包括蜂窝接入网络节点的标识符的网络接入标识符的制作方法

背景技术：

诸如计算机、手持设备或其他类型设备的设备可以通过有线或无线网络进行通信。无线网络可以包括蜂窝网络，蜂窝网络包括小区和相关联的蜂窝接入网络节点。小区内的无线设备可以连接到对应的蜂窝接入网络节点，以允许设备与其他设备进行通信。

另一类型的无线网络是无线局域网(wlan)，无线局域网包括能够与设备进行无线连接的无线接入点。

附图说明

关于以下附图描述了一些实施方式。

图1a和1b是可以结合根据一些实施方式的技术或机制的示例网络配置的示意图。

图2是根据一些实施方式的示例认证过程的消息流程图。

图3是根据另外的实施方式的另一示例过程的消息流程图。

图4a和4b是根据另外的实施方式用于在用户设备(ue)和归属订户服务器(hss)之间路由认证消息的示例配置的框图。

图5是根据一些实施方式的蜂窝接入网络节点和控制节点之间的示例过程的消息流程图。

图6是根据一些实施方式的密钥导出函数的框图。

图7a-7b是根据一些实施方式的示例蜂窝附着和安全建立过程的消息流程图。

图8是根据一些实施方式的密钥导出函数的序列的框图。

图9和图10是根据一些实施方式的无线局域网中的蜂窝接入网络节点中的示例协议层的框图。

图11是根据一些实施方式的示例系统的框图。

具体实施方式

图1a示出了包括蜂窝网络102和无线局域网(wlan)104的示例网络配置。图1a还示出处于蜂窝网络102和wlan104两者的覆盖区域内的位置处的用户设备(ue)106。ue106可以是能够与不同类型的无线接入网络进行通信的双模式ue(或者更一般地，多模式ue)，无线接入网络在图1a的示例中包括蜂窝网络102和wlan104。

ue可以指代以下任何一个：计算机(例如台式计算机、笔记本电脑、平板电脑、服务器计算机等)、手持设备(例如个人数字助理、智能手机等)、可穿戴在人身上的可穿戴设备、嵌入在车辆或设备中的计算机、存储设备、通信节点等等。

蜂窝网络102可以根据由第三代合作伙伴计划(3gpp)提供的长期演进(lte)标准(或其他标准)来操作。lte标准还被称为演进通用陆地无线接入(e-utra)标准。虽然在随后的讨论中参考了lte或e-utra，但是应该注意的是，根据一些实施方式的技术或机制可被应用到其它无线接入技术，诸如5g(第五代)技术。

蜂窝网络102包括蜂窝接入网络节点108，蜂窝接入网络节点108能够通过蜂窝无线电链路109与移动设备106进行无线通信。尽管在图1a中仅描绘了一个蜂窝接入网络节点，但应注意的是，蜂窝网络102可包括对应于蜂窝网络102的相应小区的多个蜂窝接入网络节点。小区可以指由相应的蜂窝接入网络节点提供的覆盖区域。ue可以在小区之间移动并连接到相应的蜂窝接入网络节点。

在e-utra网络中，无线接入网络节点108可以实现为e-utrannodeb(enb)，包括基站和基站控制器的功能。在随后的讨论中，蜂窝接入网络节点108也可互换地称为enb108。尽管在随后的讨论中参考了enb，但是应该注意，根据本公开的技术或机制可以与根据其他协议操作的其他类型的蜂窝接入网络节点一起应用。

蜂窝网络102还包括核心网络，核心网络包括各种核心网络节点。作为示例，在演进分组系统(eps)蜂窝网络中，核心网络节点可以包括服务网关(sgw)110和分组数据网络网关(pdn-gw)112。pdn-gw112是用于在e-utra网络中的ue与分组数据网络(pdn)114(例如因特网或另一网络)之间传送的数据的入口点和出口点。sgw110在menb108和pdn-gw112之间路由和转发ue的业务数据分组。sgw110还可以在切换过程期间充当用户面的移动锚点。

在演进的分组系统中，核心网络节点还可以包括被称为移动性管理实体(mme)116的控制节点。mme116是用于执行与e-utra网络相关联的各种控制任务的控制节点。例如，mme116可以执行空闲模式的移动设备跟踪和寻呼、承载激活和去激活、当移动设备初始附着到e-utra网络时对服务网关的选择、ue在enb之间的切换、用户的认证、向移动设备生成和分配临时标识等。在其他示例中，mme116可以执行其他或备选的任务。

核心网络节点还可以包括归属订户服务器(hss)118，归属订户服务器(hss)118是包含订阅相关信息(订户简档)的主用户数据库，并且在执行用户的认证和授权时使用，以及可以提供关于用户的位置和当前正在处理用户的核心网络实体的信息。

当连接到蜂窝接入网络节点108时，ue106能够与其他设备通信，所述其他设备可以连接到蜂窝网络102或可以连接到包括有线和/或无线网络的其他网络。

wlan104包括无线接入点(ap)110。ue106可以通过wlan无线电链路111与无线ap110进行通信。尽管在图1a中仅描绘了一个无线ap，但是注意到，wlan104可以包括提供相应覆盖区域的多个无线ap。在一些实施方式中，wlan104可以根据电气和电子工程师协会(ieee)802.11标准进行操作。注意，根据802.11标准操作的wlan104也可以被称为wi-fi网络。在其他示例中，wlan104可以按照不同的标准操作。值得注意的是，ieee802.11也支持终端设备之间(例如移动设备之间)的直接通信。这种直接通信(不通过任何ap)可以被称为wlan直接通信或wi-fi直接通信。

wlan104可以可选地连接到认证、授权和计费aaa服务器120。aaa服务器用来进行接入控制，其中使用认证来识别用户，使用授权来实现确定用户可以接入哪些网络资源和服务的策略，以及使用计费来跟踪用于记账和分析目的的资源。aaa服务器可以指代提供aaa服务器的服务的节点或节点集合，或者备选地，aaa服务器可以指代提供aaa服务器的服务的机器可读指令。

在许可频谱中提供蜂窝网络的蜂窝网络运营商已经快要没有新频谱可购买，而可用频谱获得许可可能是高成本的。因此，蜂窝网络运营商正在寻求通过将一部分用户面业务卸载到wlan来扩展蜂窝网络容量的方法。这样，ue可以同时连接到蜂窝网络和wlan。将wlan集成到lte蜂窝网络中被称为lte-wlan聚合。利用lte-wlan聚合，用户面业务可以由ue经由wlan发送到enb，并且用户面业务可以由ue经由wlan从enb接收。

在诸如图1a所示的lte-wlan聚合架构中，enb108可以被称为主enb(menb)，而wlan104中的ap110可以被认为是提供小蜂窝，menb108可以向该小型小区卸载用户面业务的一部分。

图1a示出了ap110通过链路122连接到menb108的架构。图1b示出了lte-wlan聚合架构的备选示例配置，其中多个wlanap110(其是wlan128的一部分)通过相应链路130连接到wlan网关132，wlan网关132进而通过链路134连接到menb108。

传统上，wlan和蜂窝网络可以分别执行它们各自的认证过程，以分别对试图接入wlan或蜂窝网络的ue的用户进行认证。wlan使用的认证过程通常不同于蜂窝网络使用的认证过程。如果采用lte-wlan聚合，则可能会出现与执行认证过程相关的各种问题。

在随后的讨论中，注意到“认证过程”可以只包括认证任务，或认证和授权任务两者。认证通常是指对试图接入网络的ue或ue的用户进行认证。在随后的讨论中，参考“对ue进行认证”。需要说明的是，对ue进行认证可以是指对ue的身份进行认证，也可以是对ue的用户的身份进行认证。授权可以指代实现确定ue或ue的用户可以接入哪些网络资源和服务的策略。

在某些情况下，可能需要在lte-wlan聚合的背景下使用wlan认证过程。与在lte-wlan聚合的背景中使用wlan认证过程相关联的第一个问题(称为“问题1”)在于：用于执行认证过程的核心网络信令可能必须从wlan通过enb路由到核心网络的蜂窝网络。在某些情况下，如图1a和1b所示，从wlan到核心网络的唯一接口是通过enb(例如menb108)。指定进入核心网络的唯一接口是经由menb允许所谓的“一个网络”操作，其中使用单个核心网络来支持和传送(lte蜂窝网络的)许可频谱和(wlan的)非许可频谱上的业务。

第二个问题(称为“问题2”)在于：在一些情况下，wlan可以连接到aaa服务器(例如，图1a中的aaa服务器120)，而在其他情况下，wlan可能没有连接到aaa服务器。在wlan连接到aaa服务器的情况下，可以采用使用aaa服务器的常规wlan认证过程。但是，在wlan没有连接到aaa服务器的情况下，则可以通过menb执行认证过程。因此，根据通信网络的具体配置，不同的运营商可以指定不同的认证过程。因此，问题2涉及如何通知ue使用哪个认证过程。

第三个问题(称为“问题3”)在于：希望在认证过程信令通过menb进行路由的情况下，在添加ue与wlan之间的连接性时，通过避免用于认证过程的与核心网络的额外交互来减少过多的信令开销。对于问题3，希望用于认证过程的与lte核心网络的交互仅在ue附着到蜂窝网络时发生，而不发生在ue附着到wlan时。

根据本公开的一些实施方式，提供了各种解决方案来解决一个或多个前述问题。

从wlan向menb路由认证消息

根据一些实施方式，修改网络接入标识符(nai)以包括蜂窝接入网络节点(例如，enb)的标识符，使得wlan节点(诸如wlanap或wlan网关)向特定的enb(而不是aaa服务器)发送认证消息。nai指代用于识别请求接入网络的用户的标识符。nai在2015年5月的名为“网络接入标识符”的请求评论(rfc)7542中进行了描述。

传统上，nai的目的是允许wlan确定要向哪个aaa服务器发送认证消息。nai的另一个目的是识别请求认证和授权的用户(订户)。

根据本公开的一些实施方式，wlan节点可以使用修改的nai(其包括enb的标识符)来(从多个enb中)选择一个enb以发送认证消息。如上所述，enb的标识符可以是用于识别小区的小区标识符或用于识别enb的enb标识符(或者更一般地，蜂窝接入网络节点的标识符)。“标识符”可以指任何字母数字字符串、代码或可以用于识别实体的任何其他信息，例如上面提到的小区或蜂窝接入网络节点。

图2是示出由各种节点执行的消息和任务的消息流程图，各种节点包括ue106、wlan节点202(例如，ap110或wlan网关132)和menb108。根据图2，为了执行认证，ue106可以根据可扩展认证协议(eap)与wlan节点202交换消息，所述eap是支持被称为eap技术的多种认证技术的认证框架。eap在2004年6月发布的标题为“可扩展认证协议(eap)”的rfc3748中进行了描述。尽管在一些示例中对eap进行了引用，但是应该注意的是，在其他示例中，ue106和wlan节点202之间的认证消息可以是根据其他认证防议。

ue106向wlan节点202发送(在204)基于局域网的eap(eapol)-开始消息。eapol-开始消息是发送到多播组的多播消息，ue106使用该多播消息来确定是否存在认证者(更具体地，可以作为认证者操作的wlan节点202)。响应于eapol-开始消息，wlan节点202向ue106发送(在206)eap-请求/标识消息。eap-请求消息的标识字符串包含wlan节点202的标识。

响应于eap-请求/标识消息，ue106发送(在208)eap响应/标识消息，其中eap响应/标识消息中的标识字符串可以包括根据上面讨论的一些实施方式的修改的nai。可以包含在eap-响应消息的标识字符串中的nai示例如下：

user@menb1.o2.co.uk。

在上面的示例nai中，“user”可以是用于识别ue106的用户(订户)的国际移动订户标识(imsi)。在其他示例中，可以采用其他用户标识符。字符串“o2.co.uk”标识操作蜂窝网络的蜂窝运营商的域(例如，o2)，而nai中的字符串“menb1”标识特定的enb或特定的enb的小区，在这种情况下是menb108。在另一个示例中，标识蜂窝网络运营商的域的字符串可以如在3gppts23.003中所描述的，并且可以采取例如wlan.mnc015.mcc234.3gppnetwork.org的形式，其中该字符串的mnc015.mcc234部分提供对移动网络代码为015、移动国家代码为234的蜂窝运营商订阅提供商的引用。

如在3gppts23.003中所描述的，nai还可以包括附加的字符串(这里称为auth_type)，以向wlan指示要执行的认证的类型。例如，如果在nai的开始处放置“0”，则这表示将使用eap-aka认证，而“1”表示将使用eap-sim认证。附加的字符串可以被添加到nai以指示wlan预期与其他网络单元交互以便完成认证过程的方法，以及具体地认证消息是在wlan和蜂窝接入节点之间还是在wlan和aaa服务器之间传送。备选地，可以定义3gppts23.003中描述的现有认证类型标识字符串的新值，以指示eap方法的类型以及用于在wlan与其他网络节点之间传送认证消息的方法的类型。尽管提供了具体示例nai，但是应注意，在其他示例中，可以采用根据其他格式的nai，其中根据这种其他格式的这种nai还可以包括蜂窝接入网络节点(诸如menb108)的标识符。

在eap响应消息中接收到标识字符串后，wlan节点202解析(在210)该标识字符串以识别将被用于执行认证过程的enb。在根据图2的示例中，所识别的enb是menb108。

wlan节点202随后向所识别的menb108发送(在212)认证消息。由wlan节点202向menb108发送的认证消息可以包括标识字符串，该标识字符串可以是由wlan节点202接收的nai，或者备选地，可以是nai的修改版本(例如移除子字符串menb1)。在一些实施方式中，所发送的认证消息(在212)可以根据协议来执行认证和授权。在一些示例中，这种协议可以是远程认证拨入用户服务(radius)协议，该协议是用于为连接和使用网络服务的用户提供aaa管理的联网协议。radius在2000年6月发布的标题为“远程认证拨入用户服务(radius)”的rfc2865中进行了描述。在其他示例中，认证消息(在212处发送)可以根据diameter基础协议，如2012年10月发布的标题为“diameter基础协议”的rfc6733中所述。在进一步的示例中，可以采用其他认证协议。

响应于接收到在212发送的认证消息，menb108可以响应于认证消息而自主地执行认证，或者备选地，menb108可以充当认证代理并且包括用于执行认证过程的认证服务器(诸如在图1a中所示的hss118)。认证质询可以基于认证消息中的nai而发布。

响应于在212发送的认证消息，menb108向wlan节点202发送(在214)认证质询。在一些示例中，认证质询是根据radius协议的radius接入-质询消息。在其他示例中，认证质询可以根据不同的协议，例如diameter基础协议或其他协议。更一般地，认证质询可以指代为了引起来自目标节点的响应而发送的任何消息，其中该响应被用于认证目标节点。

响应于认证质询(在214处发送的)，wlan节点202向ue106发送(在216)认证质询，其中该认证质询可以是eap-请求/质询消息。

ue106通过发送(在218)认证质询响应来对认证质询进行响应，在一些示例中，认证质询响应可以是eap-响应/质询消息。响应于认证质询响应，wlan节点202向menb108发送(在220)认证质询响应。在一些示例中，wlan节点202向menb108发送的认证质询响应可以是radius接入-请求(质询响应)消息，或者可以是根据不同协议的消息。

响应于来自wlan节点202的认证质询响应，menb108向wlan节点202发送(在222)接入接受。在一些示例中，该接入接受可以是radius接入-接受消息，或者是根据不同协议的接入接受。

响应于从menb108接收到接入接受消息，wlan节点202指示(在224)ue106被认证，并且wlan的接入被授权给ue106。此时，wlan打开wlan的802.1x受控端口，其效果是使除了仅eap消息之外的业务(包括例如ip业务)能够在ue和蜂窝网络之间传送。作为响应，wlan节点202发送成功指示(在226处)，诸如eap-成功消息或某个其他消息。可以在ue106和wlan节点202之间执行消息的进一步交换(在228处)，以生成加密密钥。

有多种方式可以在ue106处获得enb的标识符。作为示例，可以执行以下的任何或一些组合：

·ue基于诸如小区id、公共陆地移动网络(plmn)id等的其他网络标识符来导出enb标识符(id)。

·enb导出标识wlan节点和enb之间的可路由路径的id，并且例如通过使用专用无线资源控制(rrc)消息来将导出的id传送给ue。

·为了在系统信息广播消息中的wlan聚合的目的，enb发信号通知可路由enbid。

在其他示例中，可以使用导出enb的标识符的其他技术。

以下提供了根据本公开的修改的nai的示例，其中在每个示例nai中enb的标识符带有下划线。

例如，可以指定两种类型的nai，如3gppts23.003中所述。第一类型的nai是根nai，而第二类型的nai是修饰nai。

根nai是ue在可直接接入用户的归属订阅提供商的aaa服务器的网络上尝试认证时使用的nai的类型。根nai可以有以下形式：username@realm，其中username可以从imsi导出，realm可以从订阅提供商的移动网络代码(mnc)和移动国家代码(mcc)(它们共同提供plmn代码)导出。

如果认证消息(例如，eap消息)必须经由不同于用户的归属订阅提供商的aaa服务器的另一aaa服务器(在“otherrealm”中)来路由，则使用修饰nai。举例来说，ue可以在访问plmn(vplmn)中漫游，并且想要使用由vplmn提供的wlan服务；结果，去往aaa服务器的认证消息必须首先被路由到vplmn，然后被路由到归属plmn(hplmn)。修饰nai可以具有如下形式：homerealm！username@otherrealm。

下面列出了修改后的nai的各种选项。

选项1(根nai域(realm)包括小区id)

根据选项1，包含在根nai中的enb的标识符(带下划线的文本)是小区id。下面提出这样的根nai的示例：

auth_type<identity_desc>@wlan.cellid523768193.mnc015.mcc234.3gppnetwork.org

在该根nai中，带下划线的文本是ue连接到的menb的小区的小区id。小区id(示例中的cellid523768193)被添加到根nai的nai域，其中在这个示例中的nai域是@符号后面的字符串的部分。当相对于特定的plmn码引用时，小区id是全球唯一的。wlan节点例如可以在该域上执行查找以获取menb的ip地址。例如，查找可以是dns服务器上的域名系统(dns)查找。备选地，查找可以是在wlan节点处静态配置的表。如果enb提供多个小区，请注意，这些多个小区的所有小区id可能预期会导致解析为相同(enb)ip地址的域。

在只有仅与一个plmn相关联的enb附着到wlan的情况下，mnc/mcc可能不必包括在nai中。但是，为了覆盖wlan网络共享场景的可能性，建议在一些实施方式中将mnc/mcc保留在nai中。

选项2(根nai域包括enb标识符)

根据选项2，包含在根nai中的enb的标识符(带下划线的文本)是enbid。下面提出这样的根nai的示例：

auth_type<identity_desc>@wlan.enbid83456789.mnc015.mcc234.3gppnetwork.org

在该根nai中，带下划线的文本是唯一标识enb的enbid(在该示例中为enbid83456789)，并被包括在根nai的域中。在一些示例中，enbid可以由enb使用rrc消息(或其它消息)提供给ue。enbid可以由enb导出；例如enb标识符可以被设置为enb中任意选择的扇区的小区id。enbid可以包括能够唯一地标识enb的任何id，用于将aaa消息从wlan节点向enb进行ip路由的目的。可能的是，可以从将enb连接到wlan的ip网络上的enb的ip地址导出enbid。注意，这样的enbid当前不在常规e-utran通信中使用，因此可以在rrc消息或其他消息中被指定为附加信息单元(ie)。

选项3(修饰nai域包括小区id)

如果ue正在vplmn上进行蜂窝漫游，则可以使用修饰nai(例如，对于vplmn中的menb必须将该eap消息转发到hplmn上的aaa服务器的情况，例如在下文“作为验证代理的menb”一节中进一步讨论的，menb充当认证代理的解决方案中)。修饰nai包括2个域，出现在字符串中的第一域是归属网络订阅提供商的域，出现在字符串中的第二域是aaa消息将通过其路由的运营商的域。

下面提供了包括小区id(带下划线的文本)的根据选项3的修饰nai的示例。

wlan.mnc015.mcc234.3gppnetwork.org！auth_type<identity_desc>@wlan.cellid523768193.mnc071.mcc610.3gppnetwork.org。

选项4(修饰nai域包括enbid)

下面提供了包含enbid(带下划线的文本)的根据选项4的修饰nai的示例：

wlan.mnc015.mcc234.3gppnetwork.org！auth_type<identity_desc>@wlan.enbid83456789.mnc071.mcc610.3gppnetwork.org

用于发信号通知ue标识的选项

在根据选项1-4的上述示例nai中的每一个nai中，“identity_desc”字符串表示对应于ue的标识符。标识符的示例可以包括以下内容：

·lte核心网络已知的标识，如：

о国际移动订户标识(imsi)，其是与ue相关联的用户或订户的标识符，或者

о全球唯一临时标识符(guti)，其是为了标识ue而生成的临时标识符。

·lteenb已知的标识(称为“无线电接入网络标识”)，诸如：

о无线电网络临时标识(rnti)，其是由无线电接入网络在rrc消息中分配给ue的ue的临时标识符，或者

оwlanmac地址，其标识ue的wlan接口，并且可以在蜂窝附着期间在ue和enb之间交换。

在其他示例中，可以采用对应于ue的其他标识符。

由于在此描述的一些解决方案中，enb能够自主地(不接入hss/aaa服务器或核心网络)处理认证过程，因此使用无线电接入网络标识(例如，rnti或mac地址)是可能的。另外，enb可能能够将rnti或mac地址映射到核心网络标识。由于隐私原因，可以使用临时标识。

在针对lte-wlan聚合配置ue的过程期间，可以由menb使用rrc消息(例如rrc连接重配置“rrcconnectionreconfiguration”命令)向ue提供“identity_desc”字符串(表示对应于ue的标识符)以及可选的新的enb_identifier(enb的标识符)，如图3所示。

在图3中，ue106发送(在302)测量结果，测量结果包括由各种无线接入节点(诸如menb108和wlanap110)发送的信号的测量。所述测量结果被发送到menb108，并且可以指示可以执行lte-wlan聚合(例如，由ue测量的来自wlanap110的信号的强度或功率高于指定的阈值)。

响应于确定可以执行lte-wlan聚合，menb108向ue106发送(在304)控制消息，其中控制消息包括要包含在用于eap认证的标识字符串中的enb_identifier，如上面结合图2所讨论的。在一些示例中，控制消息(在304处发送的)可以包括rrc连接重配置“rrcconnectionreconfiguration”命令。

图3中所示的另外的消息306、308和310分别对应于图2中的消息204、206和208。在310处发送的eap-响应/标识消息中，标识字符串包括由menb108在304发送的rrc连接重配置“rrcconnectionreconfiguration”命令中发送的enb_identifier。

在一些示例中，可以对3gppts36.331做出以下改变(改变带有下划线)。

rrc连接重配置“rrcconnectionreconfiguration”

rrc连接重配置消息是修改rrc连接的命令。它可以传送以下信息：测量配置、移动性控制、无线电资源配置(包括资源块(rb)、mac主配置和物理信道配置)以及任何相关联的专用非接入层(nas)信息和安全配置。

信令无线电承载：srb1

rlc-sap：am

逻辑信道dcch

方向：e-utran到ue

网络提供的使用wlan-lte聚合类型认证的指示

在一些实施方式中，为了解决以上进一步讨论的问题2，网络(诸如menb108)可以向ue提供关于如下的指示：当ue在lte-wlan聚合模式中工作时，ue应使用多个认证过程中的哪个过程来获得对wlan资源的接入。

ue可以在使用第一类型认证过程和第二类型认证过程之间进行选择，第一类型认证过程中，认证消息在wlan节点和蜂窝接入网络节点(例如menb108)之间进行路由，在第二类型认证过程中，认证消息在wlan节点和aaa服务器(例如，图1a中的120)之间进行路由。

第一类型认证过程可以包括这里讨论的各种技术中的任何一种，包括使用如上所述的修改的nai(其包括enb的标识符)，和/或生成和使用密钥，如下面进一步讨论的。

第二类型认证过程是在wlan节点和aaa服务器之间的传统认证程序(例如来自wi-fi联盟的wi-fi保护接入(wpa2))以获得对wlan资源的接入。

在一些示例实施方式中，可以由网络使用rrc消息来通知ue该ue应当应用的认证过程的类型。

要使用的认证过程的类型的指示可以是显式的。这种显式的指示可以包括在rrcconnectionreconfiguration命令中，该命令可以用于配置对基于wlan的小型小区的使用。

例如，可以将以下信息单元(ie)添加到rrcconnectionreconfiguration命令中：

wlanauthenticationtypeie(枚举值：aaa路由，enb路由，...)

如果wlanauthenticationtypeie被设置为值“enb路由”，则采用第一类型认证过程。另一方面，如果wlanauthenticationtypeie被设置为值“aaa路由”，则使用第二类型认证过程。

在备选实施方式中，使用第一类型认证过程的指示可以是隐式指示，其可以使用在针对wlan配置使用的rrcconnectionreconfiguration消息中的enbid(例如，上面讨论的enb_identifier)的信令(或者隐式地通过enbid的存在)来提供。由于这样的enbid只是为了构建包括enbid的nai而被提供给ue，所以enbid的存在隐式地指示了第一类型认证过程的使用。

上述指示要使用的认证过程类型的信令是使得：ue知道哪种类型的认证过程与哪个wlan一起使用，其中wlan类型可以例如使用服务集标识(ssid)或基础ssid(bssid)来表示。

在menb处处理认证消息

以下描述用于在menb108处理来自ue的认证消息(诸如eap消息)的示例技术或机制。

在第一类型的解决方案中，menb108充当认证代理。

在第二类型的解决方案中，menb108充当自主认证服务器。

menb充当认证代理

此解决方案解决问题1，但不解决问题3。

如以上结合图2所讨论的，响应于来自ue的eap消息，wlan节点(例如，图2中的wlan节点202)向menb108发送认证消息。响应于从wlan节点202接收到认证消息，充当认证代理的menb在执行ue的认证中涉及核心网络(以及最终在图1中的hss118)，并且任何认证信令(例如，aaa信令)将在ue和hss118之间延伸。

传统上，aaa信令在wlan节点和aaa服务器之间传送。在本公开的一些实施方式中，经由menb108对aaa信令进行路由。

在图4a和4b中分别示出了用于在ue106和hss118之间经由menb108对认证消息进行路由的不同选项。

在图4a中，通过wlan104、充当aaa代理的menb108和3gppaaa服务器402在ue106和hss118之间对认证消息进行路由。在图4a的选项中，提供了核心网络中menb108与3gppaaa服务器402之间的连接。

在图4b中，通过wlan104、menb108、mme116和3gppaaa服务器402在ue106和hss118之间对认证消息进行路由。

一旦从ue106接收到包含标识字符串的eap-请求，menb108就向3gppaaa服务器402(图4a)或向mme116(图4b)发送认证消息。为了认证ue106，hss118使用对应于ue106的标识符。如上所述，与ue对应的该标识符可以是在nai的“identity_desc”字符串中提供的imsi，或者备选地，如果在nai中使用无线电接入网络标识(例如上面讨论的rnti或mac地址)，则menb108用诸如imsi的核心网络标识替换该无线电接入网络标识。menb108可以确定图4a的系统架构中的正确的3gppaaa服务器的ip地址的一种方式是通过使用nai域中标识蜂窝网络运营商的一部分来执行dns查找。

如上所述，取决于ue106是否在蜂窝漫游，可以使用根nai或修饰nai。如果ue106不在蜂窝漫游，则使用根nai；当ue106在蜂窝漫游时使用修饰nai。如果消息必须首先通过vplmn中的aaa服务器，然后到达hplmn中的aaa服务器(在图4a或4b中没有示出两个aaa服务器的情况)，则修饰nai可能是合适的。nai中包括enb的标识符(例如，小区id或enbid)的部分可以由menb108去除。

如果使用图4b的选项，则eap消息可潜在地在消息所包括的透明容器中被转发到mme116，该消息例如是从menb108向mme116发送(在502)的ue-wlan聚合id消息，如图5所示。ue-wlan聚合id可以是ue的用户的imsi或者与ue106对应的任何其他标识符。

然后，mme116可以将eap消息解包并且将解包的eap消息转发给适当的aaa服务器(例如，图4b中的402)。eap消息内的nai可以具有足够的信息以便mme116确定应该将解包的eap消息(例如，如上所述的没有enb的标识符的传统形式的nai)转发给哪个aaa服务器。

响应于ue-wlan聚合id消息，mme116向menb108发送(在504)ue-wlan聚合质询，其中ue-wlan聚合质询可能已经由hss118或aaa服务器402发出。ue-wlan聚合质询消息包含质询向量。

在无线电接入网络(ran)共享场景中，可能存在连接到menb108的多个mme(在不同的plmn中)。为了支持这种场景，menb108可能必须读取nai以确定哪个mme要转发eap消息(假定imsi被用作identity_desc)。另一方面，如果无线电接入网络标识被用作nai中的identity_desc(上面讨论的示例)，或者如果eap消息到达与特定用户相关联的x2-ap消息，则menb108可以进行表查找以确定哪个特定的mme(即哪个s1-c链路)应该用于转发透明容器。

下面描述如图5所示的对于3gppts36.413的示例性改变，以启用menb108与mme116之间的信令。

uewlan-聚合认证消息

ue-wlan聚合id

ue-wlan聚合id消息(如下表所示)由menb发送，用于请求mme发送要发送给ue的eap质询响应的对应质询向量。方向是enb→mme。

ue-wlan聚合质询

ue-wlan聚合质询消息(如下表所示)由mme发送，用于在eap交换期间发送用于质询ue的ie以进行wlan认证。所述方向是mme→enb。

menb自主处理eap消息

以上讨论了menb108用作认证代理的第一类型的解决方案。以下讨论menb108用作自主认证服务器的第二类型的解决方案。

第二类型的解决方案解决了问题1和问题2。

对于第二类型的解决方案，假设menb108获得密钥kwlan(下面讨论)。在分级上，该密钥可以处于与在mme116处生成的kenb相同的安全级别。mme116使用作为nas消息的计数器的nas上行链路计数来生成kenb。

可以使menb108知道密钥kwlan。密钥kwlan可以由menb108和ue106两者用于执行wlaneap认证/授权质询以及计算用于加密和完整性保护的wlan专用密钥。

menb108生成kwlan或者从mme116向其提供kwlan。ue106能够从存储在ue106的通用订户标识模块(usim)上的主密钥k生成kwlan。

如图6所示，可以通过使用密钥导出函数(kdf)602，以与kenb的生成类似的方式来生成密钥kwlan。kdf602接收两个输入：(1)输入密钥(图6中的kasme)，通常是秘密值，该秘密值不离开已知或者导出密钥的安全域；(2)输入字符串(图6中的input_string1)，它可能是也可能不是秘密的，并且可以使用预定的一组参数或值来构建。

在生成kwlan中使用的input_string1可以被存储并被转发到ue106，以使得ue106也能够生成kwlan(注意，另一输入kasme可以由ue106生成)。

在一些实施方式中，可以使用服务网络标识(snid)来确定kasme(kasme是eps会话主密钥)。

作为示例，input_string1可以是由mme116生成的随机数，并且随后在ue106的附着过程期间(例如，通过将该随机数包括在从mme116向ue106发送的认证请求消息中)将该随机数发送给ue106。认证请求消息在3gppts24.301中描述。备选地，input_string1可以是ue106和menb116都知道的并且可以改变的值。这样的值将不必发信号通知给ue。这样的值的示例是rrc消息计数器。

下面带下划线的文本可以被添加到3gppts33.401以支持以上内容，其中fc是密钥导出函数的特定变体的标识符。

附件a(规范)：

密钥导出函数

a.1kdf接口和输入参数构建

…

a.16在mme处导出kwlan

该输入字符串在mme和ue从kasme导出kwlan以用于wlan聚合时使用。应使用以下输入参数来形成密钥导出函数的输入字符串：

-fc＝0x1d

-p0＝在mme生成的随机非负整数的值

-l0＝在上述步骤中生成的非负整数的长度(即0x000x02)

输入密钥是kasme。

图7a-7b示出了根据3gppts23.401的修改的lte附着和安全建立过程。下面讨论根据图7a-7b所示的3gppts23.401的对lte附着和安全建立过程的修改。没有进一步讨论根据3gppts23.401的其余消息。

如图7a-7b中所示，消息11是由mme116向menb108发送的初始上下文建立请求消息。在一些实施方式中，可以修改所述初始上下文建立请求消息以包括如上所述的密钥kwlan。在其他实施方式中，密钥kwlan不包括在初始上下文建立请求消息中。

图7a-7b中的消息14是从menb108向ue106发送的rrcconnectionreconfiguration消息。如上所述，rrcconnectionreconfiguration消息可以包括要使用不同类型认证过程(诸如上面讨论的第一类型认证过程和第二类型认证过程)中的哪种类型的指示。rrcconnectionreconfiguration消息还可以包括特定认证类型所适用的wlan的标识符(wlanid)。

图7a-7b还示出了任务702，该任务对应于以响应于图7a-7b中未示出的rrc重新配置过程在ue106处触发的wlan的添加(用于lte-wlan聚合模式)。

图7a-7b中的消息和/或任务18，19，20，20a，21，22，23，24，25，26，26a，27和27a分别对应于图2中的消息和/或任务204，206，208，210，212，214，216，218，220，222，224，226和228。

图7a-7b还示出了在menb108处的任务704，该任务包括使用kwlan作为输入并且输出ak，rand，autn，xres，msk(主会话密钥)和emsk(扩展主会话密钥)来执行eap认证和密钥协商(aka)(eap-aka或eap-aka′)算法，如图8所示。

eap是一种认证框架，支持称为eap方法的多种认证方法。aka和aka′是根据3gpp使用存储在usim和hss上的证书的过程。eap-aka和eap-aka’是可应用的认证过程。eap-aka′类似于eap-aka，只是eap-aka′提供了导出密钥与接入网络标识的绑定。在2009年5月发布的标题为“improvedextensibleauthenticationprotocolmethodfor3rdgenerationauthenticationandkeyagreement(eap-aka’)”的rfc5448中对eap-aka’进行了描述。

在任务704中执行eap-aka或eap-aka′过程可以包括请求aka向量，并且返回包含各种内容的aka向量，诸如图8中所示的密钥导出函数的输出(下面进一步讨论)。在一些实施方式中，可以经由mme116和/或3gppaaa服务器402将aka向量的请求从menb108发送到hss118，之后hss118用aka向量进行响应。在menb108自主执行认证任务的其它实施方式中，menb108可以产生aka向量。关于epa-aka’的更多细节由3gppts33.402和rfc5448提供。

图7a-7b还示出了在ue106处的任务706，该任务包括使用kwlan运行aka，验证autn并生成res和msk。

在图7a-7b中，在以lte-wlan聚合模式配置ue之前，menb108生成radius接入-质询消息(消息22)。为了实现这一点，在menb108处生成radius接入-质询消息的所有内容。如图8所示，由menb108使用kwlan作为秘密密钥来生成radius接入-质询消息的内容。

图8描述了menb可以如何导出该组参数以使得ue和网络能够相互认证的示例。kdf(密钥导出函数)802，804，806用于响应于各种输入而产生密钥。kdf802的输出被提供作为kdf804的输入，kdf804的输出被提供作为kdf806的输入。kdf806的输出包括msk和emsk，它们是例如可用于wlan业务的加密的密钥。还提供了多个其他函数来导出用作ue和网络相互认证过程的一部分的其他参数。函数f1810提供消息认证码，该消息认证码由ue检查以确定来自网络的认证消息的真实性。函数f3用于产生认证令牌，ue也可以在比较检查中导出和使用该认证令牌以认证网络。函数f2812用于产生xres(预期结果)，该xres也作为ue预期导出并且然后在res参数中提供给网络的值，使得网络可以认证ue。网络向ue提供包括字符串1、字符串2、字符串3的参数(所谓的kdf-input参数)和kdf(密钥导出函数)的标识，除非ue能够可靠地自主确定它们。

下表比较了图8所示密钥生成算法中使用的参数与传统eap-aka’算法中使用的密钥生成中使用的参数。

参考图6，可以注意到，密钥kasme被用作用于导出kwlan的算法的秘密密钥输入。备选地，也可以使用诸如kenb等任何其他密钥作为输入。换句话说，上述算法可以通过在图6中用kenb代替kasme来运行。

如果使用kenb，则由于在menb发生变化时产生新的kenb，因此可以在切换后使用新的kenb(即切换后的kenb)重新执行该算法。该算法的其余部分保持不变。这里的假设是，在切换(即，menb改变)时，wlan被去除并再次被添加(由新的menb)。

另一种备选技术是通过使用与导出kasme中所使用的相同的密钥导出函数和输入、但是使用不同的服务网络标识(snid字符串)来在hss116和usim处(即，在与导出kasme相同的安全级别处)导出kwlan。snid字符串可以是固定的字符串，在蜂窝附着到给定的plmn时，只要设备在lte-wlan聚合模式下使用wlan，就要使用该字符串。

在wlan和menb之间传送认证消息的选项

此解决方案可用于解决问题1。

在wlan和menb108之间传送用于完成wlan上的认证的信息的方式有许多种。以下是传送认证消息的方式的示例：

·在wlan和menb之间使用流控制传输协议/互联网协议(sctp/ip)在diameter或radius消息中传送eap消息。diameter消息是根据diameter基础协议，而radius消息是根据radius协议。

·使用x2-ap透明容器在wlan和menb之间传送diameter或radius消息。

·使用x2-ap透明容器在wlan和menb之间直接传送eap消息。

·提取eap消息的内容，并将提取的内容放置在wlan和menb之间的x2-ap消息中。

以下提供关于传送认证消息的上述方式的进一步细节。

在sctp/ip上使用diameter或radius传送eap消息

diameter和radius是支持传送eap消息的协议。radius协议在wlan中更普遍，而diameter则被3gpp使用。

图9是menb108和wlan104(wlanap或wlanap和wlan网关的组合)中的协议层的框图。menb108和wlan104中的每个中的协议层包括层1(物理层)、层2(数据链路层)、层1之上的ip层以及ip层之上的sctp层。另外，在menb108和wlan104的每个中都包括diameter层和可选的x2-ap层。使用图9的配置，在menb108和wlan104的diameter层之间传送的diameter消息可以封装eap消息。

在本公开的其他实施方式中，可以在menb108和wlan104中提供radius层来携带可以封装eap消息的radius消息。

在x2-ap透明容器中使用diameter或radius传送eap

在备选实施方式中，如图10所示，eap消息首先被封装到diameter或radius消息中，并且diameter或radius消息继而在wlan节点202和menb108之间的x2-ap消息中携带。

menb108和wlan104中的每一个的协议层都包括层1、层2、ip层、sctp层和sctp层之上的x2-ap层。携带diameter或radius消息的x2-ap消息支持在3gpp中所称的透明容器，这意味着x2-ap层本身不解释透明容器的内容，而是该内容(在这种情况下的diameter或radius消息)可用于menb108以供进一步处理。

尽管图10示出了diameter消息由x2-ap透明容器携带的示例，但是在其他示例中，替代地，可以由x2-ap透明容器来携带radius消息。

直接在x2-ap透明容器中传送eap消息

在这种解决方案中，eap消息直接在x2-ap透明容器内携带，而不是首先封装在diameter或radius消息中然后进而由x2-ap透明容器携带。

在x2-ap消息中传送eap消息的内容

在这个解决方案中，eap-aka’消息的内容直接作为新的x2-ap消息中的新的信息单元被携带。eap消息中支持的eap-aka’消息的内容包括诸如nai、rand、autn、mac等的信息单元。

系统架构

图11是可以表示以下任何一个的示例系统(或网络节点)1100的框图：ue、蜂窝接入网络节点或wlan节点。系统1100可以被实现为计算设备或多个计算设备的配置。

系统1100包括可以被耦合到网络接口(或多个网络接口)1104的处理器(或多个处理器)1102，以无线地或通过有线链路与另一个实体进行通信。处理器可以包括微处理器、微控制器、物理处理器模块或子系统、可编程集成电路、可编程门阵列或另一物理控制或计算电路。

处理器1102还可以耦合到一种非瞬时机器可读或机器可读存储介质(或多种存储介质)1106，所述存储介质可存储可在处理器1102上执行的机器可读指令1108以执行上述的各种任务。

一种存储介质(或多种存储介质)1106可以包括一个或多个计算机可读或计算机可读存储介质。所述一种或多种存储介质可以包括一种或多种不同形式的存储器，包括半导体存储器件，例如动态或静态随机存取存储器(dram或sram)、可擦除和可编程只读存储器(eprom)、电可擦除和可编程只读存储器(eeprom)和闪存；磁盘，诸如固定的、软的和可拆卸的盘；其它磁介质(包括磁带)；诸如光盘(cd)或数字视频光盘(dvd)的光学介质；或其他类型的存储设备。注意，上述指令可提供在计算机可读或机器可读存储介质上或备选地可提供在具有可能多个节点的大型系统中分布的多个计算机可读或机器可读存储介质上。这样的一种或多种计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可以指任何制造的单个组件或多个组件。一种或多种存储介质可以位于运行机器可读指令的机器中，或者位于远程位置处，可以通过网络从该远程位置下载机器可读指令以便执行。

在前面的描述中，阐述了大量细节，以提供对本文公开的主题的理解。然而，在没有这些细节中的一部分的情况下，也可以实施这些实现方式。其它实现可包括对以上细节的修改和变形。旨在使所附权利要求覆盖这些修改和改变。