用于建立无线设备与局域网之间的经由接入节点的安全连接的技术的制作方法

本专利申请要求以下各项的优先权：由hampel等人于2017年3月2日递交的、名称为“techniquesforestablishingasecureconnectionbetweenawirelessdeviceandalocalareanetworkviaanaccessnode”的美国专利申请no.15/448,322；由hampel等人于2016年8月5日递交的、名称为“techniquesforestablishingasecureconnectionbetweenawirelessdeviceandalocalareanetworkviaanaccessnode”的美国临时专利申请no.62/371,650；由hampel等人于2016年8月5日递交的、名称为“techniquesforfasttransitionofaconnectionbetweenawirelessdeviceandalocalareanetwork,fromasourceaccessnodetoatargetaccessnode”的美国临时专利申请no.62/371,593；以及由hampel等人于2016年8月5日递交的、名称为“techniquesforhandoverofaconnectionbetweenawirelessdeviceandalocalareanetwork,fromasourceaccessnodetoatargetaccessnode”的美国临时专利申请no.62/371,586，上述申请中的每项申请已经转让给本申请的受让人。

概括地说，以下内容涉及无线通信，并且更具体地说，以下内容涉及建立无线设备与局域网(lan)之间的经由接入节点(an)的安全连接。

背景技术：

无线通信系统被广泛地部署，以便提供诸如是语音、视频、分组数据、消息传送、广播等这样的各种类型的通信内容。这些系统可以是能够通过共享可用的系统资源(例如，时间、频率和功率)来支持与多个用户的通信的。这样的多址系统的示例包括码分多址(cdma)系统、时分多址(tdma)系统、频分多址(fdma)系统和正交频分多址(ofdma)系统。无线多址通信系统可以包括一些基站，每个基站同时支持可以各自被称为无线设备的多个通信设备的通信。

蜂窝分组接入系统允许移动设备与ip网络连接并且交换互联网协议(ip)分组。蜂窝分组接入系统已主要针对由移动网络运营商进行的大规模部署被开发。还存在使用基于电气和电子工程师协会(ieee)802的协议的一些基于lan的分组接入系统。基于lan的分组接入系统有时被部署在较小规模的环境中，诸如企业、工厂和其它类型的私有房屋中。伴随蜂窝rat的渐增的性能，在基于lan的分组接入系统中使用这些蜂窝rat的方面可能是可取的。

技术实现要素：

一种无线设备(例如，用户设备(ue))可以建立与局域网(lan)的安全连接，所述建立是经由所述lan的接入节点(an)(例如，所述lan的无线接入网(ran)的节点)进行的。在某些情况下，可以与使用蜂窝无线接入技术(rat)的an建立所述连接。所述lan可以包括认证器，所述认证器可以是与所述an共置的，或者可以被托管在被远离所述an地放置的所述lan的节点处。在某些情况下，所述an可以与诸如是核心网(cn)这样的中央网络节点通信，并且所述中央网络节点可以包含第二认证器。在建立与所述an的所述连接时，所述无线设备可以确定要将哪个认证器用于认证，并且可以在建立与所述lan的连接时执行利用被包括在所述lan中的(例如，位于所述an处或者远离所述an的)所述认证器进行的认证。所述无线设备可以接收(例如，作为所述认证的部分)对如作为非接入层(nas)层或者无线资源控制(rrc)层的用于所述认证的协议终点的指示。所述rrc层可以被用于利用被与所述an共置的认证器执行认证，并且所述nas层可以被用于利用未被与所述an共置(例如，位于所述lan上的其它地方处或者位于由蜂窝网络运营商操作的(例如，与所述lan分离的)cn处)的认证器执行认证。所述无线设备可以建立用于执行所述认证的无线承载(例如，与同所述an的已建立的连接相关联的)。所述无线承载可以作为建立与所述an的所述连接的一部分被建立。在某些情况下，执行所述认证可以包括：通过所述无线承载与所述认证器交换认证信息，以及至少部分地基于所交换的认证信息生成安全密钥。然后可以至少部分地基于所述安全密钥保护与所述lan的通信。

根据本公开内容的方面，lan协议可以被修改为支持以网络为中心的切换操作，以便促进从源an到目标an的平滑过渡，并且相应地减少否则在使用lan的传统切换过程时将经历的服务中断。例如，所描述的对lan协议的修改可以支持临时安全密钥的使用，临时安全密钥的使用可以被用于实现根据约束策略的与目标an的无线连接。所述约束策略可以例如包括：针对使用所述临时安全密钥的到期时间、在使用所述临时安全密钥时被允许的数据的量和/或可以与所述临时安全密钥一起被使用的具体的无线承载。源an可以向所述目标an提供所述临时安全密钥，这由于增强型安全协议而可以被所修改的lan协议允许，所述增强型安全协议使an能够被委托以这样的安全信息的交换。这层信任不可以出现在传统lan部署(例如，根据wi-fi协议操作的那些部署)中，并且因此，传统lan的接入点之间的安全信息的这样的交换将不被允许。

因此，根据本公开内容，在经网络协调的切换过程的发起时，无线设备可以至少部分地基于由源an向目标an提供的临时安全密钥和针对所述临时安全密钥的约束策略与lan安全地通信。所述无线设备可以随后执行认证过程以便获得不受所述约束策略支配的另一个密钥(例如，经由被所述临时安全密钥支持的连接)，并且至少部分地基于所述另一个安全密钥与所述lan安全地通信。相应地，无线设备可以从被根据经修改的协议操作并且根据减少服务中断的临时安全密钥进行通信同时还执行诸如是根据wi-fi协议或者可以被部署在所述lan处的其它专有安全解决方案的认证这样的与所述lan的更实质的认证的由lan的设备协调的经修改的切换过程中获益。

根据本公开内容的方面，lan协议可以被修改为支持以网络为中心的切换操作，以便促进从源an到目标an的平滑过渡，并且相应地减少否则在使用lan的传统切换过程时将被经历的服务中断。例如，所描述的对lan协议的修改可以支持随以网络为中心的切换使用快速过渡参数，这可以允许认证在网络发起的切换命令向无线设备被发出之前发生，并且因此使从源an到目标an的切换能够更迅速地发生。所述快速过渡参数可以被无线设备发送给an，并且所述an(例如，源an)可以被委托以对所述快速过渡参数进行高速缓存以用于在随后的切换期间转发。无线设备在an处对快速过渡参数的委托由于增强型安全协议而可以被所修改的lan协议允许，所述增强型安全协议使an能够被委托以对这样的安全信息的所述高速缓存和交换。这层信任不可以出现在传统lan部署(例如，根据wi-fi协议操作的那些部署)，并且因此，传统lan的接入点之间的快速过渡参数信息的这样的交换将不被允许。

因此，根据本公开内容，在针对无线设备的经网络协调的切换过程的发起时，源an可以向目标an转发所述无线设备的被高速缓存的快速过渡参数。所述目标an可以至少部分地基于所述快速过渡参数执行随后的认证(例如，利用所述lan的认证节点或者利用被与所述目标an共置的认证器)。所述目标an可以向所述源an转发与所述认证相关联的安全参数，并且所述源an可以向所述无线设备发送包括所述安全参数的切换命令。相应地，所述无线设备可以从包括an之间的快速过渡参数的交换的由根据经修改的协议操作的lan的设备协调的经修改的切换过程中获益。因为特定的认证操作可以被所述lan的设备在不涉及所述无线设备的情况下根据经修改的lan协议进行协调，并且还可以在所述无线设备终止与源an的连接之前被执行，所以所描述的操作可以减少无线设备的服务中断。

根据至少一种实现，一种用于无线设备处的无线通信的方法包括：建立与lan的an的连接；确定执行认证；接收对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及至少部分地基于所接收的指示经由与所述an已建立的所述连接利用所述协议终点执行所述认证。

根据至少另一种实现，一种用于无线设备处的无线通信的装置包括：用于建立与lan的an的连接的单元；用于确定执行认证的单元；用于接收对如作为nas层或者rrc层的用于所述认证的协议终点的指示的单元；以及用于至少部分地基于所接收的指示经由与所述an已建立的所述连接利用所述协议终点执行所述认证的单元。

根据至少另一种实现，一种用于无线设备处的无线通信的装置包括：处理器和与所述处理器电子地通信的存储器。指令被存储在所述存储器中，并且是在被所述处理器执行时可操作为使所述装置执行以下操作的：建立与lan的an的连接；确定执行认证；接收对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及至少部分地基于所接收的指示经由与所述an已建立的所述连接利用所述协议终点执行所述认证。

根据至少另一种实现，一种非暂时性计算机可读介质存储用于无线设备处的无线通信的计算机可执行代码。所述代码是可执行为执行以下操作的：建立与lan的an的连接；确定执行认证；接收对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及至少部分地基于所接收的指示经由与所述an已建立的所述连接利用所述协议终点执行所述认证。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括认证器，并且所述方法、装置或者非暂时性计算机可读介质包括用于向所述an发送关于将利用所述认证器执行所述认证的指示的操作、特征、单元或者指令。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所发送的关于将利用所述认证器执行所述认证的指示在rrc连接建立消息中被发送。

用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例包括用于以下各项的操作、特征、单元或者指令：选择用于执行随机接入过程的至少一个资源；以及使用至少一个所选择的资源执行与所述an的所述随机接入过程，其中，用于执行所述随机接入过程的至少一个所选择的资源包括关于将利用所述认证器执行所述认证的指示。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括认证器，并且所述方法、装置或者非暂时性计算机可读介质包括用于以下各项的操作、特征、单元或者指令：接收关于所述an使用所述认证器执行认证的指示，并且确定执行所述认证是至少部分地基于接收关于所述an使用所述认证器执行认证的指示的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，关于所述an使用所述认证器执行认证的指示在以下各项中的至少一项中被接收：系统信息、对所述无线设备的查询的响应、随机接入信道(rach)建立消息或者其组合。

用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例包括用于以下各项的操作、特征、单元或者指令：接收关于所述an使用第二认证器执行认证的指示，并且所述第二认证器被包含在与所述an相关联的cn中。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，确定执行认证包括用于以下各项的操作、特征、单元或者指令：选择被与所述an共置的认证器、所述第二认证器或者这两者来执行所述认证。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，确定执行所述认证是至少部分地基于被存储在所述无线设备处的所述an的配置的。

用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例包括用于以下各项的操作、特征、单元或者指令：接收与所述an相关联的标识符；以及至少部分地基于所接收的标识符检索所述an的所述配置。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是通过与同所述an已建立的所述连接相关联的无线承载来执行的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是通过所述rrc层执行的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括认证器，并且执行所述认证包括用于以下各项的操作、特征、单元或者指令：通过所述无线承载与所述认证器交换认证信息；通过所述无线承载与所述an交换至少一个随机参数；以及至少部分地基于所交换的认证信息和所述至少一个随机参数生成安全密钥。

用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例包括用于以下各项的操作、特征、单元或者指令：至少部分地基于所述安全密钥建立一个或多个额外的无线承载；以及至少部分地基于所生成的安全密钥通过经由所述无线承载、所述一个或多个额外的无线承载或者这两者的所述连接与所述lan安全地通信。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是至少部分地基于通过与同所述an已建立的所述连接相关联的无线承载被执行的可扩展认证协议(eap)的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是通过所述rrc层或者以太网执行的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括第一认证器，并且所述方法、装置或者非暂时性计算机可读介质包括用于以下各项的操作、特征、单元或者指令：确定利用第二认证器执行第二认证，所述第二认证器被包含在与所述an通信的cn中；以及经由所述an利用所述第二认证器执行所述第二认证。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述第二认证是通过所述nas层执行的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述连接是使用蜂窝rat建立的。

在用于无线设备处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是利用被与所述an共置的认证器或者被托管在放置得远离所述an的所述lan的节点处的认证器或者这两者执行的。

根据至少一种实现，一种用于lan的an处的无线通信的方法包括：建立与无线设备的连接；确定所述无线设备已确定执行认证；发送对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及提供用于所述无线设备与所述协议终点之间的所述认证的通信。

根据至少另一种实现，一种用于lan的an处的无线通信的装置包括：用于建立与无线设备的连接的单元；用于确定所述无线设备已确定执行认证的单元；用于发送对如作为nas层或者rrc层的对用于所述认证的协议终点的指示的单元；以及用于提供用于所述无线设备与所述协议终点之间的所述认证的通信的单元。

根据至少另一种实现，一种用于lan的an处的无线通信的装置包括处理器和与所述处理器电子地通信的存储器。指令被存储在所述存储器中，并且是在被所述处理器执行时可操作为使所述装置执行以下操作的：建立与无线设备的连接；确定所述无线设备已确定执行认证；发送对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及提供用于所述无线设备与所述协议终点之间的所述认证的通信。

根据至少另一种实现，一种非暂时性计算机可读介质存储用于lan的an处的无线通信的计算机可执行代码。所述代码是可执行为执行以下操作的：建立与无线设备的连接；确定所述无线设备已确定执行认证；发送对如作为nas层或者rrc层的用于所述认证的协议终点的指示；以及提供用于所述无线设备与所述协议终点之间的所述认证的通信。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括认证器，并且所述方法、装置或者非暂时性计算机可读介质包括用于以下各项的操作、特征、单元或者指令：从所述无线设备接收关于将利用所述认证器执行所述认证的指示。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，关于将利用所述认证器执行所述认证的指示是在rrc连接建立消息中被接收的。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，关于将利用所述认证器执行所述认证的指示是在至少一个资源上在来自所述无线设备的随机接入消息中被接收的。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括认证器，并且所述方法、装置或者非暂时性计算机可读介质包括用于以下各项的操作、特征、单元或者指令：发送关于所述an使用所述认证器执行认证的指示。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，关于所述an使用所述认证器执行认证的指示在以下各项中的至少一项中被发送：系统信息、对所述无线设备的查询的响应、rach建立消息或者其组合。

用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例可以包括用于以下各项的操作、特征、单元或者指令：发送关于所述an使用第二认证器执行认证的指示，其中，所述第二认证器被包含在与所述an相关联的cn中。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，提供用于所述认证的通信包括用于以下各项的操作、特征、单元或者指令：通过与同所述无线设备已建立的所述连接相关联的无线承载发送与所述认证相关联的消息。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述消息是通过所述rrc层发送的。

用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例包括用于以下各项的操作、特征、单元或者指令：通过所述无线承载与所述无线设备交换认证信息；通过所述无线承载与所述无线设备交换至少一个随机参数；以及至少部分地基于所交换的认证信息和所述至少一个随机参数生成安全密钥。

用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例可以包括用于以下各项的操作、特征、单元或者指令：至少部分地基于所述安全密钥建立一个或多个额外的无线承载；以及至少部分地基于所生成的安全密钥通过经由所述无线承载、所述一个或多个额外的无线承载或者这两者的所述连接与所述lan安全地通信。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，提供用于所述认证的通信包括用于以下各项的操作、特征、单元或者指令：通过与所述无线设备已建立的所述连接发送关于认证过程的消息，其中，所述认证过程是至少部分地基于eap的。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，通过所述rrc层或者以太网执行所述认证过程。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，用于所述认证的所述协议终点包括第一认证器，并且所述方法、装置或者非暂时性计算机可读介质可以包括用于以下各项的操作、特征、单元或者指令：确定所述无线设备已确定利用第二认证器执行第二认证，其中，所述第二认证器被包含在与所述an通信的cn中；以及发送与所述第二认证相关联的消息。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述第二认证是通过所述nas层执行的。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述连接是使用蜂窝无线接入技术(rat)建立的。

在用于lan的an处的无线通信的所述方法、装置或者非暂时性计算机可读介质的某些示例中，所述认证是利用被与所述an共置的认证器、利用被托管在放置得远离所述an的所述lan的节点处的认证器或者这两者执行的。

前述内容已相当宽泛地概述了根据本公开内容的示例的特征和技术优势，以便随后的详细描述内容可以被更好地理解。将在下文中描述额外的特征和优势。所公开的概念和具体示例可以被轻松地用作修改或者设计用于实现本公开内容的相同目的的其它结构的基础。这样的等价的构造不脱离所附权利要求的范围。本文中公开的概念的特性，其组织和操作方法两者，连同关联的优势，在结合附图考虑时从下面的描述内容中将被更好地理解。仅出于说明和描述的目的而不作为对权利要求的限制的定义而提供了附图中的每个图。

附图说明

图1示出了根据本公开内容的各种方面的无线通信系统的示例；

图2示出了根据本公开内容的各种方面的用于经由蜂窝rat连接到全球和本地ip网络的无线通信系统的示例；

图3示出了根据本公开内容的各种方面的针对对传统lan的传统接入的架构；

图4示出了根据本公开内容的各种方面的针对对lan的基于蜂窝rat的接入的参考架构；

图5示出了根据本公开内容的各种方面的针对对传统lan的基于wi-fi的传统接入的认证的参考架构；

图6示出了根据本公开内容的各种方面的针对对lan的基于蜂窝rat的接入的切换的参考架构；

图7示出了根据本公开内容的各种方面的针对使用ft技术对传统lan的基于wi-fi的传统接入的参考架构；

图8示出了根据本公开内容的各种方面的针对使用ft技术对lan的基于蜂窝rat的接入的参考架构；

图9示出了对根据本公开内容的各种方面的可以被用于支持基于蜂窝rat的lan接入的c平面功能的协议栈的说明；

图10示出了对根据本公开内容的各种方面的可以被用于支持基于蜂窝rat的lan接入的u平面功能的协议栈的说明；

图11示出了对根据本公开内容的各种方面的可以被用于与使用ieee802.1x的认证服务器的通过c平面的经由eap的认证的协议栈的图示；

图12示出了根据本公开内容的各种方面的可以被用于通过u平面的经由eap的认证的协议栈；

图13示出了根据本公开内容的各种方面的用于建立无线设备与lan之间的经由an的安全连接的示例消息流；

图14示出了根据本公开内容的各种方面的用于执行具有与lan的安全连接的无线设备的从源an到目标an的切换的示例消息流；

图15示出了根据本公开内容的各种方面的用于建立无线设备与lan之间的安全连接的示例消息流；

图16示出了根据本公开内容的各种方面的用于执行与lan的安全连接的从源an到目标an的快速过渡的示例消息流；

图17示出了根据本公开内容的各种方面的支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的设备的方框图；

图18示出了根据本公开内容的各种方面的支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的无线设备通信管理器的方框图；

图19示出了根据本公开内容的各种方面的包括支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的设备的系统的图；

图20示出了根据本公开内容的各种方面的支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的设备的方框图；

图21示出了根据本公开内容的各种方面的支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的an通信管理器的方框图；

图22示出了根据本公开内容的各种方面的包括支持用于建立无线设备与lan之间的经由an的安全连接的经修改的技术的设备的系统的图；

图23直到26示出了说明根据本公开内容的各种方面的支持建立无线设备与lan之间的经由an的安全连接的方法的流程图；

图27直到30示出了说明根据本公开内容的各种方面的支持无线设备的从与lan的源an的连接向与lan的目标an的连接的切换的方法的流程图；以及

图31直到34示出了说明根据本公开内容的各种方面的支持无线设备的从与lan的源an的连接向与lan的目标an的连接的快速过渡的方法的流程图。

具体实施方式

所公开的示例说明了使无线设备(例如，用户设备(ue))能够经由lan的接入节点(an)建立与局域网(lan)的安全连接的技术。在某些示例中，可以使用蜂窝无线接入技术(rat)建立连接。无线设备可以在与lan安全地通信之前使用被与an共置的认证器或者被放置在lan中的其它地方的认证器(例如，中央认证服务器、被放置在lan的核心网处的认证器等)执行认证。一旦被建立，则连接可以通过执行切换过程或者快速过渡过程被转移到目标an。

初始在用于使无线设备能够经由蜂窝rat建立与lan的连接的无线通信系统的上下文中描述了本公开内容的方面。本公开内容提供针对所述无线通信系统的架构和该架构内的各种设备之间的信令流的各种示例。本公开内容的方面还通过和参考涉及经由蜂窝rat连接到lan的装置图、系统图和流程图被说明和描述。

图1示出了根据本公开内容的各种方面的无线通信系统100的示例。无线通信系统100包括基站105、无线设备115和核心网(cn)130。在某系示例中，无线通信系统100可以包括长期演进(lte)/高级lte(lte-a)网络。

基站105可以经由一个或多个基站天线与无线设备115无线地通信。每个基站105可以为分别的地理覆盖区域110提供通信覆盖。无线通信系统100中所示的通信链路125可以包括从无线设备115到基站105的上行链路(ul)传输或者从基站105到无线设备115的下行链路(dl)传输。无线设备115可以被散布在无线通信系统100的各处，并且每个无线设备115可以是固定的或者移动的。无线设备115也可以被称为用户设备(ue)、移动站、用户站、用户单元、无线单元、远程单元、移动用户站、移动终端、无线终端、远程终端、接入终端(at)、手持装置、用户代理、客户端等术语。无线设备115还可以是蜂窝电话、个人数字助理(pda)、无线调制解调器、无线通信设备、手持型设备、平板型计算机、膝上型计算机、无绳电话、无线本地环路(wll)站、物联网(iot)设备、万物网(ioe)设备、机器型通信(mtc)设备、家电、汽车等。

基站105可以与cn103和与彼此通信。例如，基站105可以通过回程链路132(例如，s1等)与cn130对接。基站105可以通过回程链路134(例如，x2等)直接地或者间接地(例如，通过cn130)与彼此通信。基站105可以为与无线设备115的通信执行无线配置和调度，或者可以在基站控制器(未示出)的控制下操作。在某些示例中，基站105可以是宏小区、小型小区、热点等。基站105也可以被称为演进型节点b(enb)105。

基站105可以通过s1接口被连接到cn130。cn130可以是可以包括一个或多个网络节点的演进型分组核心(epc)的示例。在一个示例中，cn130可以包括至少一个移动性管理实体(mme)、至少一个服务网关(s-gw)和至少一个分组数据网络(pdn)网关(p-gw)。mme、s-gw和/或p-gw可以被实现为单个网络节点或者更多地是分离的网络节点。mme可以是处理无线设备115与epc之间的信令的控制节点。全部用户ip分组可以被传输通过s-gw，s-gw自身可以被连接到p-gw。p-gw可以提供ip地址分配以及其它功能。p-gw可以被连接到网络运营商ip服务。运营商ip服务可以包括互联网、内联网、ip多媒体子系统(ims)和分组交换(ps)流传送服务(pss)。

在某些情况下，无线通信系统100可以利用增强型分量载波(ecc)。ecc可以以包括以下各项的一个或多个特征为特征：较宽的带宽、较短的符号持续时间、较短的持续时间传输时间间隔(tti)和经修改的控制信道配置。在某些情况下，ecc可以是与载波聚合配置或者双连接配置(例如，在多个服务小区具有次最优或者非理想的回程链路时)相关联的。ecc还可以被配置为用于在非许可频谱或者共享频谱(其中，多于一个运营商被允许使用该频谱)中使用。以宽带宽为特性的ecc可以包括的一个或多个段，所述的一个或多个段可以被不能够监控整个带宽或者优选使用有限的带宽(例如，为了节约功率)的无线设备115利用。

在某些情况下，ecc可以利用与其它cc不同的符号持续时间，这可以包括使用与其它cc的符号持续时间相比减小的符号持续时间。较短的符号持续时间是与增加的子载波间隔相关联的。利用ecc的诸如是无线设备115或者基站105之类的设备可以以减少的符号持续时间(例如，16.67微秒)发送宽带信号(例如，20、40、60、80mhz等)。ecc中的tti可以由一个或多个符号组成。在某些情况下，tti持续时间(例如，tti中的符号的数量)可以是可变的。

无线通信系统100可以是跨大型服务覆盖区域提供无线分组接入系统接入的广域网(wan)的示例。相应地，无线通信系统100的通信协议可以由rat(例如，蜂窝rat)以支持与wan应用相关联的各种操作条件的方式来提供。通过对照，传统局域网(lan)可以跨相对小的服务覆盖区域提供无线通信，并且因此可以由rat(例如，wi-firat)以使得支持与lan应用相关联的条件的方式来提供。

根据本公开内容的方面，无线通信设备(例如，无线设备115、lan的an)可以实现用于接入基于lan的分组接入系统的示例无线通信系统100的方面，诸如蜂窝rat的方面。例如，蜂窝rat的各种方面可以被集成到现有的lan的设备中(例如，升级现有的接入点(ap)、诸如是lan分布系统(ds)这样的传统lan的中央节点、诸如是认证、授权和计费(aaa)服务器(例如，缩写为“aaa”)之类的lan的认证服务器等)，这可以支持蜂窝通信协议的部署，而不要求整个蜂窝网络被部署。这样的实现可以允许lan利用诸如是涉及蜂窝rat的那些技术的先进技术，同时重用现有的lan基础设施，并且还维持可能对于lan是适当的的安全策略。这样的实现还可以允许用于接入同一个lan的多个rat(例如，蜂窝rat和wi-firat)的同时操作。

lan部署的各种示例可以从所描述的诸如是蜂窝rat的方面的先进接入技术向依赖于传统lan技术的现有的lan基础设施中的集成中获益。例如，根据本公开内容所描述的特征可以为企业中的高qos应用中的lan应用和工厂自动化中的任务关键型应用提供益处。例如，在工厂自动化中，闭环控制应用可能要求跨具有高可靠性(下至10^-9)的空中接口的短往返时间(小于1毫秒)。诸如是与传统lan应用相关联的那些技术的非许可技术达到这些性能目标可能有问题，因为它们在共享频谱中操作，其中，(例如，根据wi-fi协议的)站(sta)在检测繁忙的信道时必须后退。非许可频带还可能遭受由于被隐藏节点问题导致的不受控的干扰。这些缺点不可以应用于例如在经许可频带中操作的蜂窝rat。另外，预期蜂窝rat的性能随蜂窝rat的例如从4g到5g的演进而提高。针对根据本公开内容所描述的方法的另一个用例是可以将5g毫米波(mm波)技术用于最后一公里跳跃的固定无线接入(fwa)。

尽管某些用例可以利用由无线接入网(ran)和核心网(cn)组成的整个蜂窝rat系统的部署来解决，但这样的解决方案可能与已是适当的的现有的基于lan的基础设施冲突。因此，可以通过将蜂窝连接的特定的方面集成到现有的lan基础设施中，同时重用诸如是认证服务器(例如，aaa)和ds的现有的lan基础设施而不需要蜂窝cn来达到独特的益处。

图2示出了根据本公开内容的各种方面的用于经由蜂窝rat连接到全球和本地ip网络的无线通信系统200的示例。例如，无线通信系统200可以示出参考图1描述的无线通信系统100的方面。无线通信系统200可以包括可以是参考图1描述的对应的设备的示例的具有基站105-a(例如，enb)的ran204、无线设备115-a和cn130-a。

在一个示例中，无线通信系统200可以根据第三代合作伙伴计划(3gpp)架构操作，并且根据蜂窝rat提供对一个或多个pdn的接入。例如，无线通信系统200可以实现与诸如是全球ip网络208的一个或多个基于ip的网络(例如，互联网)的连接，并且可以由针对大规模部署(例如，用于在广大的覆盖区域上提供ip分组接入)的移动网络运营商(mno)来操作。

ran204可以包括一个或多个基站105(例如，节点b、演进型节点b等)，包括基站105-a，其支持用于为诸如是无线设备115-a的一个或多个无线设备提供无线连接的一个或多个蜂窝rat。蜂窝rat的示例包括w-cdma、lte、5grat、使用经许可或者非许可频谱的rat以及其派生物和/或组合。ran204还可以包括可以与基站105-a共置的本地网关(l-gw)214。l-gw214可以在基站105-a与本地ip网络210之间提供接口。

cn130-a可以支持控制平面(c平面)任务(例如，认证、授权、会话管理、策略控制和计费)和用户平面(u平面)任务(例如，无线设备115-a与全球ip网络208之间的ip业务转发)。cn130-a可以包括用于执行c平面和u平面任务的一个或多个网络节点，包括归属用户服务器(hss)、分组数据网络网关(pgw)、s-gw和移动性管理实体(mme)。

图3示出了根据本公开内容的各种方面的使用wi-fi接入作为示例的用于对传统lan340的传统接入的架构300。与3gpp相反，诸如是ieee802.11这样的wi-fi协议仅指定无线空中接口和用于支持架构300的无线空中接口的sta(例如，sta242)和ap244上的对应的功能。经由ap244的向传统lan340的数据传输可以被归于传统lands346，传统lands346具有不是被例如ieee802.11指定并且包括各种专有安全性解决方案的协议栈和转发机制。尽管ieee802.11i引入了稳健安全网络(rsn)概念，其引入了sta242与ap244之间的相互认证和安全连接的建立，但其仅指定sta242与ap244上的认证器之间的与安全性相关的消息。同时，其创建了用于认证器创建用于支持sta242与网络中的认证器服务器(例如，aaa248)之间的扩展的安全性握手的隧道的单元。隧道可以在空中接口上使用通过lan的eap(eapol)，尽管隧道未被该标准在网络侧另外指定。

例如，ieee802.11i依赖于通过接入链路的4向握手来根据成对主密钥(pmk)创建新鲜的建钥材料，用以确保在sta242和ap244上被使用的密钥是相同的，并且用以断言sta242和ap244已无歧义地就密码套件达成协议。其还将建钥材料绑定到sta242(例如，介质接入控制(mac)地址)和ap244(例如，基本服务集标识符(bssid))的凭证。因此，从一个ap244向另一个ap244(未示出)的移动要求重新认证，这可以是漫长的过程(例如，取决于lan安全性解决方案)。

例如，ieee802.11r进一步引入了用于减少针对利用与aaa的eap的部署的与移动性相关的等待时间的快速bss过渡(ft)的概念。该概念建立额外的密钥分层层级和关联的密钥保存者。对于802.11r，集中式无线lan控制器(wlc)可以被用作两个分层实体中的较高的分层实体(例如，r0密钥保存者(r0kh)，并且ap244可以被用作两个分层实体中的较低的分层实体(例如，r1密钥保存者(r1kh)))。由于sta242的初始认证建立sta242与(集中式)r0kh之间的安全性关联，所以sta242可以更快速地从源ap244切换到目标ap244，并且经由目标ap(r1kh)利用wlc(r0kh)重新建立新的建钥材料，而不经历与aaa的新的eap握手。然而，新的建钥材料的建立要求4向握手，其具有与802.11i相似的目的。

根据本公开内容的某些技术适用于将蜂窝rat的方面集成到lan基础设施中。对于这样的集成，对如由ieee针对802.11建立的lan基础设施作出一些相似的假设。与图2中所示的3gpp架构相反，被集成或者附着到lan基础设施的蜂窝rat可以被假设不具有任何经由3gppcn的强制的支持(例如，可以具有可选的支持)。

本公开内容的某些方面与用于使用蜂窝rat的方面建立与lan基础设施的连接的技术有关。所述技术提供经由蜂窝rat对lan基础设施的安全接入。这可以利用蜂窝rat的在被应用于lan基础设施时的性能优势。这还可以例如允许重用现有的lan基础设施来支持蜂窝rat。另外，基于ieee802的rat可以与蜂窝rat一起被用于对同一个lan的接入，因为基础设施可以被共享。

图4示出了根据本公开内容的各种方面的针对对lan440的基于蜂窝rat的接入的参考架构400。与lan440相关联的无线接入节点被一般地称为an405，并且寻求对lan440的接入的无线设备115-b可以是参考图1和2描述的无线设备115的示例。尽管在参考架构400中示出了仅一个an405，但额外的an405(未示出)可以提供对lan440的无线接入，并且与lan440相关联的多个an405可以集体被称为lan440的ran。

蜂窝rat的方面可以被使用以便经由an405将无线设备115-b连接到lan440。在某些示例中，an405可以包括用于对与无线设备(例如，无线设备115-b)的连接进行认证的认证器(例如，与an405共置的认证器)。额外地或者替换地，lan440可以支持不是与an405共置的的另一个认证节点，诸如认证服务器410，其可以与lands446通信。在各种示例中，认证节点可以是lan440的独立的设备，或者是与lan440的其它设备共置或者以其它方式集成在一起的。例如，在某些示例中，认证服务器410可以与lands446集成在一起、被包含在lan440的cn130中(未示出)或者是lan440的某个其它的中央节点。在某些示例中，认证服务器410可以是与lan440分离的，诸如分离的蜂窝运营商网络(例如，参考图1描述的无线通信系统100)的cn130，其可以与lan440通信(例如，经由与lands446的回程链路)。在某些示例中，认证服务器410可以是由多个an405可接入以便经由根据本公开内容的方面的eap(例如，通过控制平面的eap、通过用户平面的eap、通过rrc的eap、通过nas的eap等)对无线设备115进行认证的。在某些示例中，认证服务器410可以是用于支持使用诸如是与蜂窝rat相关联的那些技术之类的先进技术对lan440的接入的已根据本公开内容的方面被修改的lan基础设施的aaa248的示例。lan440因此可以包括用于执行与无线设备115-b的认证的认证器的集合，这可以包括被与分别的an405共置的多个认证器和未被与an405共置的一个或多个认证节点(例如，一个或多个认证服务器410)。

根据本公开内容的方面，无线设备115-b可以确定执行与具体的认证终点的认证以便建立与lan440的安全的通信。所描述的特征可以是与传统系统相反的，传统系统可以将设备预配置为根据具体的通信协议执行认证。例如，在根据3gpp协议操作时，参考图1描述的无线通信系统100的无线设备115可以被配置为执行与由具体的蜂窝网络运营商配置的cn130的认证。在另一个示例中，在根据传统lan协议(例如，wi-fi协议)操作时，参考图3描述的传统lan340的sta242可以被配置为执行与ap244的认证。在任一种情况下，无线通信系统100和传统lan340可能不支持针对设备执行与不同的协议终点的认证的灵活性。因此，通过支持如本文中描述的对执行与具体的认证终点的认证的确定，lan440可以支持针对无线设备115-b建立与lan440的安全的通信的更灵活的认证。

例如，无线设备115-b可以接收终点的针对与lan440的认证的指示，该指示可以包括对被与an405共置的认证器、位于认证服务器410处的认证器、位于lands336处的认证器或者位于某个其它网络节点处(例如，位于lan440的cn130-a处和/或位于不是lan440的一部分的蜂窝运营商网络的cn130-a(未示出)处)的认证器的一个或多个指示。在某些示例中，无线设备115-b可以接收对如作为rrc层或者nas层的用于认证的协议终点的指示。rrc层可以被用于执行利用被与an405共置的认证器的进行认证，并且nas层可以被用于执行利用诸如是位于lan上的其它地方处或者由蜂窝网络运营商操作的cn(例如，与lan分离的)处的未被与an405共置的认证器进行的认证。rrc层可以是与执行通过信令无线承载(srb)(例如，与被与an405共置的认证器)的认证相关联的。一个这样的示例是通过rrc层经由srb被执行的与被与an405共置的认证器的eap认证。另一个示例可以是在an405根据3gpp协议执行正常地与cn130相关联的功能时。额外地或者替换地，无线设备115-b可以接收对如作为nas层的用于认证的协议终点的指示，该指示可以是与执行通过数据无线承载(drb)(例如，与可以是或者可以不是作为lan440的一部分的认证器的未被与an405共置的认证器或者与使用通过nas层的信令执行认证的an405的认证器)的认证相关联的。一个这样的示例是利用使用通过nas层的eapol经由drb被执行的与lands336的认证器的eap认证。另一个示例是使用通过nas层的信令的利用蜂窝运营商网络的cn130的认证器进行的认证。在某些示例中，可以执行与多个分别的认证器的多个认证，使得无线设备115-b可以利用基于蜂窝rat的认证的方面，同时还遵守lan440的基础设施安全策略(例如，根据wi-fi协议或者根据其它专有的解决方案的)。因此，根据本公开内容，可以至少部分地基于可以向无线设备115-b指示的各种认证器和/或认证协议或者过程来建立与lan440的安全的通信。

本公开内容的某些方面描述了用于例如使用蜂窝rat的方面(例如，4g、lte、lte-a、5g等的方面)的与lan440的连接的切换的技术。所述技术可以对于被集成到lan440中的蜂窝rat(例如，5g企业部署)利用基于3gpp的移动性协议。这样，可以在可以还实现其它协议(例如，wi-fi协议、专有安全解决方案等)的lan440的现有的架构中支持诸如是无缝的并且无损耗的会话迁移这样的3gpp切换的好处。同时，可以遵守通常需要经由切换之后的目标an405的与认证服务器(例如，aaa248)的认证的lan的安全策略(例如，不与蜂窝rat相关联的那些安全策略)(例如，诸如是wi-fi协议或者专有安全协议的可以是与传统lan340相关联的的安全策略)。lan440可以同时支持经由使用诸如是wi-fi协议这样的其它协议的an405的通信，以便支持向下兼容和/或改进针对与lan440连接的灵活性。此外，所描述的技术还可以支持经由不与lan440相关联的诸如是蜂窝服务提供商的cn130-a这样的蜂窝cn(例如，参考图1描述的无线通信系统100的cn130)的无线设备115-b与lan440和与pdn(例如，图2的全球ip网络208)的并发的连接。诸如是切换和快速过渡技术的另外的技术可以构建在如本文中描述的已经经由蜂窝rat的方面被建立的与lan440的安全的连接上。

图5示出了根据本公开内容的各种方面的针对对传统lan340-a的基于wi-fi的传统接入的认证的参考架构500。sta242-a可以建立与第一ap244-a(例如，源ap244)的连接、执行与第一ap244-a和/或aaa248-b的认证(例如，使用eap)并且至少部分地基于认证与传统lan340-a(例如，与传统lands346-a)安全地通信。在移动到第二ap244(例如，目标ap244)的覆盖区域中时，sta242-a可以建立与第二ap244-b的连接，并且在经由ap2244-b与传统lan340-a(例如，传统lands346-a)安全地通信之前执行与第二ap244-b和/或aaa248-b的另一个认证。因此，参考架构500示出了传统lan340-a的基于sta的移动性的示例，其中，sta242-a在没有传统lan340-a对第一app244-a与第二ap244-b之间的切换进行协调的操作的情况下执行切换操作。

图6示出了根据本公开内容的各种方面的针对对lan440-a的基于蜂窝rat的接入的切换的参考架构600。参考架构600示出了无线设备115-c的基于网络的lan移动性的示例，其中，切换操作通过lan440-a的操作来协调。

例如，无线设备115-c可以建立与lan440-a的源an405-a的连接、执行利用位于源an405-a处的认证器和/或位于认证服务器410-a处的认证器进行的认证(例如，使用eap)，并且至少部分地基于认证与lan440-a(例如，lands446-a)安全地通信。在被与lan440-a连接在一起时，无线设备115-c可以执行对从源an405-a和一个或多个目标an405(例如，目标an405-b)接收的信号的测量，并且向lan440-a(例如，向源an405-a、向目标an405-b、向认证服务器410-a和/或向lands446-a)转发测量。至少部分地基于被转发的测量，lan440-a的设备可以作出对将无线设备115-c从源an405-a切换到目标an405-b的决策。例如，源an405-a可以从无线设备115-c接收通信测量，至少部分地基于确定与目标an405-b的通信条件可能更好作出切换决策，以及至少部分地基于切换决策向目标an405-b发送切换请求。如果目标an405-b对请求进行确认，则源an405-a可以向无线设备115-c和/或目标an405-b转发切换参数。

因此，根据本公开内容的方面，在移动到lan440-a的目标an105-d的覆盖区域中时，无线设备115-c可以至少部分地基于被lan440-a(例如，源an405-a、目标an405-b、认证服务器410-a、lands446-a等)执行的切换操作建立与目标an405-b的连接。在某些示例中，无线设备115-c可以在经由目标an405-b与lan440-a(例如，lands446-a)安全地通信之前执行利用位于目标an405-b处的认证器和/或位于认证服务器410-a处的认证器进行的认证。在某些示例中，无线设备的上下文和临时安全密钥(例如，受约束策略支配的安全密钥)的从源an405-a到目标an405-b的切换(例如，通过x2接口，经由lands446-a或者直接地从源an405-a到目标405-b)可以减少可能否则是与lan的传统切换和认证过程相关联的服务中断。

本公开内容的某些方面与用于与使用蜂窝rat的lan440的目标an405的连接的快速过渡的技术有关。所述技术应用两层密钥分层，这可以包括与由ieee802.11r引入的技术相似的方面，以便支持集成蜂窝rat的方面的lan440的an405之间的快速过渡。这样，蜂窝移动性可以利用针对快速bss过渡被开发或者部署的lan440的现有的安全架构和协议(例如，传统lan340的基础设施)。所述技术例如可以构建在如本文中描述的已经由蜂窝rat的方面被建立的与lan440的安全的连接上。

因此，根据本公开内容的方面，被lan440-a支持的基于网络的移动性克服了依赖于无线设备作出切换决策的传统lan340(例如，参考图5描述的传统lan340-a，其根据诸如是与wi-fi协议相关联的那些协议的传统lan协议来操作)的各种限制。例如，根据本文中描述的已修改的技术，lan440-a支持由an405作出的切换决策、用于经由目标an405-b的对lan440-a的受约束的接入的临时网络密钥的交换和用于促进源an405-a与目标an405-b之间的切换的ft参数的高速缓存和交换。

图7示出了根据本公开内容的各种方面的针对使用ft技术的对传统lan340-b的基于wi-fi的传统接入的参考架构。sta242-b可以建立与传统lan340-b的第一ap244-c(例如，r1kh)的连接、经由第一ap244-c执行与aaa248-d的认证(例如，使用eap)、建立与第一ap244-c的安全性关联，并且至少部分地基于安全性关联与传统lan340-b(例如，传统lands346-b)安全地通信。在建立与第一ap244-c的连接时，sta242-b可以发送ft参数。在移动到传统lan340-b的第二ap244-d的覆盖区域中时，sta242-b可以建立与第二ap244-d的连接，并且第二ap244-d可以从wlc705获得ft参数。第二ap244-d可以至少部分地基于ft参数导出安全密钥(例如，会话密钥)，并且比没有ft参数的认证更快速地利用ft参数对sta242-b进行认证。

图8示出了根据本公开内容的各种方面的针对使用ft技术的对lan440-b的基于蜂窝rat的接入的参考架构。无线设备115-d可以建立与lan440-b的源an405-c(r1kh)的连接、执行利用位于源an405-c处的认证器和/或位于认证服务器410-b处的认证器进行的认证(例如，使用eap)，并且至少部分地基于认证与lan440-b(例如，lands446-b)安全地通信。

根据本公开内容的方面，lan440-b的源an405-c可以对用于在随后的切换期间进行转发的ft参数进行高速缓存。这样的转发可以被lan440-b支持，因为an405可以实现在其中an405对于交换这样的参数信任彼此的安全协议。lan440-b的该信任是与在其中还未在an244之间(例如，如参考图7描述的ap244-c与244-d之间)建立这样的安全协议的传统lan340(例如，参考图7描述的传统lan340-b)相反的。换句话说，传统lan340-b的ap244还未建立支持ap244之间的ft参数的交换的信任。因此，根据本公开内容的方面，lan440-b可以实现an405处的先进安全协议，以便促进无线设备115-d的从源an405-c到目标an405-d的快速切换。

在移动到lan440-b的目标an405-d(例如，另一个r1kh)的覆盖区域中时，无线设备115-d可以建立与目标an405-d的连接，并且目标an405-d可以从源an405-d获得ft参数。在某些示例中，ft参数可以由目标an405-d直接从源an405-c接收(例如，通过x2接口，经由lands446-b或者直接地从源an405-d)，这在传统lan协议下可能不可接受，因为ap244之间的直接的通信在传统协议下可能不是安全的或者受信任的。目标an405-d可以至少部分地基于ft参数导出安全密钥(例如，会话密钥)，并且比没有ft参数的认证更快速地利用ft参数对无线设备115-d进行认证，同时还利用根据本公开内容的可以在源an405-c与目标an405-d之间被提供的额外的信任。

图9示出了根据本公开内容的各种方面的可以被用于支持针对对lan440的基于蜂窝rat的接入的c平面功能的无线设备115-e处的协议栈905-a和an405-e处的协议栈910-a的图示900。图示900作为示例示出了如包括phy/mac/rlc/pdcp层的4g蜂窝rat的较低层协议(例如，l1/l2栈)。其它的l1/l2栈是可能的。使用4g协议作为示例，c平面可以支持在无线设备115-e和an405-e处被终止的无线资源控制(rrc)。

图10示出了根据本公开内容的各种方面的可以被用于支持针对对lan的基于蜂窝rat的接入的u平面功能的an405-f处的协议栈910-b和无线设备115-f处的协议栈905-b的图示1000。图示1000作为示例示出了如包括phy/mac/rlc/pdcp层的4g蜂窝rat的较低层协议(例如，l1/l2栈)。其它的l1/l2栈是可能的。使用4g作为示例，u平面可以在无线设备115-f与an405-f之间支持ieee802.3。an405-f可以在无线设备115-f与lands446-c之间对分组进行中继。an105-h与lands446-c之间的u平面协议栈未被指定。

例如，ieee802.11r不定义r0kh与r1kh之间的具体的协议和协议栈，而仅定义必须被传输的参数。在所描述的技术采用分两层的安全性分层时，相同的规范可以适用。

图11示出了根据本公开内容的各种方面的无线设备115-g处的协议栈905-c、an405-g处的协议栈910-c和认证服务器410-c处的协议栈915-c的图示1100，上述各项可以被用于与使用ieee802.1x的方面的认证服务器410-c的经由通过c平面的eap的认证。在无线设备115-g与an405-g之间的蜂窝链路上，eap交换可以被封装在rrc中(例如，使用信令无线承载(srb))。在an405-g与认证服务器410-c之间，协议栈未被指定。图示1100示出了半径/直径作为可以在an405-g与认证服务器410-c之间被使用的协议的示例。

图12示出了根据本公开内容的各种方面的无线设备115-h处的协议栈905-d、an405-h处的协议栈910-d和认证服务器410-d处的协议栈915-d的图示1200，上述各项可以被用于经由通过u平面的eap的认证。在图示1200中，认证服务器410-d可以使用例如ieee802.1x的方面。在无线设备115-h与an405-h之间的蜂窝链路上，eap交换可以位于使用数据无线承载(drb)的数据平面之上。在an405-h与认证服务器410-d之间，协议栈未被指定。图示1200示出了半径/直径作为可以在an405-h与认证服务器410-d之间被使用的协议的示例。

例如在无线设备115-h和an405被装备有例如预共享密钥(psk)的情况下，对eap的使用不是强制的。

对于源an405与目标an405之间的x2接口，支持x2专用的信令消息和x2业务的任何协议栈可以被使用。在一个实施例中，x2可以在用户数据报协议(udp)/ip/ds协议栈之上运行，其中，x2/udp/ip协议栈是符合3gpp技术规范(ts)36.423和3gpps36.424的。可以例如对于具有针对ipv4的ethertype＝0x0800和针对ipv6的ethertype＝0x86dd的基于扁平以太网的ds支持ip/ds协议层的分层。

图13示出了根据本公开内容的各种方面的用于建立无线设备115-j与lan440-c之间的经由an405-i的安全连接的示例消息流1300。消息流1300示出了无线设备115-j、an405-i和lan440-c的可选的认证服务器410-e之间的消息。无线设备115-i可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备115的方面的示例。an405-i可以是参考图4、6、8、9、10、11和12描述的an405的方面的示例。认证服务器410-e可以是参考图4、6、8、11和12描述的认证服务器410的方面的示例。

在消息流1300中，在无线设备115-i与an410-i之间被发送的消息可以通过至少部分地基于(例如，实现其方面)蜂窝rat(例如，lte/lte-arat)的连接被发送。在使用所描述的技术中的某些或者全部技术的替换的消息流中，可以通过至少部分地基于另一种类型的rat的连接在无线设备115-i与an405-i之间发送消息。在某些示例中，在无线设备115-i与an405-i之间被发送的消息可以是在3gppts36.300、ts36.331或者ts33.401中被描述的消息或者至少部分地基于在3gppts36.300、ts36.331或者ts33.401中被描述的消息的消息。本公开内容描述了在无线设备115-i、an405-i和可选的认证服务器410-e之间被发送的消息的参数，这些参数是与所描述的技术相关的。在某些示例中，消息可以包括诸如是在3gppts36.300、ts36.331或者ts33.401中被描述的其它参数的其它参数。

在1305处，an405-i可以广播系统信息(例如，发送系统信息块(sib))。系统信息可以包括用于配置用于与an405-i通信的接口(例如，蜂窝接口或者lte/lte-a接口)的参数。在某些示例中，系统信息可以包括关于针对与lan400-c的通信(例如，经由an405-i与lan440-c的lands446的通信)的认证被an405-i支持的指示。所述指示可以指示认证通过rrc层或者nas层(例如，经由以太网、eapol等)被支持，或者与lan440-c中的认证器(例如，被与an405-i共置的认证器和/或认证服务器410-e的认证器)的认证被支持。在某些示例中，所述指示可以还指示利用诸如是位于蜂窝运营商网络的cn130(例如，参考图1描述的无线通信系统100的cn130)处的认证器之类的不位于lan440-c中的认证器进行的认证被支持。关于针对与lan440-c的通信的认证被支持的指示可以是明确的或者暗含的。暗含的指示可以例如包括无线设备115-i可以用于对被存储在无线设备115-i处的an405-i的配置编制索引的网络标识符或者运营商标识符(例如，指示an405-i借助于rrc层、nas层、以太网、与an405-i相关联(被共置在其处)的认证器、与认证服务器410-e相关联的认证器等支持针对与lan440-c的通信的认证的信息)。

在某些示例中，在1305处被广播的系统信息可以包括对诸如是使用psk的认证、与认证服务器410-e的认证或者预认证这样的被支持的认证的类型的指定。在预认证的情况下，无线设备115-i可以至少部分地基于作为与认证服务器410-e的在先认证的一部分(例如，作为经由lan440-c的不同的an405(未示出)被执行的认证过程的一部分)被建立的pmk执行认证过程。

在某些示例中，在1305处被广播的系统信息可以包括诸如是小区专用的参数(例如，物理小区身份(pci))、小区全局身份(cgi)、封闭用户组id(csgid)、针对下行链路的演进型绝对射频信道号(earfcn-dl)、lan440-c上的an405-i的mac地址或者其任意组合)的参数。参数可以被包括在于1360处被执行的密钥导出中，或者可以被无线设备115-i用于检索针对an405-i的psk或者pmk(例如，在预认证被支持时)。

在1310处，无线设备115-i可以发起与an405-i的随机接入过程(例如，rach过程)，用以建立与an405-i的小区无线网络临时标识符(c-rnti)，并且用以从an405-i获得时序对齐信息。随机接入过程可以是至少部分地基于在1305处被接收的参数或者被存储在无线设备115-i处的针对an405-i的配置的。

在1315处，无线设备115-i可以向an405-i发送rrc连接请求消息。rrc连接请求消息可以包括在1310处被建立的c-rnti。rrc连接请求消息可以还指示为了建立连接哪些类型的操作被无线设备115-i需要，例如，执行本地lan接入或者lan440-c对提供服务的运营商的中央网络节点(例如，cn)的接入等。

在1320处，an405-i可以通过向无线设备115-i发送rrc连接建立消息对在1315处被接收的rrc连接请求消息作出响应。rrc连接建立消息可以识别或者建立被用于认证消息的至少一个无线承载(rb)。至少一个rb可以包括srb或者drb。an405-i可以至少部分地基于lan440-c的本地策略或者rrc连接请求消息中的指示决定是否srb或者drb或者这两者应当被建立。在某些示例中，srb可以根据参考图11描述的c平面协议栈905-c、910-c和915-c被建立，并且srb可以支持传输被封装在rrc中的认证数据(例如，eap认证数据)。在某些示例中，drb可以根据参考图12描述的u平面协议栈905-d、910-d和915-d被建立，并且drb可以支持传输被封装在以太网中的用于通过nas层经由lands446向认证服务器410-e传输的认证数据(例如，eap认证数据)。rrc连接建立消息可以例如包括以下各项中的一些项或者全部项：被指示为被包括在系统信息广播中的信息；将被包括在1360处的安全密钥的导出中的诸如是新鲜值(nonce)(例如，新鲜值-an)这样的随机参数；lan440-c上的an405-i的mac地址(例如，用于为经由通过drb的eapol(通过lan的可扩展认证协议(eap))的认证作准备)；或者无线设备mac地址的配置。

在1325处，无线设备115-i可以通过向an405-i发送rrc连接建立完成消息对在1320处被接收的rrc连接建立消息作出响应。在某些示例中，1325处的通信可以还包括对于ft认证的请求，其中，ft认证可以包括如本文中描述的对ft参数的确定、交换和/或高速缓存。在某些示例中，对于ft认证的请求可以是至少部分地基于从an405-i接收对基于网络的ft的支持的指示的。支持的这样的指示可以由an405-i例如在1305处的sib中、在1310处的rach消息期间、在1325处的rrc连接建立消息期间或者在无线设备115-k与an405-i之间的任何其它通信期间提供。在某些示例中，来自an405-i的对基于网络的ft的支持的指示可以响应于1325处的ft认证请求被提供，并且可以在受保护的通信中被提供(例如，作为1370处的as安全模式命令的一部分、在1380处的rrc连接重新配置消息期间或者在认证过程之后的无线设备115-i与an405-i之间的某个其它的通信期间)。在某些示例中，无线设备115-i可以至少部分地基于接收对基于网络的ft的支持的指示相应地向an405-i发送ft参数的集合。

因此，1305直到1325可以说明与建立无线设备115-i与an405-i之间的连接相对应的操作的示例，并且无线设备115-i可以随后确定经由已建立的连接执行认证。根据本公开内容的方面，这些操作可以还包括针对无线设备115-i与lan440-c之间的认证的终点的指示。例如，指示可以识别如被与an405-i共置或者以其它方式集成在一起的认证器和/或如作为认证服务器410-e的一部分的认证器，认证服务器410-e可以不是与an405-i共置的。在某些示例中，认证终点的指示可以被包括在从an405-i去往无线设备115-i的消息中(例如，1305处的sib或者1320处的rrc连接响应中)。这样的消息可以包括对如作为nas层(其可以与使用认证服务器410-e处的认证器、lan440-c的另一个节点或者不是lan440-c的一部分的认证器进行的认证相对应)或者rrc层(其可以与使用an405-i处的认证器进行的认证相对应)的用于认证的协议终点的指示。在某些示例中，对用于认证的协议终点的指示可以由an405-i响应于由无线设备115-i发送的查询(例如，在1305-1325的连接建立期间或者某个其它时间)而发送。无线设备115-i因此可以确定至少部分地基于所接收的对用于认证的协议终点的指示和/或可以被存储在无线设备115-i处并且至少部分地基于接收与an405-i相关联的标识符(例如，在1305-1325的连接建立操作期间)被检索的an405-i的任何其它配置信息来执行认证。

在某些示例中，(例如，至少部分地基于所接收的对用于认证的协议终点的指示)，无线设备115-i可以确定将用于认证的一个或多个认证器(例如，确定使用被与an405-i共置的认证器或者位于认证服务器410-e处的认证器中的一个认证器或者全部两个认证器)，并且发送关于无线设备115-i已确定执行认证的指示，所述指示可以还包括关于将执行利用an405-i处的认证器和/或位于认证服务器410-e处的认证器进行的认证的指示。这样的指示可以由无线设备115-i在1315或者1325处作为作为rrc连接建立消息的一部分的明确的指示来发送。在某些示例中，无线设备115-i可以选择用于执行1310处的rach过程的特定的资源(例如，与rach过程相关联的具体的前导码)，并且关于将在具体的认证器处执行认证的指示可以是至少部分地基于所选择的资源的暗含的指示。换句话说，无线设备115-i可以将在1310处的rach过程期间使用具体的前导码确定为对将把哪个协议终点用于认证的暗含的指示。

1325处的rrc连接建立完成消息可以确认可以被用于认证消息的rb的建立，并且可以例如包括对无线设备115-i的能力的指示，包括被支持的密码套件。1325处的rrc连接建立完成消息可以还包括psk或者pmk的标识符(如果可用的话)以及允许an405-i检索针对无线设备115-i被高速缓存的psk或者pmk的无线设备115-i的标识符。无线设备115-i可以至少部分地基于在1305或者1320处获得的an405-i的pci、cgi或者mac地址检索这些密钥标识符。rrc连接建立完成消息可以还包括将被包括在1360处的安全密钥的导出中的诸如是新鲜值(例如，新鲜值-ue)这样的随机参数或者无线设备115-i的mac地址(例如，如果无线设备115-i的mac地址未在1320处被an405-i供应并且被配置的话)。无线设备115-i的mac地址可以被用于为经由通过drb的eapol的认证和为无线设备115-i与lan440-c之间的业务转发(例如，无线设备115-i与lan440-c的lands446之间的业务转发)作准备。

在1330处，an405-i可以可选地触发无线设备115-i与认证服务器410-e之间的认证过程。无线设备115-i与认证服务器410-e之间的认证过程可以例如在an405-i处的认证器不可以至少部分地基于由无线设备115-i提供的信息分配psk或者pmk时或者在使用psk或者预认证的认证不被an405-i处的认证器支持时被触发。在某些示例中，发无线设备115-i与认证服务器410-a之间的认证过程可以是至少部分地基于从无线设备115-i接收的对于执行利用认证服务器410-e处的认证器进行的认证的指示的。

根据在无线设备115-i与认证服务器410-e之间被执行的认证过程，无线设备115-i和认证服务器410-e中的每项可以在1335或者1340处导出主会话密钥(msk)。根据msk，无线设备115-i和认证服务器410-e中的每项可以在1345或者1350处导出pmk。无线设备115-i与认证服务器410-e之间的认证过程可以例如使用eap。eap消息可以以各种方式(例如包括通过在1320处被识别的rb原生地)经由an405-i在无线设备115-i与认证服务器410-e之间被交换。在该示例中，rb的分组数据汇聚协议(pdcp)层可以携带关于eap分组被封装在蜂窝链路上的指示符(例如，分组可以被标记为与与分组相关联的pdcppdu报头中的认证有关)。在另一个示例中，eap消息可以通过专用于认证信息的交换的rb在无线设备115-i与认证服务器410-e之间被交换。在该示例中，专用rb的逻辑信道id可以将在专用rb上被发送的分组标记为与eap有关。在另一个示例中，参考图11，eap消息可以在被标记为与认证有关(例如，在标有eap指示符的rrc容器中)的rrc消息(例如，针对通过nas层经由lands446向认证服务器410-e的传输被封装的)中在无线设备115-i与认证服务器410-e之间被交换。在另一个示例中，参考图12，eap消息可以在经由携带ethertype＝eap的业务的nas层通过drb被发送的以太网分组(eapol)中在无线设备115-i与认证服务器410-e之间被交换。

在无线设备115-i与认证服务器410-e之间的认证过程被执行时，以及在认证服务器410-e成功地导出pmk时，认证服务器410-e可以在1355处向an405-i转发pmk。在某些示例中，pmk可以被转发到an405-i。其后，并且不论无线设备115-i与认证服务器410-e之间的可选的认证过程在1330处是否被执行，无线设备115-i和an405-i两者都应当在1360或者1365之前具有对pmk的拥有。

在1360或者1365处，无线设备115-i和an405-i中的每项可以使用密钥导出函数(kdf)来根据pmk导出新鲜会话密钥，kan(即，安全密钥)。kdf的一个示例是ieee802.11i中的被用于根据pmk导出成对瞬时密钥(ptk)的kdf。除了an405-i的诸如是pci的an专用id、cgi、csg-id、earfcn-dl、mac地址或者其任意组合之外，kdf可以是至少部分地基于在无线设备115-i和an405-i之间被交换的随机参数(例如，新鲜值-ue和新鲜值-an)。另外的安全密钥可以根据会话密钥kan被导出，以便与lan440-c安全地通信(例如，以便经由an405-i与lan440-c的lands446安全地通信)。诸如是用户平面安全密钥kupenc或者kupint或者rrc安全密钥krrcenc或者krrcint之类的这些另外的安全密钥可以被用于保护可以至少部分地基于所述另外的安全密钥被建立的如例如在3gppts33.401中定义的分别通过无线设备115-i与lan440-c(例如，利用lan440-c的lands446)之间的drb或者srb被发送的业务。

因此，1330-1365的操作可以说明与可选地执行与作为位于未被与an405-i共置的认证服务器410-e处的认证器的协议终点的认证相关联的操作的示例，所述认证可以与在1305处被接收的将协议终点识别为nas层的指示相对应。在这样的示例中，an405-a可以经由lands446被通信地耦合到认证服务器410-e(见图4)，并且认证消息可以被封装在以太网分组中以便例如经由lands446在an405-a与认证服务器410-e之间传输。如果，替代地，认证服务器410-e被与an405-i共置，则1305处的对用于认证的协议终点的指示将识别rrc层，并且协认证服务器410-e将经由rrc层与无线设备115-i通信。尽管关于作为lan440-v的一部分的认证服务器410-e描述了示例消息流1300的认证过程，但在各种实施例中，所描述的认证过程可以替换地或者额外地由被与an405-i共置的认证器或者在lan440-c之外的认证器(例如，蜂窝运营商网络的cn130的认证器)处执行。

在1370处，an405-i可以向无线设备115-i发送接入层(as)安全模式命令消息。as安全模式命令消息可以指示将被无线设备115-i用于与lan440-c安全地通信(例如，用于经由an405-i与lan440-c的lands446安全地通信)的具体的密码套件，并且可以包括使用kan来证明an的关于kan的确认的消息完整性代码。

在1375处，无线设备115-i可以通过向an405-i发送as安全模式命令完成消息对在1370处接收的as安全模式命令消息作出响应。as安全模式命令完成消息可以包括使用kan来证明无线设备的关于kan的确认的消息完整性代码。

在1380处，an405-i可以向无线设备115-i发送rrc连接重新配置消息，以便建立哪些drb和srb至少部分地基于kan被保护。

在1385处，无线设备115-i可以配置在1380处被识别的rb，并且可以通过向an405-i发送rrc连接重新配置完成消息对在1380处接收的rrc连接重新配置消息作出响应。其后，无线设备115-i可以通过在受保护的drb上发送具有其mac地址的以太网分组来与lan440-c安全地通信(例如，经由an405-i与lan440-c的lands446安全地通信)。

图14示出了根据本公开内容的各种方面的用于执行具有与lan440-d的安全连接的无线设备115-j的从源an405-j向目标an405-k的切换的示例消息流1400。消息流1400说明了无线设备115-j、源an405-j、目标an405-k和lan440-d的可选的认证节点(例如，认证服务器410-f)之间的消息。无线设备115-j可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备115的方面的方面的示例。源an405-j和目标an405-k可以是参考图1、2、4、6、8、9、10、11和12描述的an405的方面的示例。认证服务器410-f可以是参考图4、6、8、11和12描述的认证服务器410的方面的示例。

在消息流1400中，在无线设备115-j与源an410-j之间或者无线设备115-j与目标an405-k之间被发送的消息可以通过至少部分地基于(例如，实现其方面)蜂窝rat(例如，lte/lte-arat)的连接来被发送。在使用所描述的技术中的某些或者全部技术的替换的消息流中，可以通过至少部分地基于另一种类型的rat的连接在无线设备115-j与源an405-j之间或者无线设备115-j与目标an405-k之间发送消息。在某些示例中，在无线设备115-j与源an410-j之间或者无线设备115-j与目标an405-k之间被发送的消息可以是在3gppts36.300、ts36.331或者ts33.401中被描述的消息或者至少部分地基于在3gppts36.300、ts36.331或者ts33.401中被描述的消息的消息。本公开内容描述了在无线设备115-j、源an405-j、目标an405-k和可选的认证服务器410-f之间被发送的消息的参数，这些参数是与所描述的技术相关的。在某些示例中，消息可以包括其它参数，诸如是在3gppts36.300、ts36.331或者ts33.401中被描述的其它参数。

在1405处，无线设备115-j可以通过根据如参考图13描述的消息流1300的各种操作建立的连接经由源an405-j被连接到lan440-d。源an405-j可以向无线设备115-j发送rrc连接重新配置消息，以便建立哪些drb和srb至少部分地基于第一安全密钥kan被保护。在某些示例中，rrc连接重新配置消息可以为无线设备115-j提供测量配置。测量配置可以使无线设备115-j能够测量与源an405-j和潜在的目标an405(例如，包括目标an405-k)的通信的参数。响应于接收rrc连接重新配置消息，无线设备115-j可以配置所识别的rb，并且通过向源an405-j发送rrc连接重新配置完成消息(未示出)对rrc连接重新配置消息作出响应。在某些示例中，rrc连接重新配置消息和rrc连接重新配置完成消息可以是参考图13描述的消息流1300的在1375和1380处被发送的rrc连接重新配置消息和rrc连接重新配置完成消息的示例。

在1410处，无线设备115-j可以经由与源an405-j的连接与lan440-d安全地通信(例如，与lan440-d的lands446安全地传送ul和dl数据)。1405处的通信可以包括通过无线设备115-j与源an405-j之间的受保护的drb发送具有无线设备115-j的mac地址的以太网分组。

在1415处，无线设备115-j可以使用在1405处接收的测量配置来测量从目标an405-k接收的通信。例如，无线设备115-j可以测量从目标an405-k接收的通信的信号强度。

在1420处，无线设备115-j可以接收被目标an405-k广播的系统信息(例如，sib)。系统信息可以包括参考参照图13描述的消息流1300的1305处的操作描述的信息中的任一项信息。在某些示例中，无线设备115-j可以对所接收的系统信息的仅一部分(例如，对于获得目标an405-k的pci或者cgi足够的系统信息)进行解码。

在1425处，无线设备115-j可以向源an405-j发送测量报告。除了诸如是目标an405-k的pci或者cgi这样的识别信息之外，测量报告可以包括与对与目标an405-k的通信的测量相关的信息。在无线设备115-j由于与目标an405-k的预认证而保存pmk时，无线设备115-j可以将pmk的pmk_id包括在测量报告中。测量可以还包括诸如是新鲜值(例如，新鲜值-ue)或者新鲜值-ue-id之类的随机参数，其可以被源an405-j用于在消息流1400的稍后的阶段处识别具体的新鲜值-ue。

在1427处，源an405-j可以至少部分地基于该测量报告确定发起无线设备115-j的从源an405-j向目标an405-k的切换。这是与其中由sta242(例如，参考图5描述的sta242-a)作出移动性决策的传统lan340(例如，参考图5描述的传统lan340-a)的操作相反的。通过提供如本文中描述的基于网络的移动性，lan440-d的设备可以有利地协调在源an405-j与目标an405-k之间切换无线设备115-j的方面，这可以减少由于源an405-j与目标an405-k的覆盖区域之间的恶化的无线状况和/或移动导致的停机时间，减少用于执行无线设备115-j与lan440-d之间的认证的时间的量，并且减少无线设备115-j与lan440-d之间的通信等待时间。

在1430处，源an405-j可以向目标an405-k发送切换(ho)请求消息(例如，至少部分地基于在1425处接收的测量报告)。切换请求消息可以包括无线设备115-j的上下文。在某些示例中，切换请求消息可以是经由lan440-d被路由的x2消息。在某些示例中，源an可以通过至少部分地基于被包括在来自无线设备115-j的测量报告中的pci或者cgi对查找表编制索引，来检索目标an405-k的传输地址。切换请求消息可以还包括根据(例如，至少部分地基于)第一安全密钥kan被导出的可以被称为kan*的临时安全密钥。可以使用kdf(例如，如在3gppts33.401中描述的用于根据kenb导出kenb*的kdf)导出临时安全密钥。除了在测量报告中被提供的pmk_id(如果有的话)之外，切换请求消息可以还包括在测量报告中从无线设备115-j接收的新鲜值-ue或者新鲜值-ue-id。

在1432处，在接受切换请求时，目标an405-k可以以切换请求确认(ack)消息对源an405-j作出响应。目标an405-k可以在切换请求ack消息中包括保存使无线设备115-j能够连接到目标an405-k的rrc配置的容器。rrc配置可以包括在切换请求消息中被接收的除了新鲜值-ue-id(如果有的话)之外的诸如是新鲜值(例如，新鲜值-an)这样的随机参数。容器可以还保存指示临时安全密钥kan*可以如何被用于经由目标an405-k与lan440-d(例如，lan440-d的lands446)安全地通信的临时安全密钥使用策略。切换请求ack消息可以还指示从由源an405-j向目标an405-k发送的无线设备115-j安全能力中选择的密码套件。切换请求ack消息可以还包括对无线设备115-j是否需要在与目标an405-k安全地通信之前执行与认证服务器(例如，可选的认证服务器410-f)的认证握手的指示。在源an405-j向目标an405-k转发pmk_id并且目标an405-k能够检索对应的pmk时，对无线设备115-j是否需要执行与认证服务器410的认证握手的指示可以不是必要的。

临时安全密钥使用策略(例如，临时安全密钥的约束策略)可以包括以下各项中的至少一项：对在其内临时安全密钥对于经由目标an405-k与lan440-d安全地通信来说有效的时间间隔的指示(例如，到期时间)；对对于其临时安全密钥对于经由目标an405-k与lan440-d安全地通信来说有效的分组的数量的指示；对对于其临时安全密钥对于经由目标an405-k与lan440-d安全地通信来说有效的一个或多个承载的集合的指示；对对于其临时安全密钥对于经由目标an405-k与lan440-d安全地通信来说有效的承载类型的指示；或者其组合。

在1435处，源an405-j可以在rrc连接重新配置消息中向无线设备115-j转发从目标an405-k接收的rrc配置。在某些示例中，源an405-j可以还向无线设备115-j转发临时安全密钥kan*。然而，在某些示例中，无线设备115-j可以在无线设备115-j处单独地导出kan*(例如，至少部分地基于相似的过程、至少部分地基于如参考1430描述的被源405-j用于导出kan*的kan)。在该点处，无线设备115-j和目标an405-k保存针对直接蜂窝连接的rrc配置以及随机参数新鲜值-ue和新鲜值-an。

在1440处，源an405-j可以在sn传输消息中向目标an405-k发送当前的pdcp序列号(sn)；并且在1445处，源an405-j可以经由x2接口向目标an405-k发送针对无线设备115-j被缓冲的dl数据。

在1450处，无线设备115-j可以执行与目标an405-k的rach握手。

在1455处，无线设备115-j可以向目标an405-k发送rrc连接重新配置完成消息，因此建立无线设备115-j与目标an405-k之间的连接。已建立的连接可以包括受保护的drb，其中保护是至少部分地基于临时安全密钥kan*(例如，至少部分地基于无线设备115-j已知的kan*和目标an405-k已知的kan*的比较)的，并且在其中对受保护的drb的使用是至少部分地基于针对临时安全密钥的使用策略的。无线设备可以例如在从lan440-d接收的配置信息中、在从源an405-j接收的切换命令消息中和/或在从目标an405-k接收的配置信息中接收使用策略。该受保护的drb可以被用于与lan440-d(例如，与lan440-d的lands446)交换以太网业务。rrc配置可以还作为连接的一部分建立用于rrc消息的srb，并且可以建立可用于利用认证服务器(例如，可选的认证服务器410-f)执行认证过程的第二drb，如由对无线设备115-j是否需要执行与认证服务器的认证握手的指示所指示的。因此，1427直到1455的操作可以说明执行无线设备115-j的从源an405-j向目标an405-k的切换的示例。

在1460处，无线设备115-j可以使用受保护的drb来经由目标an405-k与lan440-d交换ul和dl以太网业务。受保护的drb可以至少部分地基于临时安全密钥kan*被保护，其中，临时安全密钥的使用是受被包含在被无线设备115-j在1435处接收的rrc连接重新配置消息中的策略支配的。

在1465处，并且至少部分地基于关于无线设备115-j需要执行与认证服务器的认证握手的指示，无线设备115-j可以经由与目标an405-k相关联的第二drb(例如，与临时安全密钥kan*相关联的drb)利用认证服务器410-f执行认证过程。因此，目标an405-k可以充当针对目标an405-l与认证服务器410-f之间的认证过程的中继器。在某些示例中，认证过程可以是至少部分地基于与认证服务器410-f的eap握手的。根据该认证过程，无线设备115-j和认证服务器410-f可以导出msk(分别在1470和1472处)，并且然后根据msk导出pmk(分别在1475和1477处)。

因此，1465直到1477处的操作说明了执行与认证服务器410的认证的示例，其中，认证是至少部分地基于eap的。可以例如通过至少部分地基于临时安全密钥kan*的经由目标an405-k的连接来实现认证。在某些示例中，可以执行与诸如是中央建钥节点805(未示出)这样的lan440-d的另一个节点的认证，并且认证过程可以是至少部分地基于恳求者密钥保存者标识符(id)、认证器密钥保存者id、pmkid、pmk名称或者其组合的。诸如是各种专有安全解决方案的其它安全解决方案可以是在lan440-d处可能的。

根据本公开内容的方面，1460和/或1465处的通信可以涉及至少部分地基于临时安全密钥kan*和针对临时安全密钥kan*的使用策略(例如，约束策略)的通信。例如，至少部分地基于临时安全密钥的通信可以包括固定持续时间(例如，固定量的时间或者固定量的数据(例如，固定数量的数据分组))内的数据通信和/或经由专用通信链路(例如，针对1460处的ul和dl数据通信的专用无线承载和/或针对用于建立更实质的重新认证的1465处的通信的专用无线承载)的通信。这些操作可以促进无线设备115-j的针对各种通信的比否则将被传统lan340(例如，参考图5描述的传统lan340-a)允许的切换更平滑和/或更迅速的切换。例如，传统lan340的安全策略可能不允许ap244之间的安全信息的这样的转发，并且可能要求sta242的更实质的认证(例如，与目标ap的新的重新认证和/或与aaa248的完整认证)，并且因此不允许临时安全密钥被交换。

通过对比，因为使用特定的协议(例如，蜂窝rat的方面)来支持允许在an405之间提供这样的临时安全密钥的源an405-j与目标an405-k之间的安全的层，所以可以在更实质的认证被执行(例如，与认证服务器410-f的)之前在lan440-d中允许至少部分地基于临时安全密钥kan*的通信。因此，至少部分地基于临时安全密钥kan*的1460和/或1465处的通信可以通过限制或者避免与诸如是以sta为中心的切换过程这样的传统lan340的切换过程相关联的通信中断来提供无线设备115-j的从源an405-j向目标an405-k的更平滑的切换。然而，通过根据关联的使用策略限制至少部分地基于临时安全密钥kan*的通信，lan440-d的各种安全策略(例如，根据wi-fi协议的安全策略或者某些其它专有安全策略)可以仍然被支持(例如，至少部分地基于临时安全密钥kan*的到期、至少部分地基于对于不支持临时安全密钥的无线设备115将临时安全密钥kan*的使用限于特定类型的通信或者特定的无线承载等)。

在1480处，认证服务器410-f可以向目标an405-k发送pmk。分别在1485和1487处，无线设备115-j和目标an405-k可以各自至少部分地基于pmk、新鲜值-ue和新鲜值-an导出第二安全密钥。第二安全密钥可以充当针对经由可以实施蜂窝rat的方面的无线设备115-j与目标an405-k之间的连接的无线设备115-j与lan440-d之间的安全的通信的新kan。

在1490处，目标an405-k可以向无线设备115-j发送rrc连接重新配置消息，用以配置在其中保护是至少部分地基于第二安全密钥的的受保护的drb。rrc连接重新配置消息可以包括使用第二安全密钥来向无线设备115-j验证目标an405-k具有第二安全密钥的确认的消息完整性代码。

在1495处，无线设备115-j可以通过发送rrc连接重新配置完成消息对在1490处接收的rrc连接重新配置消息作出响应。rrc连接重新配置完成消息可以包括使用第二安全密钥来向目标an405-k验证无线设备115-j具有第二安全密钥的确认的消息完整性代码。

在1497处，无线设备115-j可以通过在无线设备115-j与目标an405-k之间被建立的连接的新被配置的drb与lan440-d(例如，lan440-d的lands446)交换以太网业务。

因此，根据本公开内容的方面，无线设备115-j可以根据临时安全密钥kan*和针对临时安全密钥kan*的使用策略并且还根据不受与临时安全密钥kan*相关联的使用策略支配的1480的第二安全密钥经由在无线设备115-j与目标an405-k之间被建立的连接与lan440-d安全地通信。在某些示例中，这可以包括在不同时间处发生的至少部分地基于临时安全密钥的安全的通信和至少部分地基于第二安全密钥的通信。在某些示例中，这些安全的通信可以包括从至少部分地基于临时安全密钥与lan440-d安全地通信切换到至少部分地基于第二安全密钥与lan440-d安全地通信，并且切换可以是至少部分地基于从目标an405-k接收的配置消息(例如，在1490处被发送的rrc连接重新配置消息)、第二安全密钥的可用性或者其组合的。

如本文中使用的，至少部分地基于被描述为“不受”针对另一个安全密钥的约束策略“支配”的安全密钥的安全的通信可以指在其中另一个安全密钥的约束策略中没有任何约束策略被应用的通信、在其中另一个安全密钥的约束策略的某个子集被应用的通信、在其中完全不同的约束策略被应用的通信、在其中没有任何约束策略适用的通信等。换句话说，至少部分地基于两个不同的安全密钥的安全的通信可以是基于不同的约束策略的。

在消息流1400的变型中，认证服务器410-f可以是中央建钥节点805(例如，无线lan控制器)或者以其它方式被与中央建钥节点805集成在一起，并且利用中央建钥节点805被执行的认证过程可以是至少部分地基于以下各项的：恳求者密钥保存者id、认证器密钥保存者id、pmkid、pmk名称或者其组合。

图15示出了根据本公开内容的各种方面的用于建立无线设备115-l与lan440-e之间的安全连接的示例消息流1500。消息流1500说明了无线设备115-l、lan440-e的an405-l、lan440-e的中央建钥节点805-a和lan440-e的认证服务器410-g之间的消息。无线设备115-l可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备115的方面的示例。an405-l可以是参考图4、6、8、9、10、11和12描述的an405的方面的示例。中央建钥节点805-a可以是参考图8描述的中央建钥节点805的方面的示例。认证服务器410-g可以是参考图4、6、8、11和12描述的认证服务器410的方面的示例。

在消息流1500中，在无线设备115-k与an之间被发送的消息可以通过至少部分地基于(例如，实现其方面)蜂窝rat(例如，lte/lte-arat)的连接被发送。在使用所描述的技术中的某些或者全部技术的替换的消息流中，可以通过至少部分地基于另一种类型的rat的连接在无线设备115-k与an405-l之间发送消息。在某些示例中，在无线设备115-k与an410-l之间被发送的消息可以是在3gppts36.300、ts36.331或者ts33.401中被描述的消息或者至少部分地基于在3gppts36.300、ts36.331或者ts33.401中被描述的消息的消息。本公开内容描述了在无线设备115-k、an405-l和认证服务器410-g之间被发送的消息的参数，这些参数是与所描述的技术相关的。在某些示例中，消息可以包括诸如是在3gppts36.300、ts36.331或者ts33.401中被描述的其它参数之类的其它参数。

在某些示例中，作为消息流1500的一部分被发送的消息可以是作为参考图13描述的消息流1300的一部分被发送的消息的示例，并且可以包括作为消息流1300的一部分被发送的对应(包括其整体)的消息的方面。

在1505处，an405-l可以广播系统信息(例如，发送sib)。系统信息可以包括用于配置用于与an405-l通信的接口(例如，蜂窝接口或者lte/lte-a接口)的参数。在某些示例中，系统信息可以包括快速过渡移动域id(mdid)。至少部分地基于mdid，无线设备115-k可以识别r0kh(例如，中央建钥节点805-a)的变更(如果有的话)。

在1510处，无线设备115-k可以发起与an405-l的随机接入过程(例如，rach过程)，用以建立与an405-l的c-rnti，并且用以从an405-l获得时序对齐信息。随机接入过程可以是至少部分地基于在1505处接收的参数或者被存储在无线设备115-k处的针对an405-l的配置的。

在1515处，无线设备115-k可以向an405-l发送rrc连接请求消息。rrc连接请求消息可以包括在1510处被建立的c-rnti。

在1520处，an405-l可以通过向无线设备115-k发送rrc连接建立消息对在1515处接收的rrc连接请求消息作出响应。rrc连接建立消息可以识别(或者建立)被用于认证消息的至少一个rb。至少一个rb可以包括srb或者drb。rrc连接建立消息可以例如包括以下各项中的一些项或者全部项：被指示为将被包括在系统信息广播中的信息(包括mdid，如果其不在系统信息广播中被发送的话)；将被包括在1575或者1577处的安全密钥的导出中的诸如是新鲜值(例如，新鲜值-an)的随机参数；r1-密钥-保存者-id(r1kh-id)和r0-密钥-保存者-id(r0kh-id)；或者lan440-e上的无线设备115-k的mac地址(其可以充当诸如是s1-密钥-保存者id(s1kh-id)的恳求者密钥保存者id)。在某些示例中，r1kh-id可以是lan440-e上的an405-l的mac地址。在某些示例中，r0kh-id可以是被称为wlc的网络节点(例如，中央建钥节点805-a)的标识符。

在1525处，无线设备115-k可以通过向an405-l发送rrc连接建立完成消息对在1520处接收的rrc连接建立消息作出响应。rrc连接建立完成消息可以确认被用于认证消息的rb的建立，并且可以例如包括s1kh-id，s1kh-id在某些示例中可以是无线设备115-k的mac地址。在无线设备115-k的mac地址充当s1kh-id并且在rrc连接建立消息(1520处)中从an405-l被接收时，s1kh-id可以不被包括在rrc连接建立消息中。rrc连接建立完成消息可以还包括将被包括在1575或者1577处的安全密钥的导出中的诸如是新鲜值(例如，新鲜值-ue)的随机参数。

在某些示例中，1525处的通信可以还包括对于ft认证的请求，该请求可以包括对如本文中描述的ft参数的确定、交换和/或高速缓存。在某些示例中，对于ft认证的请求可以是至少部分地基于从an405-l接收对于基于网络的ft的支持的指示的。这样的支持指示可以由an405-l例如在1505处的sib中、1510处的rach消息期间、1525处的rrc连接建立消息期间或者无线设备115-k与an405-l之间的任何其它通信期间提供。在某些示例中，来自an405-l的对针对基于网络的ft的支持的指示可以响应于1525处的ft认证请求被提供，并且可以在受保护的通信中被提供(例如，作为1580处的as安全模式命令的一部分、在1590处的rrc连接重新配置消息期间或者在认证过程之后的无线设备115-k与an405-l之间的某些其它通信期间)。在某些示例中，无线设备115-k可以至少部分地基于接收对针对基于网络的ft的支持的指示相应地向an405-l发送ft参数的集合。

在1530处，an405-l可以触发无线设备115-k与认证服务器410-g之间的认证过程。根据在无线设备115-k与认证服务器410-g之间被执行的认证过程，无线设备115-k和认证服务器410-g中的每项可以在1535或者1540处导出msk。根据msk，无线设备115-k和认证服务器410-g中的每项可以在1545或者1550处导出pmkr0。无线设备115-k与认证服务器410-g之间的认证过程可以例如使用eap。可以例如包括在于1520处被识别的rb上原生地这样地以各种方式在无线设备115-k与认证服务器410-g之间(例如，经由an405-l)交换eap消息。可以经由中央建钥节点805-a对eap传输进行路由。

在1555处，认证服务器410-g可以在安全的信道上向中央建钥节点805-a转发pmkr0。在1560和1565处，中央建钥节点805-a和无线设备115-k可以分别使用kdf(例如，使用在ieee802.11r中定义的kdf)根据pmkr0导出pmkr1。kdf可以是至少部分地基于an405-l和无线设备115-k的mac地址的。在1570处，中央建钥节点805-a可以向an405-l发送pmkr1。

在1575和1577处，无线设备115-k和an405-l中的每项可以使用kdf来根据pmkr1导出新鲜会话密钥kan(例如，安全密钥)。kdf的一个示例是ieee802.11i中的被用于根据pmk导出ptk的kdf。除了诸如是an405-l的pci、cgi或者mac地址这样的an专用的id之外，kdf可以是至少部分地基于在无线设备115-k与an405-l之间被交换的随机参数(例如，新鲜值-ue和新鲜值-an)的。可以根据会话密钥kan导出另外的安全密钥，以便与lan440-e(例如，与lan440-e的lands446)安全地通信。诸如是kup和krrc这样的这些另外的安全密钥可以被用于保护如例如在3gppts33.401中定义的分别通过drb或者srb被发送的业务。

在1580处，an405-l可以向无线设备115-k发送as安全模式命令消息。as安全模式命令消息可以指示将被无线设备115-k用于与lan440-e安全地通信的具体的密码套件，并且可以包括使用kan来证明an的关于kan的确认的消息完整性代码。

在1585处，无线设备115-k可以通过向an405-l发送as安全模式命令完成消息对在1580处接收的as安全模式命令消息作出响应。as安全模式命令完成消息可以包括使用kan来证明无线设备的关于kan的确认的消息完整性代码。

在1590处，an405-l可以向无线设备115-k发送rrc连接重新配置消息，以便建立哪些drb和srb至少部分地基于kan被保护。

在1595处，无线设备115-k可以配置在1590处被识别的rb，并且可以通过向an405-l发送rrc连接重新配置完成消息对在1590处接收的rrc连接重新配置消息作出响应。其后，无线设备115-k可以通过在受保护的drb上发送具有其mac地址的以太网分组来与lan440-e(例如，与lan440-e的lands446)安全地通信。

图16示出了根据本公开内容的各种方面的用于执行与lan440-f的安全连接的从源an405-m向目标an405-n的快速过渡的示例消息流1600。消息流1600说明了无线设备115-l、源an405-m、目标an405-n和中央建钥节点805-b之间的消息。无线设备115-l可以是参考图1、2、4、6、8、9、10、11和12描述的无线设备115的方面的示例。源an405-m和目标an405-n可以是参考图4、6、8、9、10、11和12描述的an405的方面的示例。中央建钥节点805-b可以是参考图8和15描述的中央建钥节点805的方面的示例。

在消息流1600中，在无线设备115-l与源an405-m之间或者无线设备115-l与目标an405-n之间被发送的消息可以通过至少部分地基于(例如，实现其方面)蜂窝rat(例如，lte/lte-arat)的连接被发送。在使用所描述的技术中的某些或者全部技术的替换的消息流中，可以通过至少部分地基于另一种类型的rat的连接在无线设备115-l与源an405-m之间或者无线设备115-l与目标an405-n之间发送消息。在某些示例中，在无线设备115-l与源an405-m之间或者无线设备115-l与目标an405-n之间被发送的消息可以是在3gppts36.300、ts36.331或者ts33.401中被描述的消息或者至少部分地基于在3gppts36.300、ts36.331或者ts33.401中被描述的消息的消息。本公开内容描述了在无线设备115-l、源an405-m、目标an405-n和中央建钥节点805-b之间被发送的消息的参数，这些参数是与所描述的技术相关的。在某些示例中，消息可以包括诸如是在3gppts36.300、ts36.331或者ts33.401中被描述的其它参数这样的其它参数。

在1605处，无线设备115-l可以被连接到源an405-m(例如，经由第一连接，第一连接可以是例如根据参考图13和15描述的消息流1300和/或1500的操作建立的)，并且源an405-m可以向无线设备115-l发送rrc连接重新配置消息，以便建立哪些drb和srb至少部分地基于第一安全密钥kan被保护。在某些示例中，rrc连接重新配置消息可以为无线设备115-l提供测量配置。测量配置可以使无线设备115-l能够测量与源an405-m和潜在的目标an(例如，包括目标an405-n)的通信的参数。可以随后将这些所测量的参数提供给lan440-f，以便支持如根据本公开内容描述的基于网络的移动性操作。lan440-f的基于网络的移动性操作是与可以根据以sta为中心的移动性操作来操作的传统lan340(例如，参考图7描述的传统lan340-b)相反的。因此，如本文中描述的，用于支持lan440-f的基于网络的移动性操作的修改可以相比于传统lan340改进切换操作，包括与ft参数的交换有关的那些操作。

响应于接收rrc连接重新配置消息，无线设备115-l可以配置所识别的rb，并且通过向源an405-m发送rrc连接重新配置完成消息(未示出)对rrc连接重新配置消息作出响应。在某些示例中，rrc连接重新配置消息和rrc连接重新配置完成消息可以是参考图13描述的消息流1300中的在1380和1385处被发送的rrc连接重新配置消息和rrc连接重新配置完成消息的方面的示例。

在1610处，无线设备115-l可以通过在受保护的drb上发送具有其mac地址的以太网分组经由与源an405-m的第一连接与lan440-f(例如，lan440-f的lands446)安全地通信。

在1615处，无线设备115-l可以使用在1605处接收的测量配置来测量从目标an405-n接收的通信。例如，无线设备115-l可以测量从目标an405-n接收的通信的信号强度。

在1620处，无线设备115-l可以接收被目标an405-n广播的系统信息(例如，sib)。系统信息可以包括例如以下各项的信息中的任何信息：参考图13描述的消息流1300的1305处的sib、参考图14描述的消息流1400的1420处的sib和/或参考图15描述的消息流1500的1505处的sib。在某些示例中，无线设备115-l可以解码所接收的系统信息的仅一部分，诸如对于获得目标an405-n的pci或者cgi足够的系统信息。

在1625处，无线设备115-l可以向源an405-m发送测量报告。除了目标an405-n的诸如是pci或者cgi这样的识别信息之外，测量报告可以包括与来自目标an405-n的通信的测量相关的信息。测量报告可以包括可以被源an405-m用于在消息流1600的稍后的阶段处识别具体的新鲜值-ue的诸如是新鲜值(例如，新鲜值-ue)或者新鲜值-ue-id这样的随机参数。

根据本公开内容的方面，无线设备115-l可以向源an405-m发送与认证有关的ft参数的集合，以用于在源an405-m处进行高速缓存，对于随后的切换向源an405-m委托ft参数。ft参数可以包括建钥材料和/或与无线设备115-l的身份有关的信息，这样的信息例如包括与恳求者密钥保存者标识符(例如，s1kh-id)有关的信息、与第一认证器密钥保存者id有关的信息、与安全密钥有关的信息、快速基本服务集(bss)过渡参数的集合或者其组合。可以在各种消息中将ft参数提供给源an405-m，包括在1610处的ul数据中、利用1625处的测量报告或者利用在无线设备115-l与源an405-m之间的连接的建立期间被交换的其它消息(例如，如参考参考图13和15描述的消息流1300和1500描述的)。在某些示例中，由无线设备115-l发送ft参数可以是至少部分地基于接收对如参考图13和15描述的对于基于网络的ft的支持的指示的。随后，源an405-m可以对ft参数的集合进行高速缓存以便在切换期间进行转发。

在1630处，源an405-m可以至少部分地基于该测量报告确定发起无线设备115-l的从源an405-m向目标an405-n的切换。

在1635处，源an405-m可以向目标an405-n发送ho请求消息。ho请求消息可以包括无线设备的上下文。在某些示例中，ho请求消息可以是经由lan440-f(例如，经由lan440-f的lands446)被路由的x2消息。在某些示例中，源an405-m可以通过至少部分地基于被包括在来自无线设备115-l的测量报告中的pci或者cgi对查找表编制索引来检索目标an405-n的传输地址。ho请求消息还可以例如包括诸如是s1kh-id(例如，无线设备115-l的mac地址)、r0kh-id(例如，中央建钥节点805-b的id)、根据pmkr0导出的pmkr0名称(如例如由ieee802.11r定义的)、新鲜值-ue(以及最终地，新鲜值-ue-id)、无线设备115-l的能力信息(例如，被无线设备115-l支持的密码套件)或者其组合这样的ft参数。

通过在源an405-m处对无线设备115-l的ft参数进行高速缓存和在切换期间将ft参数从源an405-m提供给目标an405-n，lan440-f可以提供相比于不支持这样的操作的传统lan340的改进了的切换操作。例如，因为lan440-f已被修改为支持an405之间的ft参数交换，所以源an405-m和目标an405-n可能已建立支持an405之间的这样的安全参数的直接交换的安全协议。另一方面，根据传统协议操作的传统lan340(例如，参考图7描述的传统lan340-b)可能不具有ap244之间的这样的被建立的信任，并且因此将不支持这样的交换(例如，在r1密钥保存者之间)。

另外，因为lan440-f利用基于网络的移动性操作来操作，所以切换决策和操作可以被如本文中描述的lan440-f中的各种设备协调。相应地，在切换操作被lan440-f的设备发起和执行时，无线设备115-l可以被并发地与源an405-m连接在一起和经由源an405-m进行通信，并且这样的切换决策和操作可以是对于无线设备115-l透明的。另一方面，传统lan340(例如，参考图7描述的传统lan340-b)执行以sta为中心的移动性操作，并且相应地不可以支持这样的并发的连接。相反，根据传统lan340的以sta为中心的移动性协议，sta242可以执行与源ap244的通信，确定与目标ap244连接在一起，并且可以在执行用于建立与目标ap244的连接的切换操作时经历通信的显著的中断。在1640处，在使用中央建钥节点805-b来使用ft参数提供经更新的安全密钥的示例中，代表新的r1kh的目标an405-n可以至少部分地基于r0kh-id识别中央建钥节点805-b，并且向中央建钥节点805-b转发ft信息(例如，从无线设备115-l接收的ft参数的至少一部分)。被转发的信息可以例如包括s1kh-id(例如，无线设备115-l的mac地址)、r1kh-id(例如，目标an405-n的mac地址)、pmkr0名称和r0kh-id。

在1645处，中央建钥节点805-b可以至少部分地基于s1kh-id和pmkr0名称检索pmkr0。在1650处，中央建钥节点805-b可以使用kdf(例如，被ieee802.11i用于根据pmk导出ptk的kdf)至少部分地基于s1kh-id和目标an405-n的r1kh-id导出pmkr1。在1655处，中央建钥节点805-b可以使用受保护的连接向目标an405-n发送pmkr1。

在1660处，目标an405-n可以选择随机参数(例如，新鲜值-an)，并且根据pmkr1、新鲜值-an和新鲜值-ue导出新鲜会话密钥kan。目标an405-n可以利用1665处的ho请求ack消息对来自源an405-m的ho请求作出响应。ho请求ack消息可以包括用于保存针对无线设备115-l的用于连接到目标an405-n的rrc配置的容器。rrc配置可以包括至少部分地基于ft参数的安全参数的集合。安全参数的集合可以例如包括新鲜值-an、新鲜值-ue-id、r1kh-id(例如，目标an405-n的mac地址)、密钥寿命间隔、重连期限间隔、密码套件选择器和使用kan来证明该安全密钥的确认的消息完整性代码(mic)。因为kan是在1660处至少部分地基于1650的pmkr1导出的，并且pmkr1是在1650处至少部分地基于无线设备115-l的s1kh-id(ft参数的示例)导出的，所以安全参数的集合因此可以是至少部分地基于针对安全参数的至少所述集合的ft参数包括使用kan来证明安全密钥的确认的mic的。然而，存在其它的示例，其中，被交换的ft参数可以被用于生成可以被源an405从目标an405转发到无线设备115以便促进无线设备115的从源an405向目标an405的被网络协调的切换的安全参数的集合。

在1670处，源an405-m可以在rrc连接重新配置消息中将从目标an405-m获得的rrc配置转发给无线设备115-l。在该点处，无线设备115-l和目标an405-n保存针对无线设备115-l与目标an405-n之间的直接蜂窝连接的rrc配置，包括目标an405-n的r1kh-id以及随机参数新鲜值-ue和新鲜值-an。在1675和1680处，无线设备115-l可以导出pmkr1和会话密钥kan，并且可以对被包含在随rrc连接重新配置消息被包括的安全参数的集合中的mic进行验证。

在1685处，无线设备115-l可以执行与目标an405-n的rach握手。

在1690处，无线设备115-l可以向目标an405-n发送rrc连接重新配置完成消息，因此建立在其中保护是至少部分地基于安全密钥kan的的受保护的drb。rrc连接重新配置完成消息可以包括使用kan来证明该密钥的确认的mic。目标an405-n可以对mic进行验证。受保护的drb可以被用于与lan440-f(例如，与lan440-f的lands446)的以太网业务的交换。rrc配置还可以建立用于rrc消息的srb，并且可以建立可用于利用认证服务器410执行认证过程的第二drb(未示出)，如由对无线设备115-l是否需要执行与认证服务器410的认证握手的指示所指示的。

在1695处，无线设备115-l可以使用受保护的drb来与lan440-f(例如，与lan440-f的lands446)交换ul和dl以太网业务。受保护的drb可以至少部分地基于安全密钥kan被保护。

相应地，如本文中描述的，针对无线设备115-l与lan440-f之间的通信的消息流1600有利地支持在其中lan440-f提供基于网络的移动性操作的经修改的方法，其中，无线设备115-l可以提供针对lan440-f的an405(例如，源an405-m和目标an405-n)之间的直接交换被委托的ft参数。这些ft参数可以被lan440-f的设备(例如，源an405-m、目标an405-n和中央建钥节点805-b)用于促进an405之间的更平滑的切换，以及执行对无线设备115-l透明的切换操作，以及支持在这样的切换操作发生时无线设备115-l与lan440-f之间的并发的通信，从而相比于在根据传统lan340的协议(例如，wi-fi协议)操作时可能被经历的那些通信中断，减少切换期间的通信中断。

图17示出了根据本公开内容的各种方面的支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的设备1705的方框图1700。设备1705可以是如参考图1、2、4、6、8和9-16描述的无线设备115的方面的示例。设备1705可以包括接收机1710、无线设备通信管理器1715和发射机1720。设备1705可以还包括处理器。这些部件中的每个部件可以与彼此通信(例如，经由一个或多个总线)。

接收机1710可以接收与各种信息信道相关联的诸如是分组、用户数据或者控制信息这样的信息(例如，控制信道、数据信道和与用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术相关的信息等)。可以将所接收的信息继续传递给设备1705的其它部件。接收机1710可以是参考图19描述的收发机1935的方面的示例。接收机1710可以包括或者与单个天线或者多个天线相关联。

发射机1720可以发送由设备1705的其它部件生成的信号。在某些示例中，可以将发射机1720与接收机1710共置在收发机模块中。例如，发射机1720可以是参考图19描述的收发机1935的方面的示例。发射机1720可以包括或者与单个天线或者多个天线相关联。

无线设备通信管理器1715和/或其各种子部件中的至少一些子部件可以用硬件、被处理器执行的软件、固件或者其任意组合来实现。如果用被处理器执行的软件来实现，则无线设备通信管理器1715和/或其各种子部件中的至少一些子部件的功能可以被通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其它可编程逻辑设备、分立的门或者晶体管逻辑、分立的硬件部件或者被设计为执行本公开内容中描述的功能的其任意组合执行。无线设备通信管理器1715和/或其各种子部件中的至少一些子部件可以是在物理上位于各种位置处的，包括是分布式的使得功能的部分被一个或多个物理设备在不同的物理位置处实现。在某些示例中，根据本公开内容的各种方面，无线设备通信管理器1715和/或其各种子部件中的至少一些子部件可以是单独的并且不同的部件。在其它示例中，根据本公开内容的各种方面，可以将无线设备通信管理器1715和/或其各种子部件中的至少一些子部件与包括但不限于i/o部件、收发机、网络服务器、另一个计算设备、本公开内容中描述的一个或多个其它部件或者其组合的一个或多个其它硬件部件组合在一起。无线设备通信管理器1715还可以是参考图19描述的无线设备通信管理器1915的方面的示例。

在其中无线设备通信管理器1715支持如本文中描述的用于建立与lan440的经由an405的安全连接的经修改的技术的示例中，无线设备通信管理器1715可以(例如，与接收机1710和/或发射机1720协作地)建立与lan440的an405的连接，确定执行认证，接收对如作为nas层或者rrc层的用于认证的协议终点的指示，并且基于所接收的指示经由与an405已建立的连接执行与协议终点的认证。

在其中无线设备通信管理器1715支持如本文中描述的用于与lan440的连接的从源an405向目标an405的切换的经修改的技术的示例中，无线设备通信管理器1715可以(例如，与接收机1710和/或发射机1720协作地)基于第一安全密钥经由与lan440的源an405的第一连接与lan440安全地通信，执行从lan440的源an405向lan440的目标an405的切换，基于第一安全密钥导出第二安全密钥，基于第二安全密钥和针对第二安全密钥的约束策略经由与lan440的目标an405的第二连接与lan440安全地通信，经由第二连接利用与lan440的目标an405相关联的认证节点执行认证过程以便获得第三安全密钥，第三安全密钥是不受约束策略支配的，并且基于第三安全密钥经由与lan440的目标an405的第二连接与lan440安全地通信。

在其中无线设备通信管理器1715支持用于与lan440的连接的从源an405向目标an405的快速过渡的经修改的技术的示例中，无线设备通信管理器1715可以(例如，与接收机1710和/或发射机1720协作地)通过第一连接向lan440的源an405发送用于在用于切换的源an405处进行高速缓存的关于认证的ft参数的集合，通过第一连接从源an405接收用于确定用于切换的an405的配置，通过第一连接从源an405接收对于执行向lan440的目标an405的切换的命令，命令包括与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是基于ft参数的集合的，并且基于安全参数的集合经由与目标an405的第二连接与lan440安全地通信。

图18示出了根据本公开内容的各种方面的支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的无线设备通信管理器1815的方框图1800。无线设备通信管理器1815可以是如参考图17和19描述的无线设备通信管理器1715或者无线设备通信管理器1915的方面的示例。无线设备通信管理器1815可以包括无线设备连接管理器1820、无线设备认证管理器1825、无线设备lan通信管理器1830、无线设备切换管理器1835、无线设备密钥管理器1840、无线设备ft管理器1845和无线设备承载管理器1850。这些模块中的每个模块可以与彼此直接或者间接地通信(例如，经由一个或多个总线)。无线设备通信管理器1815可以还与发射机和接收机(未示出)通信，发射机和接收机可以是参考图17描述的接收机1710和/或发射机1720的方面的示例。无线设备通信管理器1815可以与发射机和/或接收机协作地操作以便支持本文中描述的各种操作。

无线设备连接管理器1820可以建立如本文中描述的与lan440的an405的连接。在某些示例中，无线设备连接管理器1820可以接收与an405相关联的标识符，基于所接收的标识符检索an405的配置，并且基于所接收的针对an405的配置信息建立与其的连接。在某些示例中，由无线设备连接管理器1820建立的连接可以使用蜂窝rat来建立。在某些示例中，无线设备连接管理器1820可以选择用于执行随机接入过程的至少一个资源，并且使用至少一个所选择的资源执行与an405的随机接入过程，其中，用于执行随机接入过程的至少一个所选择的资源包括关于将利用认证器执行认证的指示。

无线设备认证管理器1825可以管理如本文中描述的在无线设备115与lan440之间被执行的认证的方面。例如，无线设备认证管理器1825可以确定执行认证，接收对如作为nas层或者rrc层的用于认证的协议终点的指示，并且基于所接收的指示经由与an405已建立的连接执行与协议终点的认证。在某些情况下，确定执行认证可以包括：选择被与an405共置的认证器或者被托管在放置得远离an405的lan440的节点处的认证器——第二认证器或者这两者来执行认证。在某些情况下，无线设备认证管理器1825可以基于被存储在无线设备115处的an405的配置确定执行认证。

在某些示例中，无线设备认证管理器1825可以接收关于an405使用认证器执行认证的指示，并且确定执行认证可以是基于接收关于an405使用认证器执行认证的指示的。在某些情况下，在以下各项中的至少一项中接收关于an405使用认证器执行认证的指示：系统信息、对无线设备115的查询的响应、rach建立消息或者其组合。在某些示例中，无线设备认证管理器1825可以向an405发送关于将利用认证器执行认证的指示。在某些情况下，所发送的将利用认证器执行认证的指示在rrc连接建立消息中被发送。

在各种示例中，可以通过rrc层和/或nas层执行认证。在某些情况下，通过rrc层或者以太网执行认证(例如，将认证消息封装在用于通过nas层经由an并且经由lan从无线设备向认证器传输的以太网分组中)。在某些情况下，可以执行利用诸如是无线lan控制器这样的认证节点的认证，并且认证过程可以是基于以下各项的：恳求者密钥保存者id、认证器密钥保存者id、pmkid、pmk名称或者其组合。在某些情况下，认证节点包括认证服务器，并且认证过程可以是基于eap的。在某些情况下，用于认证的协议终点包括认证器，并且执行认证包括无线设备认证管理器1825通过与同an405的已建立的连接相关联的无线承载与认证器交换认证信息。在某些情况下，认证可以是基于通过与同an405的已建立的连接相关联的无线承载被执行的可扩展认证协议(eap)的。

在某些示例中，无线设备认证管理器1825可以关于接收an405使用第二认证器执行认证的指示，其中，第二认证器被包含在与an405相关联的cn(例如，包括an405的lan440的cn130、单独的蜂窝运营商网络的cn130等)中。在这样的示例中，无线设备认证管理器1825可以确定经由an405利用第二认证器执行第二认证。在某些情况下，通过nas层执行第二认证。

在某些示例中，无线设备认证管理器1825可以支持用于与lan440的连接的从源an405向目标an405的切换的经修改的技术。例如，无线设备认证管理器1825可以经由与lan440的目标an405已建立的连接执行认证过程。可以经由至少部分地基于临时安全密钥(例如，受约束策略支配的密钥)的通信执行认证过程。可以利用与目标an405相关联的认证节点执行经由目标an405的认证，并且利用认证节点的认证可以提供不受安全密钥约束策略支配的安全密钥。

无线设备lan通信管理器1830可以管理如本文中描述的在支持与lan440的安全的通信时被无线设备115执行的操作。例如，无线设备lan通信管理器1830可以支持基于安全密钥经由与lan440的an405的连接与lan440安全地通信。在某些示例中，无线设备lan通信管理器1830可以基于所生成的安全密钥通过经由与同an405的已建立的连接相关联的无线承载的连接与lan440安全地通信。

在某些示例中，被无线设备lan通信管理器1830执行的安全的通信可以是基于不同的安全密钥的，并且基于不同的安全密钥的通信可以在不同的时间处发生。在某些示例中，无线设备lan通信管理器1830可以从基于第一安全密钥与lan440安全地通信切换到基于第二安全密钥与lan440安全地通信，并且切换可以是基于以下各项的：从目标an405接收的配置消息、第二安全密钥的可用性或者其组合。

在某些示例中，无线设备lan通信管理器1830可以基于安全密钥和针对安全密钥的约束策略与lan440安全地通信。在某些情况下，针对安全密钥的约束策略包括以下各项中的至少一项：在其内安全密钥对于经由第二连接与lan440安全地通信来说有效的时间间隔；对于其安全密钥对于经由第二连接与lan440安全地通信来说有效的分组的数量；对于其安全密钥对于经由第二连接与lan440安全地通信来说有效的一个或多个无线承载的集合；对于其安全密钥对于经由第二连接与lan440安全地通信来说有效的无线承载类型；或者其组合。无线设备lan通信管理器1830可以在以下各项中的至少一项中接收针对安全密钥的约束策略：从lan440接收的配置信息、从lan440的源an405接收的切换命令消息、从目标an405接收的配置信息或者其组合。

无线设备切换管理器1835可以管理如本文中描述的在支持从源an405向目标an405的切换时被无线设备115执行的操作。例如，无线设备切换管理器1835可以从lan440的源an405接收用于确定用于切换的an405的配置。配置可以是与伴随无线设备115的测量配置相关联的，并且无线设备切换管理器1835可以随后测量从lan440的目标an405接收的至少一个信号。

无线设备切换管理器1835可以随后向源an405发送包括关于目标an405的信息的测量报告，关于目标an405的信息是基于配置的，并且然后从源an405接收对于执行向lan440的目标an405的切换的命令。对于执行切换的命令可以包括目标an405的配置信息和/或基于由无线设备115提供的ft参数的集合的与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合。在某些情况下，安全参数的集合包括以下各项中的至少一项：关于密钥保存者标识符(id)的信息、密码套件选择参数、在其内安全密钥有效的时间间隔、随机参数、随机参数标识符、安全密钥的确认的证明或者其组合。无线设备切换管理器1835可以接收切换命令(例如，基于对来自目标an405的信号的测量)，并且执行从lan440的源an405向lan440的目标an405的切换。

无线设备密钥管理器1840可以执行如本文中描述的与无线设备115处的密钥生成和管理相关联的操作。例如，无线设备密钥管理器1840可以如本文中描述的那样基于被交换的认证信息和/或随机参数生成安全密钥。在某些示例中，无线设备密钥管理器1840可以基于另一个安全密钥导出安全密钥(例如，临时安全性，受约束于使用策略)。在某些示例中，无线设备密钥管理器1840可以向目标an405发送基于ft参数的集合、安全参数的集合或者其组合的安全密钥的确认的证明。

无线设备ft管理器1845可以管理如本文中描述的与从源an405向目标an405的快速过渡相关联的被无线设备115执行的操作。例如，无线设备ft管理器1845可以通过第一连接向lan440的源an405发送用于在用于切换的源an405处进行高速缓存的关于认证的ft参数的集合。在某些示例中，无线设备ft管理器1845可以从源an405接收对针对基于网络的ft的支持的指示，可以基于接收对针对基于网络的ft的支持的指示向源an405发送ft参数的集合。在某些情况下，ft参数的集合包括以下各项中的至少一项：关于恳求者密钥保存者id的信息、关于第一认证器密钥保存者id的信息、关于安全密钥的信息、快速基本服务集(bss)过渡参数的集合或者其组合。

无线设备承载管理器1850可以管理如本文中描述的与无线承载相关联(如与同an405的已建立的连接相关联)的无线设备115处的操作。例如，无线设备承载管理器1850可以基于安全密钥建立一个或多个无线承载。在某些情况下，可以通过与同an405的已建立的连接相关联的无线承载执行认证。在某些情况下，被无线设备承载管理器1850管理的一个或多个无线承载可以包括以下各项中的至少一项：信令无线承载、数据无线承载或者其组合。

图19示出了根据本公开内容的各种方面的包括支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的设备1905的系统1900的图。设备1905可以是如参考图1、2、4、6、8和9直到18描述的无线设备115或者设备1705的示例或者包括无线设备115或者设备1705的部件。设备1905可以包括用于双向的语音和数据通信的部件，这样的部件包括用于发送和接收通信的部件，包括无线设备通信管理器1915、处理器1920、存储器1925、软件1930、收发机1935、天线1940和/或i/o控制器1945。这些部件可以经由一个或多个总线(例如，总线1910)电子地通信。

处理器1920可以包括智能硬件设备(例如，通用处理器、dsp、中央处理单元(cpu)、微控制器、asic、fpga、可编程逻辑设备、分立的门或者晶体管逻辑部件、分立的硬件部件或者其任意组合)。在某些情况下，处理器1920可以被配置为使用存储器控制器操作存储器阵列。在其它情况下，存储器控制器可以被集成到处理器1920中。处理器1920可以被配置为执行被存储在存储器中的计算机可读指令，以便执行各种功能(例如，支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的功能或者任务)。

存储器1925可以包括随机存取存储器(ram)和只读存储器(rom)。存储器1925可以存储包括指令的计算机可读、计算机可执行软件1930，指令在被(例如，被处理器1920)执行时，使设备1905执行本文中描述的各种功能。在某些情况下，存储器1925特别可以包含基本输入/输出系统(bios)，bios可以控制诸如是与外设部件或者设备的交互之类的基本硬件和/或软件操作。

软件1930可以包括用于实现本公开内容的方面的代码，包括用于支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的代码。软件1930可以被存储在诸如是系统存储器这样的非暂时性计算机可读介质或者其它存储器中。在某些情况下，软件1930可以不是可以被处理器直接执行的，但可以使计算机(例如，在被编译并且被执行时)执行本文中描述的功能。

收发机1935可以如上面描述的那样经由一个或多个天线、有线的或者无线的链路双向地进行通信。例如，收发机1935可以代表无线收发机，并且可以与另一个无线收发机双向地通信。收发机1935可以还包括调制解调器，调制解调器用于对分组进行调制，并且将经调制的分组提供给天线以用于传输，以及用于对从天线接收的分组进行解调。在某些情况下，设备1905可以包括单个天线1940。然而，在某些情况下，设备1905可以具有多于一个天线1940，多于一个天线1940可以是能够并发地发送或者接收多个无线传输的。

i/o控制器1945可以管理设备1905的输入和输出信号。i/o控制器1945还可以管理未被集成到设备1905中的外设。在某些情况下，i/o控制器1945可以代表去往外部的外设的物理连接或者端口。在某些情况下，i/o控制器1945可以采用诸如是ms-ms-或者另一种已知的操作系统之类的操作系统。在其它情况下，i/o控制器1945可以代表调制解调器、键盘、鼠标、触摸屏或者类似的设备或者与调制解调器、键盘、鼠标、触摸屏或者类似的设备交互。在某些情况下，i/o控制器1945可以被实现为处理器的一部分。在某些情况下，用户可以经由i/o控制器1945或者经由被i/o控制器1945控制的硬件部件与设备1905交互。

无线设备通信管理器1915可以是参考图17和18描述的无线设备通信管理器1715和1815的方面的示例。无线设备通信管理器1915可以执行如本文中描述的与同lan440的经由an405的安全连接的建立相关的各种操作，和/或可以管理至少部分地被设备1905的其它部分执行的这样的操作的方面。例如，无线设备通信管理器1915可以与收发机1935和天线1940和/或i/o控制器1945协作地执行通信操作。在某些示例中，无线设备通信管理器1915可以被体现在独立的处理器中，并且可以与处理器1920协作地执行操作。在某些示例中，无线设备通信管理器1915可以被体现在软件/固件代码(例如，如被存储在存储器1925中或者无线设备1905上的其它地方的)中，并且被处理器1920执行。

图20示出了根据本公开内容的各种方面的支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的设备2005的方框图2000。设备2005可以是如参考图1描述的an405的方面的示例。设备2005可以包括接收机2010、an通信管理器2015和发射机2020。设备2005还可以包括处理器。这些部件中的每个部件可以与彼此通信(例如，经由一个或多个总线)。

接收机2010可以接收与各种信息信道相关联的诸如是分组、用户数据或者控制信息这样的信息(例如，控制信道、数据信道和与用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术相关的信息等)。可以将所接收的信息继续传递给设备2005的其它部件。接收机2010可以是参考图23描述的收发机2335的方面的示例。接收机2010可以包括或者与单个天线或者多个天线相关联。

发射机2020可以发送由设备2005的其它部件生成的信号。在某些示例中，可以将发射机2020与接收机2010共置在收发机模块中。例如，发射机2020可以是参考图23描述的收发机2335的方面的示例。发射机2020可以包括单个天线，或者其可以包括天线的集合。

an通信管理器2015和/或其各种子部件中的至少一些子部件可以用硬件、被处理器执行的软件、固件或者其任意组合来实现。如果用被处理器执行的软件来实现，则an通信管理器2015和/或其各种子部件中的至少一些子部件的功能可以被通用处理器、dsp、asic、fpga或者其它可编程逻辑设备、分立的门或者晶体管逻辑、分立的硬件部件或者被设计为执行本公开内容中描述的功能的其任意组合执行。an通信管理器2015和/或其各种子部件中的至少一些子部件可以是在物理上位于各种位置处的，包括是分布式的使得功能的部分被一个或多个物理设备在不同的物理位置处实现。在某些示例中，根据本公开内容的各种方面，an通信管理器2015和/或其各种子部件中的至少一些子部件可以是单独的并且不同的部件。在其它示例中，根据本公开内容的各种方面，可以将an通信管理器2015和/或其各种子部件中的至少一些子部件与包括但不限于i/o部件、收发机、网络服务器、另一个计算设备、本公开内容中描述的一个或多个其它部件或者其组合的一个或多个其它硬件部件组合在一起。an通信管理器2015还可以是参考图22描述的an通信管理器2215的方面的示例。

在其中an通信管理器2015支持如本文中描述的用于建立与lan440的经由an405的安全连接的经修改的技术的示例中，an通信管理器2015可以建立与无线设备115的连接，确定无线设备115已确定执行认证，发送对如作为非接入层(nas)层或者rrc层的用于认证的协议终点的指示，并且提供用于无线设备115与协议终点之间的认证的通信。

在其中an通信管理器2015支持如本文中描述的用于与lan440的连接的从源an405向目标an405的切换的经修改的技术的示例中，目标an405处的an通信管理器2015可以建立与无线设备115的连接；从lan440的第一网络节点(例如，源an405)接收第一安全密钥，第一安全密钥是与针对第一安全密钥的约束策略相关联的；对与在无线设备115与lan440的第二网络节点(例如，诸如是认证服务器410之类的认证节点)之间被执行的认证过程相关联的认证信息进行中继；基于被中继的认证信息从lan440的第二网络节点接收第二安全密钥；基于第一安全密钥经由连接发送无线设备115与lan440之间的安全的通信，其中，通过针对第一安全密钥的约束策略确定第一安全密钥的使用；并且基于第二安全密钥经由连接发送无线设备115与lan440之间的安全的通信，其中，第二安全密钥的使用是不受约束策略支配的。

在其中an通信管理器2015支持用于与lan440的连接的从源an405向目标an405的快速过渡的经修改的技术的示例中，源an405处的an通信管理器2015可以通过第一连接从无线设备115接收关于认证的ft参数的集合；对ft参数的集合进行高速缓存以用于在切换期间进行转发；在切换期间向lan440的目标an405发送ft参数的集合；从目标an405接收与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是基于ft参数的集合的；并且通过第一连接向无线设备115发送对于执行向目标an405的切换的命令，命令包括安全参数的集合。

图21示出了根据本公开内容的各种方面的支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的an通信管理器2115的方框图2100。an通信管理器2115可以是参考图20和23描述的an通信管理器2015或者an通信管理器2315的方面的示例。an通信管理器2115可以包括an连接管理器2120、an认证管理器2125、an认证通信管理器2130、an密钥管理器2135、anlan通信管理器2140、anft管理器2145、an切换管理器2150、an承载管理器2155和an认证器2160。这些模块中的每个模块可以与彼此直接或者间接地通信(例如，经由一个或多个总线)。an通信管理器2115可以还与发射机和接收机(未示出)通信，发射机和接收机可以是参考图20描述的接收机2010和/或发射机2020的方面的示例。an通信管理器2115可以与发射机和/或接收机协作地操作以便支持本文中描述的各种操作。

an连接管理器2120可以建立与无线设备115的连接。在某些情况下，可以使用蜂窝rat或者至少部分地基于蜂窝rat建立连接。

an认证管理器2125可以管理如被an405执行的认证操作。例如，an认证管理器2125可以发送关于an405使用认证器执行认证的指示。在某些情况下，在以下各项中的至少一项中发送关于an405使用认证器执行认证的指示：系统信息、对无线设备115的查询的响应、rach建立消息或者其组合。在某些情况下，安全参数的集合是基于至少一个随机参数的。

响应于所发送的对于认证终点是认证器的指示，an认证管理器2125可以从无线设备115接收关于将利用认证器执行与无线设备115的认证的指示。在某些情况下，在rrc连接建立消息中接收关于将利用认证器执行认证的指示。在某些情况下，在至少一个资源上在来自无线设备115的随机接入消息中接收关于将利用认证器执行认证的指示。

在某些示例中，an认证管理器2125可以确定无线设备115已确定执行认证，并且发送对如作为nas层或者rrc层的用于认证的协议终点的指示。an认证管理器2125还可以发送an405关于使用被包含在与an405相关联的cn(例如，包括an405的lan440的cn130、单独的蜂窝运营商网络的cn130等)中的认证器来执行认证的指示。在某些示例中，an认证管理器2125可以确定无线设备115已确定利用另一个认证器执行随后的认证，其中，另一个认证器被包含在与an405通信的cn中。

在某些示例中，an认证管理器2125可以通过在an405与无线设备115之间被建立的连接交换至少一个随机参数，并且向目标an405发送该至少一个随机参数。an认证管理器2125还可以向以下各项中的至少一项发送与安全密钥相关联的约束策略：目标an405、无线设备115或者其组合。

在某些情况下，用于执行认证的认证节点包括无线lan控制器，并且认证过程是基于以下各项的：恳求者密钥保存者id、认证器密钥保存者id、pmkid、pmk名称或者其组合。在某些情况下，用于执行认证的认证节点包括认证服务器，并且认证过程是基于eap的。

an认证通信管理器2130可以管理如关于认证通信的an405的通信操作。例如，an认证通信管理器2130可以提供用于无线设备115与被指示为用于认证的协议终点之间的认证的通信。在某些情况下，提供用于认证的通信包括发送关于通过与无线设备115已建立的连接的认证过程的消息，并且认证过程可以是基于eap的。an认证通信管理器2130还可以发送与第二认证相关联的消息，并且对与在无线设备115与lan440的另一个网络节点之间被执行的认证过程相关联的认证信息进行中继。在各种示例中，可以通过rrc层、nas层或者以太网执行认证过程。

在某些情况下，在与连接相关联的第一无线承载上执行认证过程，并且提供用于认证的通信包括：通过与与无线设备115已建立的连接相关联的无线承载发送与认证相关联的消息。例如，an认证通信管理器2130可以通过无线承载与无线设备115交换认证信息和/或随机参数。在某些示例中，在与连接相关联的第二无线承载上发送安全的通信，与连接相关联的第二无线承载是和与连接相关联的第一无线承载不同的。在某些情况下，通过rrc层发送消息。

an密钥管理器2135可以执行如本文中描述的与an405处的密钥生成和管理相关联的操作。例如，an密钥管理器2135可以基于被交换的认证信息和/或随机参数生成安全密钥。在某些示例中，an密钥管理器2135可以从lan440的第一网络节点(例如，源an405)接收第一安全密钥，第一安全密钥是与针对第一安全密钥的约束策略相关联的；并且基于被中继的认证信息从lan440的第二网络节点(例如，诸如是认证服务器这样的认证节点)接收第二安全密钥。在某些示例中，an密钥管理器可以基于第二安全密钥导出第三安全密钥，其中，第三安全密钥是不受约束策略支配的。

anlan通信管理器2140可以如本文中描述的那样建立与无线设备115的连接。例如，anlan通信管理器2140可以基于安全密钥经由已建立的连接发送无线设备115与lan440之间的安全的通信。在某些示例中，anlan通信管理器2140可以通过经由与连接相关联的无线承载的连接与lan440安全地通信。

在各种示例中，可以通过或者可以不通过针对安全密钥的约束策略确定安全密钥的使用。在某些情况下，针对安全密钥的约束策略包括以下各项中的至少一项：在其内安全密钥对于无线设备115经由连接与lan440安全地通信来说有效的时间间隔；对于其安全密钥对于无线设备115经由连接与lan440安全地通信来说有效的分组的数量；对于其安全密钥对于无线设备115经由连接与lan440安全地通信来说有效的一个或多个无线承载的集合；对于其安全密钥对于无线设备115经由连接与lan440安全地通信来说有效的无线承载类型；或者其组合。在某些示例中，anlan通信管理器2140可以从基于第一安全密钥发送无线设备115与lan440之间的安全的通信切换到基于第二安全密钥发送无线设备115与lan440之间的安全的通信，其中，切换是基于针对第一安全密钥的约束策略、第二安全密钥的可用性或者其组合的。

anft管理器2145可以管理如本文中描述的与从源an405向目标an405的快速过渡相关联的被an405执行的操作。例如，anft管理器2145可以通过与无线设备115已建立的连接从无线设备115接收关于认证的ft参数的集合；并且对ft参数的集合进行高速缓存以用于在切换期间进行转发。anft管理器2145可以在切换期间向lan440的目标an405发送ft参数的集合。在某些示例中，anft管理器2145可以向无线设备115发送对针对基于网络的ft的支持的指示。在某些情况下，ft参数的集合包括以下各项中的至少一项：关于恳求者密钥保存者id的信息、关于第一认证器密钥保存者id的信息、关于安全密钥的信息、快速基本服务集(bss)过渡参数的集合或者其组合。

an切换管理器2150可以管理如本文中描述的在支持从源an405向目标an405的切换时被an405执行的操作。例如，an切换管理器2150可以通过与无线设备115已建立的连接向无线设备115发送用于确定用于切换的an405的配置。在某些示例中，an切换管理器2150可以经由连接从无线设备115接收包括关于目标an405的信息的测量报告，关于目标an405的信息是基于配置的。

在某些示例中，an切换管理器2150可以从目标an405接收与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是基于ft参数的集合的；通过第一连接向无线设备115发送对于执行向目标an405的切换的命令，命令包括安全参数的集合。在某些情况下，安全参数的集合包括以下各项中的至少一项：关于密钥保存者id的信息、密码套件选择参数、在其内安全密钥来说有效的时间间隔、随机参数、随机参数标识符、安全密钥的确认的证明或者其组合。

an承载管理器2155可以管理如本文中描述的与无线承载相关联(如与同无线设备115的已建立的连接相关联)的an405处的操作。在某些示例中，an承载管理器2155可以基于安全密钥建立一个或多个无线承载。在某些情况下，被an承载管理器2155管理的一个或多个无线承载可以包括以下各项中的至少一项：信令无线承载、数据无线承载或者其组合。

在某些示例中，an认证器2160可以是被与an405共置的认证器，并且an认证器可以执行如本文中描述的an405处的认证操作。

图22示出了根据本公开内容的各种方面的包括支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的设备2205的系统2200的图。设备2205可以是如参考图4、6、8、9直到16和20描述的设备2005的an405的示例或者包括这样的设备2005的an405的部件。设备2205可以包括用于双向的语音和数据通信的部件，这样的部件包括用于发送和接收通信的部件，包括an通信管理器2215、处理器2220、存储器2225、软件2230、收发机2235和/或i/o控制器2240。这些部件可以经由一个或多个总线(例如，总线2210)电子地通信。

处理器2220可以包括智能硬件设备(例如，通用处理器、dsp、cpu、微控制器、asic、fpga、可编程逻辑设备、分立的门或者晶体管逻辑部件、分立的硬件部件或者其任意组合)。在某些情况下，处理器2220可以被配置为使用存储器控制器操作存储器阵列。在其它情况下，存储器控制器可以被集成到处理器2220中。处理器2220可以被配置为执行被存储在存储器中的计算机可读指令，以便执行各种功能(例如，支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的功能或者任务)。

存储器2225可以包括ram和rom。存储器2225可以存储包括指令的计算机可读、计算机可执行软件2230，指令在被(例如，被处理器2220)执行时，使设备2205执行本文中描述的各种功能。在某些情况下，存储器2225特别可以包含bios，bios可以控制诸如是与外设部件或者设备的交互的基本硬件和/或软件操作。

软件2230可以包括用于实现本公开内容的方面的代码，包括用于支持用于建立无线设备115与lan440之间的经由an405的安全连接的经修改的技术的代码。软件2230可以被存储在诸如是系统存储器这样的非暂时性计算机可读介质或者其它存储器中。在某些情况下，软件2230可以不是可以被处理器直接执行的，但可以使计算机(例如，在被编译并且被执行时)执行本文中描述的功能。

收发机2235可以如上面描述的那样经由一个或多个天线、有线的或者无线的链路双向地进行通信。例如，收发机2235可以代表无线收发机，并且可以与另一个无线收发机双向地通信。收发机2235可以还包括调制解调器，调制解调器用于对分组进行调制，并且将经调制的分组提供给天线以用于传输，以及用于对从天线接收的分组进行解调。在某些情况下，设备2205可以包括单个天线2237。然而，在某些情况下，设备2205可以具有多于一个天线2237，多于一个天线2237可以是能够并发地发送或者接收多个无线传输的。

i/o控制器2240可以管理设备2205的输入和输出信号。i/o控制器2240还可以管理未被集成到设备2205中的外设。在某些情况下，i/o控制器2240可以代表去往外部的外设的物理连接或者端口。在某些情况下，i/o控制器2240可以采用诸如是ms-ms-os/或者另一种已知的操作系统这样的操作系统。在其它情况下，i/o控制器2240可以代表或者与调制解调器、键盘、鼠标、触摸屏或者类似的设备交互。在某些情况下，i/o控制器2240可以被实现为处理器的一部分。在某些情况下，用户可以经由i/o控制器2240或者经由被i/o控制器2240控制的硬件部件与设备2205交互。

an通信管理器2215可以是参考图20和21描述的an设备通信管理器2015和2115的方面的示例。an通信管理器2215可以执行如本文中描述的和与要接入lan440的无线设备115的安全连接的建立相关的各种操作，和/或可以管理至少部分地被设备2205的其它部分执行的这样的操作的方面。例如，an通信管理器2215可以与收发机2235和天线2237和/或i/o控制器2245协作地执行通信操作。在某些示例中，an通信管理器2215可以被体现在独立的处理器中，并且可以与处理器2220协作地执行操作。在某些示例中，an通信管理器2215可以被体现在软件/固件代码(例如，如被存储在存储器2225中或者设备2205上的其它地方的)中，并且被处理器2220执行。

图23示出了说明根据本公开内容的各种方面的支持建立无线设备115与lan440之间的经由an405的安全连接的方法2300的流程图。方法2300的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法2300的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915(例如，与发射机和/或接收机协作地)执行。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框2305处，无线设备115可以建立与lan440的an405的连接。方框2305的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2305的操作的方面可以被如参考图18描述的无线设备连接管理器1820执行。

在方框2310处，无线设备115可以确定执行认证。方框2310的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2305的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2315处，无线设备115可以接收对如作为nas层或者rrc层的用于认证的协议终点的指示。方框2315的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2315的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2320处，无线设备115可以至少部分地基于所接收的指示经由与an405已建立的连接利用协议终点执行认证。方框2320的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2320的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

图24示出了说明根据本公开内容的各种方面的支持建立无线设备115与lan440之间的经由an405的安全连接的方法2400的流程图。方法2400的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法2400的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915(例如，与发射机和/或接收机协作地)执行。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框2410处，无线设备115可以建立与lan440的an405的连接。方框2410的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2410的操作的方面可以被如参考图18描述的无线设备连接管理器1820执行。

在方框2415处，无线设备115可以确定执行认证。方框2415的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2415的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2420处，无线设备115可以接收如作为nas层或者rrc层的用于认证的协议终点的指示。方框2420的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2420的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2425处，无线设备115可以至少部分地基于所接收的指示经由与同an405的已建立的连接相关联的无线承载利用协议终点执行认证，其中，认证包括通过无线承载与认证器交换认证信息。方框2425的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2425的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行(例如，与无线设备承载管理器1850协作地)。

在方框2430处，无线设备115可以通过无线承载与an405交换至少一个随机参数。方框2430的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2430的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2435处，无线设备115可以至少部分地基于被交换的认证信息和至少一个随机参数生成安全密钥。方框2435的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2435的操作的方面可以被如参考图18描述的无线设备密钥管理器1840执行。

在方框2440处，无线设备115可以至少部分地基于安全密钥建立一个或多个额外的无线承载。方框2440的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2440的操作的方面可以被如参考图18描述的无线设备承载管理器1850执行。

在方框2445处，无线设备115可以至少部分地基于所生成的安全密钥通过经由无线承载、一个或多个额外的无线承载或者这两者的连接与lan440安全地通信。方框2445的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2445的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830(例如，与无线设备承载管理器1850协作地)执行。

图25示出了说明根据本公开内容的各种方面的支持建立无线设备115与lan440之间的经由an405的安全连接的方法2500的流程图。方法2500的操作可以被如本文中描述的an405或者其部件实现。例如，方法2500的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215(例如，与发射机和/或接收机协作地)执行。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框2505处，an405可以建立与无线设备115的连接。方框2505的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2505的操作的方面可以被如参考图21描述的an连接管理器2120执行。

在方框2510处，an405可以确定无线设备115已确定执行认证。方框2510的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2510的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框2515处，an405可以发送对如作为nas层或者rrc层的用于认证的协议终点的指示。方框2515的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2515的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框2520处，an405可以提供用于无线设备115与协议终点之间的认证的通信。方框2520的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2520的操作的方面可以被如参考图21描述的an认证通信管理器2130执行。

图26示出了说明根据本公开内容的各种方面的支持建立无线设备115与lan440之间的经由an405的安全连接的方法2600的流程图。方法2600的操作可以被如本文中描述的an405或者其部件实现。例如，方法2600的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215(例如，与发射机和/或接收机协作地)执行。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框2605处，an405可以建立与无线设备115的连接。方框2605的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2605的操作的方面可以被如参考图21描述的an连接管理器2120执行。

在方框2610处，an405可以确定无线设备115已确定执行认证。方框2610的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2610的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框2615处，an405可以发送对如作为nas层或者rrc层的用于认证的协议终点的指示。方框2615的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2615的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框2620处，an405可以提供用于无线设备115与协议终点之间的认证的通信。方框2620的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2620的操作的方面可以被如参考图21描述的an认证通信管理器2130执行。

在方框2625处，an405可以确定无线设备115已确定利用第二认证器执行第二认证，其中，第二认证器被包含在与an405通信的cn(例如，包括an405的lan440的cn130、单独的蜂窝运营商网络的cn130等)中。方框2625的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2625的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框2630处，an405可以发送与第二认证相关联的消息。方框2630的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2630的操作的方面可以被如参考图21描述的an认证通信管理器2130执行。

图27示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的切换的方法2700的流程图。方法2700的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法2700的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915(例如，与发射机和/或接收机协作地)执行。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框2705处，无线设备115可以至少部分地基于第一安全密钥经由与lan440的源an405的第一连接与lan440安全地通信。方框2705的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2705的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

在方框2710处，无线设备115可以执行从lan440的源an405向lan440的目标an405的切换。方框2710的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2710的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框2715处，无线设备115可以至少部分地基于第一安全密钥导出第二安全密钥。方框2715的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2715的操作的方面可以被如参考图18描述的无线设备密钥管理器1840执行。

在方框2720处，无线设备115可以至少部分地基于第二安全密钥和针对第二安全密钥的约束策略经由与lan440的目标an405的第二连接与lan440安全地通信。方框2720的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2720的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

在方框2725处，无线设备115可以经由第二连接利用lan440的认证节点执行认证过程以便获得第三安全密钥(例如，不受针对第二密钥的约束策略支配的安全密钥)。方框2725的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2725的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2730处，无线设备115可以至少部分地基于第三安全密钥经由与lan440的目标an405的第二连接与lan440安全地通信。方框2730的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2730的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

图28示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的切换的方法2800的流程图。方法2800的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法2800的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915执行(例如，与发射机和/或接收机协作地)。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框2805处，无线设备115可以至少部分地基于第一安全密钥经由与lan440的源an405的第一连接与lan440安全地通信。方框2805的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2805的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

在方框2810处，无线设备115可以测量从lan440的目标an405接收的至少一个信号。方框2810的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2810的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框2815处，无线设备115可以至少部分地基于测量接收切换命令。方框2815的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2815的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框2820处，无线设备115可以执行从lan440的源an405向lan440的目标an405的切换。方框2820的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2820的操作的方面可以被如参考图18描述的无线设备切换管理器1830执行。

在方框2825处，无线设备115可以至少部分地基于第一安全密钥导出第二安全密钥。方框2825的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2825的操作的方面可以被如参考图18描述的无线设备密钥管理器1840执行。

在方框2830处，无线设备115可以至少部分地基于第二安全密钥和针对第二安全密钥的约束策略经由与lan440的目标an405的第二连接与lan440安全地通信。方框2830的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2830的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

在方框2835处，无线设备115可以经由第二连接利用lan440的认证节点执行认证过程以便获得第三安全密钥(例如，不受针对第二密钥的约束策略支配的安全密钥)。方框2835的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2835的操作的方面可以被如参考图18描述的无线设备认证管理器1825执行。

在方框2840处，无线设备115可以至少部分地基于第三安全密钥经由与lan440的目标an405的第二连接与lan440安全地通信。方框2840的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2840的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

图29示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的切换的方法2900的流程图。方法2900的操作可以被如本文中描述的an405或者其部件实现。例如，方法2900的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215执行(例如，与发射机和/或接收机协作地)。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框2905处，an405可以建立与无线设备115的连接。方框2905的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2905的操作的方面可以被如参考图21描述的an连接管理器2120执行。

在方框2910处，an405可以从lan440的第一网络节点接收第一安全密钥，第一安全密钥是与针对第一安全密钥的约束策略相关联的。方框2910的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2910的操作的方面可以被如参考图21描述的an密钥管理器2135执行。

在方框2915处，an405可以对与在无线设备115与lan440的第二网络节点之间被执行的认证过程相关联的认证信息进行中继。方框2915的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2915的操作的方面可以被如参考图21描述的an认证通信管理器2130执行。

在方框2920处，an405可以至少部分地基于被中继的认证信息从lan440的第二网络节点接收第二安全密钥。方框2920的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2920的操作的方面可以被如参考图21描述的an密钥管理器2135执行。

在方框2925处，an405可以至少部分地基于第一安全密钥经由连接在无线设备115与lan440之间发送安全的通信，其中，通过针对第一安全密钥的约束策略确定第一安全密钥的使用。方框2925的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2925的操作的方面可以被如参考图21描述的anlan通信管理器2140执行。

在方框2930处，an405可以至少部分地基于第二安全密钥经由连接在无线设备115与lan440之间发送安全的通信(例如，不受针对第一安全密钥的约束策略支配的安全的通信)。方框2930的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框2930的操作的方面可以被如参考图21描述的anlan通信管理器2140执行。

图30示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的切换的方法3000的流程图。方法3000的操作可以被如本文中描述的an405或者其部件实现。例如，方法3000的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215执行(例如，与发射机和/或接收机协作地)。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框3005处，an405可以建立与无线设备115的连接。方框3005的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3005的操作的方面可以被如参考图21描述的an连接管理器2120执行。

在方框3010处，an405可以从lan440的第一网络节点接收第一安全密钥，第一安全密钥是与针对第一安全密钥的约束策略相关联的。方框3010的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3010的操作的方面可以被如参考图21描述的an密钥管理器2135执行。

在方框3015处，an405可以对与在无线设备115与lan440的第二网络节点之间被执行的认证过程相关联的认证信息进行中继。方框3015的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3015的操作的方面可以被如参考图21描述的an认证通信管理器2130执行。

在方框3020处，an405可以至少部分地基于被中继的认证信息从lan440的第二网络节点接收第二安全密钥。方框3020的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3020的操作的方面可以被如参考图21描述的an密钥管理器2135执行。

在方框3025处，an405可以至少部分地基于第一安全密钥经由连接在无线设备115与lan440之间发送安全的通信，其中，通过针对第一安全密钥的约束策略确定第一安全密钥的使用。方框3025的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3025的操作的方面可以被如参考图21描述的anlan通信管理器2140执行。

在方框3030处，an405可以至少部分地基于第二安全密钥导出第三安全密钥(例如，不受针对第一安全密钥的约束策略支配的另一个安全密钥)。方框3035的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3035的操作的方面可以被如参考图21描述的an密钥管理器2135执行。

在方框3035处，an405可以至少部分地基于第三安全密钥经由连接在无线设备115与lan440之间发送安全的通信(例如，不受针对第一安全密钥的约束策略支配的安全的通信)。方框3030的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3030的操作的方面可以被如参考图21描述的anlan通信管理器2140执行。

图31示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的快速过渡的方法3100的流程图。方法3100的操作可以被如本文中描述的an405或者其部件实现。例如，方法3100的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215执行(例如，与发射机和/或接收机协作地)。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框3105处，an405可以通过第一连接从无线设备115接收关于认证的ft参数的集合。方框3105的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3105的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3110处，an405可以对ft参数的集合进行高速缓存以便在切换期间进行转发。方框3110的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3110的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3115处，an405可以在切换期间向lan440的目标an405发送ft参数的集合。方框3115的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3115的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3120处，an405可以从目标an405接收与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是至少部分地基于ft参数的集合的。方框3120的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3120的操作的方面可以被如参考图21描述的an切换管理器2150执行。

在方框3125处，an405可以通过第一连接向无线设备115发送对于执行向目标an405的切换的命令，命令包括安全参数的集合。方框3125的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3125的操作的方面可以被如参考图21描述的an切换管理器2150执行。

图32示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的快速过渡的方法3200的流程图。方法3200的操作可以被如本文中描述的an405或者其部件实现。例如，方法3200的操作可以被如参考图20直到22描述的an通信管理器2015、2115或者2215执行(例如，与发射机和/或接收机协作地)。在某些示例中，an405可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，an405可以使用专用硬件执行下面描述的功能的方面。

在方框3205处，an405可以通过第一连接从无线设备115接收关于认证的ft参数的集合。方框3205的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3205的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3210处，an405可以对ft参数的集合进行高速缓存以便在切换期间进行转发。方框3210的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3210的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3215处，an405可以通过第一连接交换至少一个随机参数。方框3215的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3215的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框3220处，an405可以在切换期间向lan440的目标an405发送ft参数的集合。方框3220的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3220的操作的方面可以被如参考图21描述的anft管理器2145执行。

在方框3225处，an405可以向目标an405发送至少一个随机参数。方框3225的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3225的操作的方面可以被如参考图21描述的an认证管理器2125执行。

在方框3230处，an405可以从目标an405接收与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是至少部分地基于ft参数的集合和至少一个随机参数的。方框3230的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3230的操作的方面可以被如参考图21描述的an切换管理器2150执行。

在方框3235处，an405可以通过第一连接向无线设备115发送对于执行向目标an405的切换的命令，命令包括安全参数的集合。方框3240的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3240的操作的方面可以被如参考图21描述的an切换管理器2150执行。

图33示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的快速过渡的方法3300的流程图。方法3300的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法3300的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915(例如，与发射机和/或接收机协作地)执行。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框3305处，无线设备115可以通过第一连接向lan440的源an405发送用于在用于切换的源an405处进行高速缓存的关于认证的ft参数的集合。方框3305的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3305的操作的方面可以被如参考图18描述的无线设备ft管理器1845执行。

在方框3310处，无线设备115可以通过第一连接从源an405接收用于确定用于切换的an405的配置。方框3310的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3310的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框3315处，无线设备115可以通过第一连接从源an405接收对于执行向lan440的目标an405的切换的命令，命令包括与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是至少部分地基于ft参数的集合的。方框3315的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3315的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框3320处，无线设备为115可以至少部分地基于安全参数的集合经由与目标an405的第二连接与lan440安全地通信。方框3320的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3320的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

图34示出了说明根据本公开内容的各种方面的支持无线设备115的从与lan440的源an405的连接向与lan440的目标an405的连接的快速过渡的方法3400的流程图。方法3400的操作可以被如本文中描述的无线设备115或者其部件实现。例如，方法3400的操作可以被如参考图17直到19描述的无线设备通信管理器1715、1815或者1915(例如，与发射机和/或接收机协作地)执行。在某些示例中，无线设备115可以执行代码的集合，以便控制设备的功能单元执行下面描述的功能。额外地或者替换地，无线设备115可以使用专用硬件执行下面描述的功能的方面。

在方框3405处，无线设备115可以通过第一连接向lan440的源an405发送用于在用于切换的源an405处进行高速缓存的关于认证的ft参数的集合。方框3405的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3405的操作的方面可以被如参考图18描述的无线设备ft管理器1845执行。

在方框3410处，无线设备115可以通过第一连接从源an405接收用于确定用于切换的an405的配置。方框3410的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3410的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框3415处，无线设备115可以经由第一连接向源an405发送包括关于目标an405的信息的测量报告，关于目标an405的信息是至少部分地基于配置的。方框3415的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3415的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框3420处，无线设备115可以通过第一连接从源an405接收对于执行向lan440的目标an405的切换的命令，命令包括与无线设备115与目标an405之间的安全的通信相关联的安全参数的集合，安全参数的集合是至少部分地基于ft参数的集合的。方框3420的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3420的操作的方面可以被如参考图18描述的无线设备切换管理器1835执行。

在方框3425处，无线设备115可以至少部分地基于安全参数的集合经由与目标an405的第二连接与lan440安全地通信。方框3425的操作可以根据参考图1直到16描述的方法被执行。在具体的示例中，方框3425的操作的方面可以被如参考图18描述的无线设备lan通信管理器1830执行。

应当指出，上面描述的方法说明了本公开内容中描述的技术的可能的实现。在某些示例中，可以组合参考图23、24、27、28、33或者34描述的方法2300、2400、2700、2800、3300或者3400的方面。在某些示例中，可以组合方法2500、2600、2900、3000、3100或者3200的方面。在某些示例中，方法的操作可以按照不同的次序被执行，或者包括不同的操作。在某些示例中，方法中的每种方法的方面可以包括其它方法的步骤或者方面或者本文中描述的其它步骤或者技术。

提供本文中的描述内容以便使本领域的技术人员能够制作或者使用本公开内容。对本公开内容的各种修改对于本领域的技术人员将是显而易见的，并且本文中定义的一般原理可以被应用于其它变型，而不脱离本公开内容的范围。因此，本公开内容将不限于本文中描述的示例和设计，而将符合与本文中公开的原理和新颖特征一致的最宽范围。

结合附图在本文中阐述的描述内容描述了示例配置，而不代表可以被实现或者落在权利要求的范围内的全部示例。本文中使用的术语“示例性”表示“充当示例、实例或者说明”，而不是“优选的”或者“比其它示例有利的”。出于提供对所描述的技术的理解的目的，详细描述内容包括具体细节。然而，可以在不具有这些具体细节的情况下实践这些技术。在某些情况下，以方框图形式示出公知的结构和设备，以避免使所描述的示例的概念模糊不清。

如本文中使用的，短语“基于”不应当理解为对条件的封闭集合的引用。例如，被描述为“基于条件a”的示例性特征可以是基于条件a和条件b两者的，而不会脱离本公开内容的范围。换句话说，如本文中使用的，短语“基于”应当以与短语“至少部分地基于”相同的方式来理解。

本文中描述的功能可以使用硬件、被处理器执行的软件、固件或者其任意组合来实现。如果使用被处理器执行的软件来实现，则功能可以作为计算机可读介质上的一个或多个指令或者代码被存储或者发送。其它示例和实现落在本公开内容和所附权利要求的范围内。例如，由于软件的本质，上面描述的功能可以使用被处理器、硬件、固件、硬连线或者这些项中的任意项的组合执行的软件来实现。实现功能的特征也可以在物理上位于各种位置处，包括是分布式的使得功能的部分在不同的(物理)位置处被实现。此外，如本文中(包括在权利要求中)使用的，如项目的列表(例如，由诸如是“……中的至少一项”或者“一项或多项”这样的短语开头的项目的列表)中使用的“或者”指示包容性的列表，使得例如a、b或者c中的至少一项的列表表示a或者b或者c或者ab或者ac或者bc或者abc(即，a和b和c)。

计算机可读介质包括非暂时性计算机存储介质和通信介质两者，通信介质包括任何促进计算机程序从一个地方向另一个地方的传输的介质。非暂时性存储介质可以是任何可以被通用或者专用计算机访问的可用介质。通过示例而非限制，非暂时性计算机可读介质可以包括ram、rom、电可擦除可编程只读存储器(eeprom)、压缩盘(cd)rom、或者其它光盘存储装置、磁盘存储装置或者其它磁性存储设备或者任何其它的可以被用于携带或者存储采用指令或者数据结构的形式的期望的程序代码单元并且可以被通用或者专用计算机或者通用或者处理器访问的非暂时性介质。此外，任何连接被恰当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字订户线(dsl)或者诸如是红外线、无线电和微波这样的无线技术从网站、服务器或者其它远程源发送软件，则同轴线缆、光纤线缆、双绞线、dsl或者诸如是红外线、无线电和微波这样的无线技术被包括在介质的定义内。如本文中使用的磁盘和光盘包括cd、激光盘、光盘、数字多功能光盘(dvd)、软盘或者蓝光盘，其中，磁盘通常磁性地复制数据，而光盘利用激光光学地复制数据。以上各项的组合也被包括在计算机可读介质的范围内。

本文中描述的技术可以被用于各种无线通信系统，诸如cdma、tdma、fdma、ofdma、单载波频分多址(sc-fdma)和其它系统。经常可互换地使用术语“系统”和“网络”。cdma系统可以实现诸如是cdma2000、通用陆地无线接入(utra)等这样的无线技术。cdma2000覆盖is-2000、is-95和is-856标准。is-2000版本0和a通常被称为cdma20001x、1x等。is-856(tia-856)通常被称为cdma20001xev-do、高速分组数据(hrpd)等。utra包括宽带cdma(wcdma)和cdma的其它变型。tdma系统可以实现诸如是(全球移动通信系统(gsm))这样的无线技术。ofdma系统可以实现诸如是超移动宽带(umb)、演进型utra(e-utra)、ieee802.11、ieee802.16(wimax)、ieee802.20、flash-ofdm等这样的无线技术。utra和e-utra是通用移动电信系统(通用移动电信系统(umts))的一部分。3gpplte和lte-a是使用e-utra的umts的新版本。在来自名称为“第三代合作伙伴计划”(3gpp)的组织的文档中描述了utra、e-utra、umts、lte、lte-a和gsm。在来自名称为“第三代合作伙伴计划2”(3gpp2)的组织的文档中描述了cdma2000和umb。本文中描述的技术可以被用于上面提到的系统和无线技术以及其它的系统和无线技术。然而，本文中的描述内容出于示例的目的描述了lte系统，并且在上面的描述内容的大部分内容中使用了lte术语，尽管技术是超越lte应用适用的。

在包括本文中描述的网络的lte/lte-a网络中，术语演进型节点b(enb)可以被一般地用于描述基站。本文中描述的无线通信系统或多个无线通信系统可以包括在其中不同类型的enb为各种地理区域提供覆盖的异构的lte/lte-a网络。例如，每个enb或者基站可以为宏小区、小型小区或者其它类型的小区提供通信覆盖。术语“小区”是可以取决于上下文被用于描述基站、与基站相关联的载波或者分量载波(cc)或者载波或者基站的覆盖区域(例如，扇区等)的3gpp术语。

基站可以包括或者可以被本领域的技术人员称为基站收发机、无线基站、ap、无线收发机、节点b、演进型节点b(enb)、家庭节点b、家庭演进型节点b或者某个其它合适的术语。基站的地理覆盖区域可以被划分成组成该覆盖区域的仅一部分的扇区。本文中描述的无线通信系统或多个无线通信系统可以包括不同类型的基站(例如，宏或者小型小区基站)。本文中描述的无线设备可以是能够与包括宏enb、小型小区enb、中继基站等的各种类型的基站和网络设备通信的。对于不同的技术，可以存在重叠的地理覆盖区域。在某些情况下，不同的覆盖区域可以是与不同的通信技术相关联的。在某些情况下，针对一种通信技术的覆盖区域可以和与另一种技术相关联的覆盖区域重叠。不同的技术可以是与相同的基站或者与不同的基站相关联的。

宏小区一般覆盖相对大的地理区域(例如，半径为若干千米)，并且可以允许由具有对网络提供商的服务订阅的无线设备执行的不受限的接入。小型小区是可以在与宏小区相同或者不同的(例如，经许可、非许可等)频带中操作的、与宏小区相比较低功率的基站。根据各种示例，小型小区可以包括微微小区、毫微微小区和微小区。例如，微微小区可以覆盖小型地理区域，并且可以允许由具有对网络提供商的服务订阅的无线设备执行的不受限的接入。毫微微小区也可以覆盖小型地理区域(例如，家庭)，并且可以允许由具有与毫微微小区的关联的无线设备(例如，封闭用户组(csg)中的无线设备、家庭中的用户的无线设备等)执行的受限的接入。用于宏小区的enb可以被称为宏enb。用于小型小区enb的可以被称为小型小区enb、微微enb、毫微微enb或者家庭enb。enb可以支持一个或多个(例如，两个、三个、四个等)小区(例如，cc)。无线设备可以是能够与包括宏enb、小型小区enb、中继基站等的各种类型的基站和网络设备通信的。

本文中描述的无线通信系统或多个无线通信系统可以支持同步的或者异步的操作。对于同步的操作，基站可以具有相似的帧时序，并且可以使来自不同的基站的传输在时间上近似对齐。对于异步的操作，基站可以具有不同的帧时序，并且可以不使来自不同的基站的传输在时间上对齐。本文中描述的技术可以被用于同步的或者异步的操作。

本文中描述的dl传输也可以被称为前向链路传输，而ul传输也可以被称为反向链路传输。例如包括图1和2的无线通信系统100和200的本文中描述的每个通信链路可以包括一个或多个载波，其中，每个载波可以是由多个子载波(例如，不同频率的波形信号)组成的信号。每个经调制的信号可以在不同的子载波上被发送，并且可以携带控制信息(例如，参考信号、控制信道等)、开销信息、用户数据等。本文中描述的通信链路(例如，图1的通信链路125)可以使用频分双工(fdd)(例如，使用配对的频谱资源)或者时分双工(tdd)操作(例如，使用不配对的频谱资源)发送双向的通信。可以针对fdd(例如，帧结构类型1)和tdd(例如，帧结构类型2)定义帧结构。

结合本文中的公开内容描述的各种说明性的方框和模块可以利用通用处理器、数字信号处理器(dsp)、asic、现场可编程门阵列(fpga)或者其它可编程逻辑设备、分立的门或者晶体管逻辑、分立的硬件部件或者被设计为执行本文中描述的功能的其任意组合来实现或者执行。通用处理器可以是微处理器，但替换地，处理器可以是任何常规的处理器、控制器、微控制器或者状态机。处理器还可以被实现为计算设备的组合(例如，dsp与微处理器的组合、多个微处理器、结合dsp核的一个或多个微处理器或者任何其它这样的配置)。因此，本文中描述的功能可以被至少一个集成电路(ic)上的一个或多个其它处理单元(或者核)执行。在各种示例中，可以通过本领域中已知的任何方式被编程的不同类型的ic可以被使用(例如，结构化/平台asic、fpga或者另一种半定制的ic)。每个单元的功能也可以整体上或者部分地利用被体现在存储器中、被格式化以便被一个或多个通用或者专用处理器执行的指令来实现。

在附图中，相似的部件或者特征可以具有相同的附图标记。另外，各种相同类型的部件可以通过在附图标记之后跟随破折号和在相似的部件之间进行区分的第二附图标记来区分。如果在说明中使用了仅第一附图标记，则描述内容适用于具有相同的第一附图标记的相似的部件中的任一个部件，而不考虑第二附图标记。

提供本文中的描述内容以便使本领域的技术人员能够制作或者使用本公开内容。对本公开内容的各种修改对于本领域的技术人员将是显而易见的，并且本文中定义的一般原理可以被应用于其它变型，而不会脱离本公开内容的范围。因此，本公开内容不限于本文中描述的示例和设计，而是将符合与本文中公开的原理和新颖特征一致的最宽范围。