两者在成功的eap认证之后创建。在该情况下，pmksa可基于ran输入来创建。

诸如图3中的方法允许ran和wlan在ran域内保持wlan认证，并且不涉及归属aaa或hss服务器。ran可恢复对wlan使用的完全控制。

相同的wlan网络可用于任何公共wlan接入，如果这样期望的话。卸载业务可在wlan中(基于用户标识中的域)容易识别，并相应地处理。

由于wlan支路是次要承载并且可紧邻现有的lte承载而创建，因此，lte(无线电资源控制)rrc信令可在ue和ran之间使用以向wlan请求证书。在ran和ue之间使用rrc协议。在并置的情况下，由于wlan/3gpp无线控制器可以是单个实体，因此，rrc信令可用于提供证书。在一般情况下，wlan和lte可经由适当的协议进行通信，但是rrc可向ue传送值。

作为一个选项，即使没有处于激活模式(并且具有正在进行的数据传输)，ue可从第一网络接收与第二网络相关联的接入信息，例如，来自3gppran的wlan认证证书。例如，作为3gpp/wlan互通消息传递(在3gpp版本12中标准化)的一部分，ue可接收将要根据该方法使用的wlan证书(以例如优化认证并减少核心网信令)。

诸如以上所描述并在图3的流程图中示出的方法可在承载建立(例如，lte承载建立)期间执行。

在该示例中，在lte承载建立期间，ue可建立lte默认承载。该承载建立可包括来自enb的建立wlan聚合承载的指示和/或ue可向enb请求允许进行相同的操作。作为过程的一部分，ue可向enb提供诸如wlanmac地址的wlan标识符。可替换地，可存在单独的专用信令以建立wlan聚合。enb可以与wlan进行通信，并请求临时证书形式(例如，用户名+密码)的接入信息以用于wlan卸载。作为可选项，enb可创建或分配接入信息，例如，证书，并向wlan提供接入信息(这可需要使用例如3gpp范围或类似等以避免与由wlan创建以例如用于没有sim的设备的证书的冲突)。可替换地，证书可在可接入ran和wlan并可由所创建的证书识别的外部网络单元中创建(例如，经由用户名中的域)。例如，ldap和aaa服务器可一起工作以创建证书、或hss。

证书可向ue提供。ue可使用提供给它的证书运行适当的与wlan的eap认证。eap认证例如可以是eap-ttls/mschapv2套件。wlan认出域，并在wlan中本地认证ue。ue可使用dhcp请求ip地址以用于wlan连接。wlan可将请求关联到lte承载，并提供与在lte承载上使用的相同的ip地址，或者在内部在一些隧道机制在wlan支路上使用的情况下向wlan支路提供lte承载。enb能够使用具有相同的s1端点的wlan支路和lte支路两者。

可替换地，enb可在正在进行通信的期间决定将ue移动到wlan，因此，该方法可在承载建立之外执行。图4示出第一网络内用于ue与第一网络、lte-a和第二网络、wlan连接的消息流。在其中ue在lte中正在进行通信或者建立用于lte通信的无线电资源的情况下，ue可以是lte认证的。

可用于与以上所描述的方法组合的认证过程的示例包括以下步骤。ue连接到enb。可选地，enb可向ue指示监控的wlan网络；同样地，ue可指示来自所监控的wlan网络的信号质量报告。当enb决定与本地wlan节点建立wlan聚合时，enb准备用于用户的mschapv2证书(用户名、口令)并将它们安装到本地aaa服务器。用户名是用户@域的形式。aaa服务器可由用于wlan的用户名的域部分识别。enb向ue命令聚合，向ue提供分配的证书和wlan网络标识(例如，mac地址、ssid(bss服务id))。ue与wlan网络相关联并使用eap-ttls/mschapv2进行认证。wlan网络向由用户名的域部分识别的aaa服务器传播eap认证消息。由于该aaa服务器使用enb管理的用户证书以用于用户认证，因此，enb能够控制认证过程并授权接入。aaa完成与ue的eap认证，并向wlan网络提供pmk。ue在本地导出相同的pmk。ue与enb的通信现在可经由enb支路和wlan支路两者进行承载。由于enb在aaa服务器中管理用户，因此，它可在任何时间将用户从wlan中移除，并强制ue返回到enb。

作为选项，ran可直接或经由mme向wlan网络提供挑战和期望的响应以用作eam-sim/aka/aka′认证的一部分。例如，当ue在3g/lte网络中进行认证时，hss被请求提供多个挑战和响应对。因此，3g/lte网络具有未使用的挑战和响应。3g/lte可向wlan网络提供一组以使wlan网络能够对于所选择的ue执行基于(u)sim的认证而不涉及hss，以及ue/用户标识以使wlan网络能够使用用于特定用户/ue的正确的认证信息。

在实施例中，如果ran决定使用wlan(lte+wlan或将ue移动到wlan)，则ran可请求wlan提供用于ue的密码以使能在wlan中建立安全连接。ran可向wlan共享用户/ue标识。当接入wi-fi网络时，ue识别自身的示例标识可以是ran分配的临时标识(例如，ptid)或mac地址。

ran可向ue传输wlan接入有关的信息，例如，诸如ptid的ran分配的临时用户/ue标识、wlan(提供的)密码、将在wlan接入中使用的ip地址、诸如差分服务代码点(dscp)标记的qos相关信息，以当继续wlan上的已有连接时将在wi-fi接入中使用。ue可连接到wlan。

ue可例如触发接入网查询协议(anqp)查询、wlan管理过程或接入点(ap)探测。从ue到ap的消息可被扩展为包括临时ran分配的用户/ue标识。

在wlanap响应ue之后(如果响应是期望的)，wlanap可通过向ue发送“无值”来启动与ue建立安全连接。此时，wlanap将用户/ue临时标识与使用的密码相关联。

ue和wlanap可使用密码交换消息以根据802.11i建立安全连接。仅具有有效的临时标识的ue和密码能够正确建立安全的无线连接。因为密码和临时标识例如在rrc消息中传送，所以另一个ue能够这样做的机会是不存在的/非常小的。

用于与wlan的enb聚合的认证过程的示例可包括以下步骤。ue连接到enb并提供所拥有的mac地址。可选地，enb可向ue指示监控的wlan网络；同样地，ue可指示来自所监控的wlan网络的信号质量报告。当enb决定与本地wlan节点建立wlan聚合时，enb准备用于wlan的pmk(ul/dl)以及uemac；wlan准备使用该ulpmk接受ue接入。在dl中，使用dlpmk。enb向ue命令聚合以向ue提供pmk和wlan网络标识(例如，mac地址、ssid)。ue与wlan网络相关联，并使用提供的pmk建立安全连接。wlan能够基于mac地址识别ue，并将正确的pmk应用于会话。可以跳过eap认证。ue与enb的通信现在可以经由enb支路和wlan支路两者进行承载。由于enb管理pmk，因此，它可在任何时间从wlan中移除pmk，并强制ue返回到enb。

在该情况下，ue现在可接入wlan而无需执行通常的认证或任何eap消息。连接建立仅使用ran和wlan消息传送，并且除了802.11i消息之外仅需要很少的消息。wi-fi网络功能可使用用户/ue临时标识以使ran能够将lte和wi-fi支路关联到相同的用户/ue。

在其中ran向ue提供(因特网协议)ip地址的情况下，ue可跳过dhcp过程并启动使用所分配的ip地址。

在其中ran向ue提供服务质量(qos)、dscp标记(或类似的qos)细节的情况下，ue应当相应地启动标记上行链路分组，例如，以使能在wlan中的业务优先化/qos机制。

没有向归属运营商aaa/hss网络的接入；所有wlan有关的aaa动作可在wlan/ran内保持。不需要像常规的3gppwlan那样向归属网络进行任何aaa有关的信号传输。这将允许更快的wlan连接建立并简化环境，特别是在集成的lte/wlan节点中。在ran节点本地决定使用wlan。

可替换地或此外，认证可使用wlan/ran接口在ran内发生。在该示例中，不使用本地aaa接口。与ran的通信经由该wlan/ran接口发生，包括认证和授权。如果ran能够经由该接口建立数据，则动作对于wlan也是内部的。

lte承载建立是安全的，相同的安全性可在wlan承载建立上重新使用。

全部数据可经由eps发送。eps可负责计费，因此不存在单独的wlan计费。

wlan承载可以是lte网络(或者其它3gpp网络)的主要部分。它对于ran是本地的而无需来自ran站点的附加外部接口(像aaa)。

3gpp在3gpp版本12中具有规定的wlcp协议以用于多个wlan无线电上的承载。如果多个lte承载会在wlan上聚合，则lte/wlan聚合可使用wlcp协议。

应当理解，图3或图4的流程图中的每一个框和其任何组合可以通过各种方式或它们的组合实现，诸如硬件、软件、固件、一个或多个处理器和/或电路。

以上通过图1至图4描述的实施例可在诸如节点、主机或服务器的装置上、或者在单元、模块等中实现以提供如图5中所示的控制功能、或者在诸如图2中的移动设备上(或移动设备中的单元、模块中)提供控制功能。图5示出了这种装置的示例。在一些实施例中，基站包括用于执行控制功能的单独的单元或模块。在其它实施例中，控制功能可由诸如无线网络控制器或频谱控制器的另一个网络元件提供。装置300可被布置为提供对系统的服务区域中的通信的控制。装置300包括至少一个存储器301、至少一个数据处理单元302、303和输入/输出接口304。经由该接口控制装置可耦合到基站的接收器和发射器。接收器和/或发射器可被实现为无线前端或远端射频头。

例如，装置300的示例可以被配置为执行适当的软件代码以提供控制功能。控制功能可包括控制在用户设备处接收来自第一网络的接入信息中的至少一个，所述接入信息与第二网络相关联。

装置300的示例可被配置为执行适当的软件代码以提供控制功能。控制功能可包括：第一和第二网络使用不同的无线接入技术并使用所述接入信息与第二网络进行通信；由第一网络向用户设备提供与第二网络相关联的接入信息，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

装置300的示例可被配置为执行适当的软件代码以提供控制功能。控制功能可包括：在第二网络处检测与第二网络进行通信的用户设备，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络。

图6中示出的装置600的示例包括用于控制在用户设备处接收来自第一网络的接入信息的装置610，所述接入信息与第二网络相关联，第一和第二网络使用不同的无线接入技术；以及用于使用所述接入信息与第二网络进行通信的装置620。

图7中示出的装置700的示例包括用于由第一网络向用户设备提供与第二网络相关联的接入信息的装置710，所述接入信息用于与第二网络进行通信，所述第一和第二网络使用不同的无线接入技术。

图8中示出的装置800的示例包括用于在第二网络处检测与第二网络进行通信的用户设备的装置810，所述用户设备被第一网络认证，第一和第二网络使用不同的无线接入技术；以及用于基于在与第一网络的用户设备认证中使用的接入信息，允许用户设备接入第二网络的装置820。

应当理解，装置可包括或被耦合到其它单元或模块等，诸如被用于或以用于发射和/或接收的无线部分或射频头。尽管装置已经被描述为一个实体，但是可在一个或多个物理或逻辑实体中实现不同的模块和存储器。

应当注意，尽管实施例已经针对lte描述，类似的原理可以应用于任何其它通信系统或无线接入技术，诸如5g。实施例通常可应用于使用授权或非授权频谱的接入系统。ran分配的信息可用于优化uewlan接入，无论数据分组如何处理(尽管lte/wlan集成/聚合被用为示例)。根据实施例的wlan认证可被执行而无需使用载波聚合/在第一和第二网络之间的双连接。因此，尽管某些实施例以示例的方式参考某些无线网络、技术和标准的示例架构在上面被描述，但实施例可应用于任何其它适用的除了在本文中所描述和说明的通信系统之外的形式。

还应当在此注意，尽管在上面描述了示例实施例，但还存在可对所公开的解决方案在不背离本发明的范围下进行一些变换和修改。

通常，各种实施例可在硬件或专用电路、软件、逻辑或任何其组合中实现。本发明的一些方面可在硬件中实现，其它方面可在固件或可由控制器、微处理器或其它计算设备执行的软件中实现，尽管本发明不限制于此。尽管本发明的各个方面可被说明和描述为框图、流程图、或者使用一些其它图形表示，应当很好的理解，在本文中描述的这些框、装置、系统、技术或方法可以在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或一些其组合中作为非限制性示例实现。

以上通过图1至图5描述的实施例可通过可由数据处理器、诸如基站(例如，enb或ue)的至少一个数据处理单元或者处理设备执行的计算机软件，例如在处理器实体中、或者通过硬件、或者通过硬件和软件的组合实现。计算机软件或程序也称为程序产品，包括软件例程、小程序和/或宏，可以存储在任何装置可读数据存储介质或分布介质中并且它们包括执行特定任务的程序指令。装置可读数据存储介质或分布介质可以是非暂时性介质。计算机程序产品可包括一个或多个计算机可执行组件，其当程序运行时被配置为执行实施例。一个或多个计算机可执行组件可以是至少一个软件代码或它的一部分。

进一步就此而言，应当注意，任何如附图中的逻辑流的框可表示程序步骤，或者互连的逻辑电路、块和功能、或者程序步骤和逻辑电路、块和功能的组合。软件可以存储在如存储器芯片的物理介质、或者在处理器内实现的存储块、诸如硬盘或软盘的磁性介质、和诸如例如dvd及其数据变体、cd的光学介质上。物理介质是非暂时性介质。

存储器可以是任何适用于本地技术环境的类型并且可使用任何适用的数据存储技术实现，诸如基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。数据处理器可以是任何适用于本地技术环境的类型，并且可包括一个或多个通用计算机、专用计算机、微处理器、数字信号处理器(dsp)、专用集成电路(asic)、fpga、基于多核处理器架构的门级电路和处理器，作为非限制性示例。

上面针对图1至图5描述的实施例可以在诸如集成电路模块的各种组件中实践。集成电路的设计大体上是一个高度自动化的过程。复杂而强大的软件工具可用于将逻辑级设计转换为半导体电路设计以备在半导体衬底上蚀刻并成形。

前面的描述已经通过非限制性示例提供本发明的示例性实施例的完整而详尽的描述。然而，当结合附图和所附的权利要求阅读时，鉴于前面的描述各种修改和改变对本领域技术人员将变得显而易见。然而，本发明的所有这种或类似的修改的教导仍将落入所附权利要求限定的本发明的保护范围内。确实存在包括具有其它先前所讨论的实施例中的任何一个的一个或多个实施例的组合的进一步的实施例。