用于集成小型小区和Wi-Fi网络的统一认证的制作方法

本申请是于2016年6月3日提交的、题为“用于集成小型小区和wi-fi网络的统一认证”的国际申请号为pct/us2016/035757、国家申请号为201680039873.0的专利申请的分案申请。

相关申请的交叉引用

本申请主张2015年6月5日提交的美国临时专利申请序列号62/171,497的权益，其公开内容犹如整体陈述的方式以引用的方式并入本文中。

背景技术：

近来，移动网络运营商(mno)对部署集成小型小区和wi-fi(isw)网络表现出很大的兴趣，以适应无线数据使用的普遍增长。更具体来说，isw网络利用许可频谱中的长期演进(lte)小型小区以及非许可频谱中的无线局域网(wlan)接入点(ap)的部署。isw主题已经由标准化、学术和产业机构解决，诸如第三代合作伙伴计划(3gpp)、小型小区论坛(scf)和无线宽带联盟(wba)等。如此巨大的兴趣将推动各种网络架构、订户服务选项和策略管理机制向isw网络的发展。

在3gppts23.402中，已经引入了用于在演进分组核心(epc)与非3gpp网络(例如，wlan)之间的基于核心网络(cn)的互通的3gpp技术规范。3gppts23.402文件为可信广域网(twan)与3gpp演进分组核心(epc)之间的互通提供了完整的架构、接口、接入和移交程序。图1示出了twan与3gppepc网络互通的网络架构。如所示，twan通过s2a接口接入分组数据网络(pdn)gw。因此，所开发的3gppepc-wlan互通架构迫使系统间移交长期演进(lte)到wi-fi且反之亦然)在分组数据网络网关(p-gw)处发生，这可能给移动核心网络(mcn)造成巨大的负担，特别是在预期大量的小型小区部署的情况下。

由于epc的基本架构原理是分别处置数据平面和控制平面(即mme/s-gw)，移动性管理实体(mme)扩展以及twan扩展可以为系统间移动性管理信令提供逻辑选择，而相应的s-gw扩展可以支持系统间用户平面功能性。移动性管理实体(mme)可以扩展到用于lte和wi-fi接入两者的公共控制平面实体中，同时使得s-gw能够用作用于lte和wi-fi接入两者的公共用户平面网关。图2所示的参考点s1a-mme和s1a-u先前在3gppepc-wlan集成架构中引入。mme202经由用于控制平面信令的s1a-mme参考点连接到wlanan204，并且针对用户面在wlanan204和服务网关s-gw206之间定义s1a-u参考点。具有此类mme/s-gw集成锚点将导致更有效的移交程序。

这些扩展可以通过使系统间移动性程序的执行更接近网络边缘来提高性能。可以通过最小化在核心网络深处的信令程序(即，朝向pdn网关(p-gw)208)的需要来减少等待时间。当移动网络运营商(mno)在共同的地理区域部署小型小区和wi-fi接入两者时，这可能是特别有益的。还通过降低p-gw208处理负担来提高可扩展性，例如通过将一些系统间移动性功能分配给mme202和s-gw206。

下文给出关于aka算法的一般背景，包含用户设备(ue)214与网络之间的相互认证以及密钥生成层级。接着，关于3gpp(epsaka)和wlan(eap-aka’)网络来描述此类通用认证和密钥协议(aka)算法。

图3描绘了用于ue214与包含mme202和家庭订户服务器(hss)210(家庭环境(he)或认证中心(auc)304)的网络之间的相互认证的aka程序(3gppts33.102的条款6.3)。如所示，mme发送“认证数据请求(authenticationdatarequest)”到hss/auc。作为响应，hss/auc生成多个认证向量(av)，并基于序列号(sqn)将其排序。认证向量由以下各项组成：随机数(rand)、预期响应(xres)、加密密钥(ck)、完整性密钥(ik)和认证令牌(autn)。

在图4中说明生成av的过程。首次，auc304开始生成新的序列号sqn和不可预测的挑战rand。k是存储在通用订户身份模块(usim)上和auc304中的永久密钥。认证和密钥管理字段(amf)被包含在每一认证向量的认证令牌中。功能f1和f2分别是生成消息认证代码(mac)和xres的消息认证功能。功能f3、f4和f5是用以生成ck、ik和匿名密钥(ak)的密钥生成功能。ak是用以隐藏序列号的匿名密钥，因为序列号可能暴露用户的身份和位置。最终基于sqn、ak、amf和mac来形成认证令牌autn。每一认证向量对于mme202和ue214之间的仅仅一个aka过程是有益的。

返回到图3，一旦auc/hss生成av，即将它们发送到mme202。因此，mme202开始与ue214的相互认证过程。首先，mme202从认证向量av的有序阵列中选择下一未使用的认证向量，且将“用户认证请求(userauthenticationrequest)”(rand、autn)消息发送到ue。

在接收到rand和autn后，usim/ue应用图5中所示的用户认证程序。首先，usim计算ak并检索序列号sqn。接着，其计算预期mac(xmac)。usim通过验证所接收的autn与所生成的autn相同来认证网络。更具体来说，验证所生成的xmac与所接收的mac相同，且所接收的sqn是在正确范围内。

最终并返回到图3，一旦ue302认证网络，其将其生成的响应(res)发送到mme202。接着，mme202比较所接收的res与其xres(由hss生成并从其接收)。如果res与xres匹配，那么mme202认证ue302。这样，ue与网络之间的相互认证和aka过程就成功完成了。最后，利用ue214和mme202处的剩余密钥即ck和ik以导出更多密钥用于加密和完整性功能。

对于lte，“用户认证请求”实现在“nas：认证请求(authenticationrequest)”中。类似地，“用户认证响应(userauthenticationresponse)”实现在“nas：认证响应(authenticationresponse)”中。对于wlan情况，通过“diameter-eap-answer(diameter-eap应答)”和“eap-request/aka’-challenge(eap请求/aka’挑战)”消息来实现“用户认证请求”。使用“eap-response/aka’-challenge(eap响应/aka’挑战)”和“diameter-eap-request(diameter-eap请求)”来实现“用户认证响应”。

在3gppts33.401的条款6中详细说明ue214与epc网络216之间的安全程序。安全程序是初始附着程序的基本步骤(3gppts23.401的条款5.3.2)。本节重点在于3gppepc中与确切认证相关的消息。具体地，本节重点在于通过s6a参考点在mme202与hss210之间交换的基于diameter的消息。所呈现的消息对应于图3中所示的通用“认证数据请求(authenticationdatarequest)”和“认证数据响应(authenticationdataresponse)”。

为了使mme针对hss请求认证向量，其通过s6a参考点发送基于diameter的“authentication-information-request(air：认证信息请求)”命令，如3gppts29.272的条款5.2.3中所指示。表1中示出air命令的一些相关属性值对(avp)。ue302将使用其“国际移动订户身份(imsi)”来被识别。“requested-eutran-authentication-info(请求的eutran认证信息)”avp(3gppts29.272的条款7.3.11)应含有与对e-utran的认证请求相关的信息，即，“number-of-requested-vectors(请求向量数量)”、“immediate-response-preferred(即时响应首选)”和“re-synchronization-info(重新同步信息)”avp。“visited-plmn-id(访问的plmnid)”avp(3gppts29.272的条款7.3.9)还称作服务网络身份(snid)，其应含有移动国家代码(mcc)和移动网络代码(mnc)的组合。

表1“认证信息请求(authenticationinformationrequest)”消息(3gppts29.272的表5.2.3.1.1/1)

响应于air命令，hss通过s6a参考点将认证向量提供到“authentication-information-answer(aia：认证信息应答)”命令中的mme，如3gppts29.272的条款5.2.3中所指示。表2提供aia命令的一些相关avp。“authentication-info(认证信息)”avp(3gppts29.272的条款7.3.17)含有用于多个3gpp-rat的所需认证向量即“e-utran-vector(e-utran向量)”、“utran-vector(utran向量)”和“geran-vector(geran向量)”。特别感兴趣的是“e-utran向量”avp(3gppts29.272的条款7.3.18)，其是包含以下认证信息的e-utran向量：“item-number(项数量)”、“rand”、“xres”、“autn”和“kasme”。kasme是接入安全管理实体密钥(asme)。

表2“认证信息应答(authenticationinformationanswer)”消息(3gppts29.272的表5.2.3.1.1/2[4])

通过跨越sta参考点(twan-aaa服务器)和swx(aaa服务器-hss)上的3gppaaa212服务器212在ue214与hss210之间执行非3gpp接入认证信令。首先，ue向twan218发起可扩展认证协议(eap)认证过程，twan218将eap消息转发到3gppaaa服务器212。3gppaaa服务器212和hss210根据先前在图3中所示的标准aka程序来相互作用。在ts33.402的条款6.2中详细说明用于twan接入epc网络的eap-aka’安全程序。下文说明先前在图3中所示的映射到通用“认证数据请求”和“认证数据响应”的在aaa服务器212与hss210之间的基于diameter的消息的细节。

为了使3gppaaa服务器212认证twan连接的ue214，其通过swx参考点将基于diameter的“认证请求(authenticationrequest)”消息发送到hss210。表3示出我们感兴趣的“认证请求”消息的几个avp。如所示，3gppaaa服务器212包含“imsi”、“认证项数量(numberofauthenticationitems)”、“接入网络身份(accessnetworkidentity)(＝wlan)”和“接入类型(accesstype)(＝wlan)”avp。

接入网络身份(＝wlan)”和“接入类型(＝wlan)”avp。

表3“认证请求(authenticationrequest)”消息(3gppts29.273的表8.1.2.1.1/1)

作为对来自3gppaaa服务器212的“认证请求”消息的响应，hss210通过将“认证应答(authenticationanswer)”消息发送到aaa服务器212来进行响应。通过swx参考点来发送“认证应答”命令。表4中示出基于diameter的“认证应答”命令的最相关avp。如所示，其包含“认证数据(authenticationdata)”avp，其内容示出在表5中。如所指示，“认证数据”avp含有所有需要的认证/授权参数(rand、autn、xres)和密钥(ck、ik)。

表4“认证应答(authenticationanswer)”消息(3gppts29.273的表8.1.2.1.1/4)

表5“认证数据(authenticationdata)”内容(3gppts29.273的表8.1.2.1.1/5[6])

图6中示出用于eps/e-utran接入的密钥层级(3gppts33.401。如所示，永久密钥k存储在ue(usim)和网络(hss/auc304)两者处。首先，ue214和hss210导出中间密钥对ck和ik。接着，它们使用ck、ik和服务网络身份(snid)来导出kasme，如3gppts33.401的附录a.2中所说明。之后，使用先前在表2中描述的“authentication-information-answer”消息将kasme发送到mme202。

接着，ue214和mme202使用3gppts33.401的附录a.7中描述的密钥导出功能(kdf)来导出nas密钥，即knasenc(nas加密密钥)和knasint(nas完整性保护密钥)。此外，mme202和ue214使用kasme和上行链路nascount来导出enb安全密钥(kenb)，如3gppts33.401的附录a.3中所定义。之后，enb从mme202接收含在“初始上下文设置请求(initialcontextsetuprequest)”消息中的kenb。最后，ue214和enb使用3gppts33.401的附录a.7中描述的kdf导出用于用户平面(kupint、kurcenc)和rrc(krrcint、krrcenc)传输的所需密钥。

mme202使用“初始上下文设置请求”消息来将(kenb)发送到enb。大体来说，发送“初始上下文设置请求”消息以请求ue上下文的设置(ts36.413的条款9.1.4)。使用“安全密钥(securitykey)”信息元素(ie)(kenb)来在enb中应用安全性(ts36.413的条款9.2.1.41)。

在本节中，论述图7中所示的用于twan的aka’密钥层级。类似于图6中的eps情形，在ue214和hss处导出密钥对ck和ik。然后，利用“接入网络身份”导出新的密钥对即ck'和ik'。3gppts33.402的附录a.2示出如何从ck、ik和“接入网络身份”导出ck’、ik’。使用先前在表4中说明的“认证应答”消息来将密钥ck’、ik’发送到3gppaaa服务器。接着，如下(ietfrfc5448的条款3.3)在ue和3gppaaa服务器处导出主密钥(mk)：

mk＝prf’(ik’|ck’,”eap-aka’”|identity)

k_encr＝mk[0..127]；k_aut＝mk[128..383]；k_re＝mk[384..639]；

msk＝mk[640..1151]；emsk＝mk[1152..1663]，

其中prf'是伪随机函数，k_encr是128位加密密钥(用于数据加密)，k_aut是256位认证密钥(用于mac)，k_re是256位重新认证密钥(用于快速重新认证)，msk是512位的主会话密钥，且emsk是512位扩展主会话密钥。

msk通过eap方法ietfrfc3748导出到twan。更具体来说，3gppaaa服务器通过发送基于diameter的“diameter-eap-answer”(eap-payload(eap有效负载)、eap-master-session-key(eap主会话密钥))消息来将msk传送到twan，如ietfrfc4072中论述。“eap-master-session-key”avp表示将在wlan链路上使用的msk。

在ue214经历从一个enb到另一个enb的移交的lte内移交中，ue214不需要再次被认证到网络。而是仅在ue和目标enb处生成新的kenb。在图8中示出更新kenb的程序，且可如下概述(3gppts33.401的条款7.2.8)。首先，ue214和mme202将使用kasme密钥来导出kenb和下一跳跃参数(nh)。nh链接计数器(ncc)与每一kenb和nh参数相关联。mme202可以发送kenb密钥或{nh,ncc}对到enb。在移交时，首先使用kenb(水平密钥导出)或nh(垂直密钥导出)导出基础kenb*。最后，将nh或kenb进一步绑定到目标物理小区id(pci)及其下行链路演进绝对射频信道号(earfcn-dl)。

可以对twan218接入epc216进行快速重新认证。在此情况下，将不会像在完整认证情况中那样涉及hss210。快速重新认证程序目的在于生成将在ue与twan之间使用的新msk。3gppts33.402的条款6.3详细描述它。

一旦3gppaaa服务器接收到重新认证id，即从3gppaaa服务器发送“eap-request/aka’-reauthentication(eap请求/aka’重新认证)”消息(ietfrfc4187的条款9.7)消息到ue。其包含以下属性：counter、nonce、mac和新的重新认证id。第一，counter是16位无符号的整数计数器值(ietfrfc4187的条款10.16)。counter在完整认证程序中被初始化为一。第二，nonce是aaa服务器为此eap-aka’快速重新认证新生成的随机数(16字节)(ietfrfc4187的条款10.18。随机数用作ue的挑战，且还用作新密钥材料的种子值。第三，mac属性大体上含有涵盖eap分组的消息认证代码(mac)。在整个eap分组(在此情况下为nonce)上计算mac，并与可选的消息特定数据级联(ietfrfc4187的条款10.15)。最后，将在下一快速重新认证中使用新的重新认证id。

在快速重新认证中，计算以下密钥(ietfrfc5448)：

mk＝prf’(k_re,“eap-aka’re-auth”|identity|counter|nonce)

msk＝mk[0..511]

其中mk是主密钥，且prf是伪随机数函数。在快速重新认证时，可以使用相同的伪随机数生成器来生成新的msk(ietfrfc4187)。k_re是来自先前的完整认证的重新认证密钥，并且在基于其可能发生的任何快速重新认证中保持不变。最后，在服务器处生成counter和nonce。

在当前3gpp互通架构中，决定进行rat间移交的多rat(lte/wlan)ue将需要在进行移交之前运行完整认证程序，ts23.402。当小型小区与wi-fi网络共处时，要求ue详细描述在lte与wlan之间的每一移交处运行完整的重新认证是低效的。

技术实现要素：

多ratue当前具有两个个独立的路径来与hss进行认证(经由mme或3gppaaa服务器引起对hss的重复认证消息。下文描述的实施例使用ue和hss之间用于小型小区和wi-fi认证的一个统一认证路径。

首先，新的3gppepc-twan互通架构使mme管理来自多ratue的认证请求。换句话说，所述3gppaaa服务器将不处置来自基于iswn的ue的任何认证程序。为此，在twan与mme之间添加新的参考点，即stb。

第二，添加新的统一认证程序，其允许基于iswn的多ratue直接与所述hss认证，与其当前的接入网络无关(twan或henb)。所述统一认证程序实现所述ue和mme之间的相互认证，并提供用于wlan和lte接入网络两者的密钥。twan发起的和henb发起的认证两者可以由ue分别经由twan或henb来完成。

第三，完成针对rat间移交情形的新的快速重新认证程序。所述重新认证程序通过仅着重于生成所需的密钥来简化相互认证步骤。换句话说，快速的重新认证程序在所述重新认证过程中不涉及hss，从而减轻了核心网络的负担。描述了iswn内(twan到henb和henb-twan)和twan到enb移交情形两者。

最后，描述了用以执行所述认证程序的各种标准协议消息的扩展。扩展的消息跨越s6a参考点(mme-hss)上的以下层、协议和参考点：rrc、s1-ap、nas、eap和diameter。

这些改变无需替代现有的3gpp互通架构。相反，它们可以提供更高效的替代方案，可以在小型小区和wi-fi网络紧密集成时使用。

虽然本文档中的示例涉及在诸如lte的许可频谱中操作的无线电接入技术与诸如wi-fi的非许可中操作的无线电接入技术之间的移交，但是应该了解到，所述概念可以应用于任何两种无线电接入技术之间的移交。

提供本发明内容是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念的选择。此发明内容并不意图识别要求保护的主题的关键特征或基本特征，也不意图被用来限制要求保护的主题的范围。此外，要求保护的主题并不限于解决在本公开的任何部分中提到的任何或全部缺点的限制。

附图说明

从以下结合附图举例给出的描述中可以得到更详细的理解，其中：

图1是示出用于可信wlan接入epc的非漫游架构的图。

图2是示出了具有粗体的附加参考点的3gppepc-wlanmme/s-gw锚定的iswn架构的图。

图3是示出认证和密钥协议(aka)的图。

图4是示出认证向量的生成的图。

图5是示出usim中的用户认证功能的图

图6是示出e-utran的密钥层级的图。

图7是示出twan的密钥层级的图。

图8是示出移交密钥链的模型的图。

图9是示出iswnue的两个并行认证路径的图。

图10是示出iswn中的频繁的twan-henb移交的调用流的图。

图11是示出统一认证集成epc-twan架构的图。

图12是示出基于henb的统一认证/附着程序的调用流的图。

图13是示出基于twan的统一认证/附着程序的调用流的图。

图14是示出具有快速重新认证程序的henb到twan移交的调用流的图。

图15是示出基于eap-rp的重新认证的调用流的图。

图16是示出具有快速重新认证程序的twan到henb移交的调用流的图。

图17是示出具有快速重新认证程序的twan到enb移交的调用流的图。

图18是示出集成epc和不可信的wlan网络架构的图。

图19是示出不可信的wlan(下部)和可信的wlan(上部)情形中的ue-hss路径的图。

图20是示出供本发明的实施例使用的示例性图形用户界面的图。

图21a是其中可以实现iot事件管理系统和方法的一个或多个公开实施例的示例机器到机器(m2m)或物联网(iot)通信系统的图。

图21b是可以在图21a中示出的m2m/iot通信系统内使用的示例架构的系统图。

图21c是可以在图21a中示出的通信系统内使用的示例m2m/iot终端或网关装置的系统图。

图21d是其中可以体现图21a的通信系统的方面的示例计算系统的框图。

具体实施方式

图9描绘用于多ratue214经由iswn接入epc216的两个不同认证路径。ue214在上部路径上通过henb220和mme202与hss210执行aka算法以用于lte连接，或者在下部路径上通过twan和aaa服务器与hss210运用aka算法用于wlan连接。当ue214进行rat间移交时，其需要经由mme202或aaa服务器212来与hss210重新运行认证程序。mme202和3gppaaa服务器212的角色是相似的。

在集成的小型小区/wi-fi网络中，在每一移交事件处重新运行完整的认证程序是低效的，其具有由mme202和aaa服务器212两者提供的类似的功能性。

应理解，图9所示的功能性可以以存储在无线装置或其他设备(例如，服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即，计算机可执行指令)的形式来实现，诸如下文描述的图21c或21d中所示的那些中的一者。还应理解，图9中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图9中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

图10说明此程序细节。最初，假定ue214被加电并且想要使用lte。在图10的步骤1中，ue214经由henb向mme202发起“附着请求”程序。作为响应，在图10的步骤2中，mme202发送“认证请求”消息到hss210。在图10的步骤3中，hss210运行aka算法以生成认证向量和中间密钥。

在图10的步骤4中，hss发送认证向量和密钥到mme。mme接着导出所需的密钥。在图10的步骤6中执行ue214与mme202之间的相互认证程序，在此期间ue运行aka算法以生成所需的密钥和验证。一旦认证完成，在图10的步骤7中mme向s-gw/p-gw发起创建会话程序。因此在henb220与s-gw/p-gw1002之间建立gtp隧道。此外，在图10的步骤8中，在ue214、henb220和mme202之间进行用于无线电和接入承载建立的lte程序。

过了一段时间，在图10的步骤9中，ue214发现wlan并且想要移交到twan218。因此，在图10的步骤10中，ue214将发起与twan218的连接。在图10的步骤11中，twan218和ue214将具有初始eap认证程序。一旦完成，即在图10的步骤14和15中向aaa服务器212和hss210发送“认证请求”。mme202和3gppaaa服务器212的角色与在图10的步骤2和13中的是相似的。在图10的步骤14中，hss210运行aka算法(类似于步骤3)以生成认证向量和中间密钥。需要这些认证向量来认证ue214，其先前已经在图10的步骤6中被认证。

在图10的步骤15中，hss210发送认证向量和密钥到aaa服务器。因此在步骤16中，aaa服务器212导出所需的密钥。同样，mme202和3gppaaa服务器212的角色与在图10的步骤5和16中的类似。接着，在图10的步骤17中，将在3gppaaa服务器212与ue214之间执行类似于与图10的步骤6中的相互认证。此程序包含在ue214侧的密钥生成，类似于图10的步骤6。因此，twan218经由3gppaaa服务器212(在s2a参考点上)向s-gw/p-gw1002发起“创建会话”程序，这通过在图10的步骤18中在twan218与s-gw/p-gw1002之间具有gtp隧道来结束。或者，twan218可以经由在s1a-mme参考点上的mme202(在图2中示出)来发起会话创建。最后，在图10的步骤19中完成认证程序并建立wlan连接。

从图10可见，如果使用lte接入的ue214想要移交到twan218，那么在当前标准中，其将经由3gppaaa服务器212再次联系hss210以进行授权。换句话说，图10阐明了iswn内rat间移交中的冗余认证程序。更准确地说，图10中的移交程序的缺点是：

1.如在图10的步骤3和14中那样，hss210两次运行aka算法以生成认证向量。

2.如在图10的步骤6和17中那样，ue214两次运行aka算法以生成认证向量。

3.如在图10的步骤6和17中那样，ue214和epc216两次交换消息的相互认证集。

在观察这个问题时，如果附着到iswn的henb侧的ue214想要移交到iswn的twan侧，那么不需要经由aaa服务器212来与hss210再次执行完整的认证程序。基于先前说明的用例，本公开中考虑的问题可以被表述如下：

·如何与epc216一次认证针对lte和wlan两者的附着iswn的ue214以减少向epc216中的hss210的重复消息传递？

在此情况下，将不需要在iswn内rat间移交处运行完整的认证程序。相反，我们将具有快速的重新认证程序。

·如何在rat间移交情形处进行快速重新认证？

例如，可能不需要hss210参与重新认证过程。

应理解，执行图10中示出的步骤的实体可以是逻辑实体，其可以以软件(即，计算机可执行指令)的形式实现，该软件存储在被配置用于无线和/或网络通信的设备或诸如图21c或图21d中所示的那些计算机系统的存储器中并且在其处理器上执行。也就是说，图10中示出的方法可以以存储在诸如图21c或图21d中示出的设备或计算机系统的设备的存储器中的软件(即，计算机可执行指令)的形式来实现，所述计算机可执行指令在被设备的处理器执行时执行图10中示出的步骤。还应理解，图10中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图10中示出的任何发送和接收步骤可以由在设备的处理器的控制之下设备的通信电路以及其执行的计算机可执行指令(例如，软件)执行。还应理解，图10中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

图11示出用于epc-twan集成的互通架构。具有修改消息的现有参考点是uu、swu、s1-mme和sga。先前在图2中论述的附加参考点是s1a-mme和s1a-u。在twap224与mme202之间添加新的参考点stb。图11示出集成在iswn230内的henb220和twan218。在本公开中呈现的想法也适用于henb小型小区220和twan218被集成在同一个物理盒子中的情况。

在此示例中，将不利用3gppaaa服务器212。相反地，针对认证程序，twap224将经由新的stb参考点连接到mme202。关于会话管理(sm)程序并类似于图2，twan218(此情况下的twag232)将分别经由s1a-mme和s1a-u参考点连接到mme202和s-gw206。

统一认证程序可以绕开3gppaaa服务器212，且仅使用hss210和mme202用于iswn230的认证。然而，3gppaaa服务器212仍然可以共存于同一网络中，用于不允许统一认证的其他网络的认证，或者在不支持统一认证时使用。最后，我们指出，此类互通架构可以推广到利用诸如cdma2000的3gppaaa服务器212的其他非3gpp系统。

如图11中示出，iswn230由twan218和henb220组成。我们假设每一接入节点(henb220或twan218)都配置有关于iswn230的一些参数。这些配置参数旨在包含e-utran网络类型(如在3gppts33.401中)和wlan接入网络身份(如在3gppts24.302中)。表6描绘添加的配置参数。如所指示，首先添加“接入类型”以指示集成性质为“iswn”。其次，我们将iswn230的henb侧的“网络类型”包含为“e-utran”。最后，我们将twan218侧的“网络接入身份”指示为wlan。这些iswn配置参数将被存储在henb220和twan218两者处，且将由两者中的任一者发送到认证/附着程序内的mme202。

应理解，图11所示的功能性可以以存储在无线装置或其他设备(例如，服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即，计算机可执行指令)的形式来实现，诸如下文描述的图21c或21d中所示的那些中的一者。还应理解，图11中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图11中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

表6iswn配置参数

统一认证程序

在本节中，我们介绍允许ue214和网络对iswn230的两个rat执行完整aka算法的统一认证程序。认证步骤是初始附着程序中的第一重要步骤。因此，作为初始附着过程的一部分，我们将说明认证程序。我们将涵盖两种情况，这取决于ue214是否发起对iswn230的twan218或henb220的附着。

基于henb的统一认证/附着程序

在本节中，我们假定ue214将经由henb220发起到henb230的附着。因此，我们旨在使ue214经由mme202与hss210相互认证。此外，将导出用于e-utran和wlan218两者的密钥材料。考虑到表6中的iswn配置参数，统一的程序仅依赖于运行aka算法一次。

图12描绘基于henb的统一认证/附着程序的调用流，且其可如下描述。

在图12的步骤1中，ue214经由与henb220进行“rrc连接建立”程序来开始建立连接，如3gppts36.331的条款5.3.3中描述。更准确地说，其发送“rrc连接请求(rrcconnectionrequest)”消息到henb220。作为响应，henb220发送“rrc连接设置(rrcconnectionsetup)”消息到ue214。

在图12的步骤2中，因此，ue214发送“rrc连接设置完成(rrcconnectionsetupcomplete)”(nas：附着请求、gummei、统一认证)消息到携带nas“附着请求”(旧的guti、旧的guti类型、ue核心网络能力、附着类型、…等)内容的henb。包含在“附着请求(attachrequest)”消息中的信息元素的列表在3gppts23.401的条款5.3.2中提到，并且也在3gppts24.301的表8.2.4.1中列出。如3gppts23.003中定义的全球唯一临时身份(guti)由mme202分配给ue214。如果ue214不具有有效的旧guti，那么应该包含imsi。“ue核心网络能力”信息元素包含所支持的as和nas安全程序的指示。除了“附着请求”nas内容之外，“rrc连接设置完成”消息还带有指示选定的网络和旧的全球唯一mme标识符(gummei)的rrc参数，如3gppts36.331的条款6.2.2中所指示。

“rrc连接设置完成”消息的新的“统一认证(unifiedauthentication)”信息元素。由ue14使用这个新的信息元素以向henb220指示其希望以执行也包含iswn的twan侧的统一认证。我们指出，通过添加此类ie，ue214将向后兼容，因为其可以执行典型的认证程序。类似地，在图12的步骤1中，在从henb220到ue214的“rrc连接设置”消息中添加新的信息元素，即“统一认证”。由henb220使用此类信息元素来指示其对ue214的统一认证程序的支持。

在图12的步骤3中，henb220使用“旧gummei(oldgummei)”信息元素从所接收的“rrc连接设置完成”消息提取mme202。接着，henb220发送“初始ue消息(initialuemessage)”(nas-pdu、选定网络、csgid、接入类型、接入网络身份)消息到mme202。在(3gppts36.413的条款8.6.2.1)中给出了原始s1-mme“初始ue消息”控制消息。csgid指示封闭订户组(csg)的标识符。

我们假定henb220发送关于其集成twan218的一些信息。一旦建立了iswn，就可以在henb220和twan218两者中配置此类信息。更具体来说，henb220将发送传达“接入类型＝iswn”和“接入网络身份＝wlan”的“初始ue消息”消息到mme202。“接入网络身份＝wlan”表示twan侧(3gppts24.302的表8.1.1.2)。此外，我们定义iswn的新的“接入类型(accesstype)”以将ue214连接到iswn230(twan218和henb220)通知到mme202。

在图12的步骤4中，为了建立eps安全参数(认证、nas安全设置)，mme202发起aka程序。具体地，mme202发送“authentication-information-request”(imsi、plmn-id、requested-eutran-authentication-info、接入类型、接入网络身份)消息到hss210。plmn-id或服务网络身份(snid)身份等于mcc+mnc。先前在表1中示出“authentication-information-request”消息的标准avp。

扩展“authentication-information-request”消息以包含twan218侧的“接入类型＝iswn”和“接入网络身份＝wlan”。

在图12的步骤5中，在接收到“authentication-information-request”消息后，hss210运行aka程序。因此，hss210生成认证向量(av)，其由rand、xres、ck、ik和autn组成。

在图12的步骤6中，另外并且对于e-utran，ck、ik和snid的集合被馈送到加密密钥导出功能(kdf)以生成新的密钥，即kasme，如先前在图6中示出。

在图12的步骤7中，另外并且对于wlan218，ck、ik、接入网络身份和序列号(sqn)的集合被馈送到加密kdf以生成新的密钥对，即ck'和ik'，如先前在图7中示出。

在图12的步骤8中，一旦hss210生成av和密钥，将它们在“authentication-information-answer”(rand、autn、xres、kasme、ck’、ik’、重新认证id)消息中转发到mme202。先前在表2中示出“authentication-information-answer”消息的标准avp。

将三个信息元素添加到“authentication-information-answer”消息，即ck’和ik’。

在图12的步骤9中，mme202生成用于nas加密(knasenc)、nas完整性(knasint)以及还有henb安全密钥(kenb)的所需密钥。如先前在图6中示出，这些密钥基于先前在图12的步骤8中从hss210所接收的中间密钥kasme而生成。

在图12的步骤10中，类似于wlan，mme202生成用于图7中呈现的wlan218的所有的所需密钥，即k_encr、k_aut、k_re、msk和emsk。这些密钥基于先前在图12的步骤8中从hss所接收的中间密钥ck’和ik’而导出。

mme202可以生成所有wlan密钥(k_encr、k_aut、k_re、msk和emsk)。此类密钥生成功能从3gppaaa服务器212移动到mme202。

在图12的步骤11中，一旦从hss210接收到av且生成e-utran和wlan密钥，mme202即通过发送nas“认证请求”消息而发起与ue214的相互认证过程。因此，mme202首先发送“认证请求”(rand、autn、重新认证id、接入网络身份)消息到henb220。在3gppts24.301的表8.2.7.1中示出nas“认证请求”消息的信息元素的完整列表。将由mme202生成重新认证id，以供ue214如果其稍后将连接到iswn230的twan218侧时使用。

添加两个新信息元素，分别是“认证请求”消息中的“接入网络身份(accessnetworkidentity)”和“重新认证id(re-authenticationid)”。“接入网络身份”信息元素将wlan接入网络身份传达到ue(经由henb)。以与图12的7类似的方式，在ue处需要此类信息元素以用于wlan密钥生成。

在图12的步骤12中，在henb220转发nas“认证请求”消息到ue214。“重新认证id”将被存储在ue214处以供稍后每当ue214尝试连接到iswn230的twan218时使用。

在图12的步骤13中，作为响应，ue214运行先前在图5中描述的aka算法。ue214生成预期autn(或更具体来说xmac)、res、ck和ik。首先，ue214验证所生成的预期autn匹配从mme202接收的autn。如果是，那么ue214认证所述网络。

在图12的步骤14中，类似于图12的步骤5和6，在hss210侧完成，ue214使用所生成的密钥ck和ik以及其他参数诸如“snid”和“接入网络身份”(从mme接收)来建立中间密钥kasme、ck'、ik'。我们注意到，kasme将被用来导出e-utran密钥(如图6所示)，而ck'、ik'将被用来导出wlan密钥(如图7所示)。

在图12的步骤15中，基于这些中间密钥，ue214导出用于e-utran和wlan传输的所有的所需密钥。首先针对e-utran(接图7)，ue214导出nas加密(knasenc)、nas完整性(knasint)、rrc加密密钥(krrcenc)、rrc完整性密钥(krrcint)、用户平面加密密钥(kupenc)和用户平面完整性密钥(kupint)。其次针对wlan(接图7)，ue214导出数据加密密钥(k_encr)、mac认证密钥(k_aut)、重新认证密钥(k_re)、主会话密钥(msk)和扩展主会话密钥(emsk)。

在图12的步骤16中，由于ue214已认证网络，所以其发送回nas“认证响应”(res)消息到mme202。在上文的图12的步骤13中生成“res”信息元素。在3gppts24.301的表8.2.8.1中列出nas“认证响应”消息的信息元素的完整列表。

在图12的步骤17中，henb220转发nas“认证响应”(res)消息到mme202。

在图12的步骤18中，一旦mme202接收到“res”，它将其与“xres”(在图12的步骤8中从hss210接收)进行比较。如果验证成功，mme202认证ue214。因此，成功完成ue214与网络之间的相互认证。

在图12的步骤19中，mme202通过发送标准“创建会话请求(createsessionrequest)”消息到s-gw来向服务gw(s-gw)206和pdn网关(p-gw)208发起创建会话。作为响应，p-gw208和s-gw206发送“创建会话响应(createsessionresponse)”(s-gwteid、p-gwteid)消息到mme202，识别要在来自henb220的上行链路传输中使用的隧道端点标识符(teid)。

在图12的步骤20中，一旦建立了朝向s-gw/p-gw1002的会话，mme202在“初始上下文设置请求/附着接受(initialcontextsetuprequest/attachaccept)”(kenb)消息中将henb220安全密钥(kenb)发送到henb220。此消息还包含要在上行链路传输中使用的s-gw的teid和地址。其还包含eps承载身份、nassqn和nas-mac。nassqn指示nas消息的序列号，且nas-mac是用于完整性的nas的消息认证代码(mac)。例如，如3gppts33.401中所述，tau请求消息应由nas-mac完整性保护。

在图12的步骤21中，在接收到包含来自mme202的安全密钥(kenb)的“附着接受(attachaccept)”消息后，图6之后的henb220导出e-utranrrc和用户计划密钥，即krrcenc、krrcint、kupenc和kupint。

在图12的步骤22中，henb220通过发送标准“rrc连接重新配置(rrcconnectionreconfiguration)”消息和取回标准“rrc连接重新配置完成(rrcconnectionreconfigurationcomplete)”消息来发起向ue214的rrc连接重新配置程序。3gppts23.401的图5.3.2.1-1(步骤18、19)详细说明这些消息。

在图12的步骤23中，一旦rrc连接被重新配置，henb220通过发送“初始上下文设置响应(initialcontextsetupresponse)”(henbteid、henb地址)消息来回复mme202。此消息传达要在下行链路业务中使用的henb220的teid和地址。

在图12的步骤24中，为了完成e-utran附着，ue214发送nas“附着完成(attachcomplete)”消息到mme202。更具体来说，ue214发送“附着完成”(eps承载身份、nassqn、nas-mac)消息到henb220。接着，henb220在“上行链路nas传输(uplinknastransport)”消息中将nas“附着完成”消息转发给mme202。现在可以开始ue214与henb220之间的lte传输。

在图12的步骤25中，最后建立用于下行链路的用户平面隧道，mme202在前往s-gw206的“修改承载请求(modifybearerrequest)”(henbteid)消息中将henbteid传达到s-gw206。s-gw206通过发送回“修改承载响应”消息来进行确认。现在，在henb220与s-gw/p-gw之间建立了gtp隧道。

基于twan的统一认证/附着程序

在本节中，我们假定ue214尝试经由其twan218侧而连接到iswn230。类似于图12中呈现的统一认证观念，ue214旨在与twan218和henb220两者进行统一的认证。更准确地说，ue214首先将建立与twan218的eap认证。然而，与标准twan向3gpp服务器的传输相反，twan218将与mme202通信以在新的stb参考点上传达认证请求。将在stb参考点上使用两个基于diameter的消息来利用diameter协议，即“diameter-eap-request”和“diameter-eap-answer”消息。

将应用涉及hss210、mme202、twan218和ue214的标准aka算法。ue214和mme202两者将生成要用于twan传输中的所需密钥。我们注意到不再需要3gppaaa服务器212。图13描绘基于twan的统一认证和附着程序的调用流。

图13中的调用流可以如下描述。

在图13的步骤1中，根据ieee802.11标准在ue214与twan218之间发起连接。

在图13的步骤2中，作为用于认证的第一步骤，twan218(特别是twap)根据ietfrfc5448中定义的eap-aka’协议来发送“eap-request/identity(eap请求/身份)”消息到ue214。

在图13的步骤3中，响应于身份请求，ue214发送指示其网络接入标识符(nai)的“eap-response/identity(eap响应/身份)”(nai、统一认证)消息到twan(ietfrfc4282，3gppts23.003)。如果ue214之前已经被认证，那么nai是分配的假名。否则在第一认证情况下nai是imse。

可以通过添加“统一认证”信息元素来扩展eap“eap-response/identity”消息。“统一认证”信息元素是来自ue214的指示符，其需要执行包含iswn220的twan218和henb220两侧的基于iswn的统一认证。我们指出，eap消息可以像先前所做的那样被扩展，以包含例如“移交指示符(handoverindicator)”(3gppts23.402中的条款16.1.4a.2)。

在图13的步骤4中，由于此twan218是iswn230的一部分，所以twan218可以将其自身的识别信息以及其iswn230携带到mme202。更具体来说，twan218发送“diameter-eap-request”(eap-response/identity＝nai，接入类型＝iswn，接入网络身份＝wlan)消息到mme202。通过包含iswn接入类型，使得mme202知道附着到twan218的多ratue214正尝试向iswn230的twan218和henb220二者进行认证。

在stb参考点上添加新消息，即“diameter-eap-request”消息，其与在ietfrfc4072中在sta(aaa服务器与twap之间)上定义的消息类似。此外，可以将“接入类型＝iswn”和“接入网络身份＝wlan”添加到“diameter-eap-request”消息。

图13的步骤5-11类似于图12的步骤4-10。这些步骤包含mme202与hss210之间的关于认证向量的请求的通信。另外，这些步骤还包含在hss210和mme202处的e-utran和twan218的密钥生成。

在图13的步骤12中，由于认证向量在mme202处可用，所以其发送“diameter-eap-answer”(eap-request/aka’-challenge)消息到twan218。“eap-request/aka’-challenge”有效负载包含在ue214处的认证和密钥生成所需的(rand、autn、重新认证id、接入网络身份)。重新认证id将在任何即将来临的快速重新认证请求中用作ue的身份。

在stb参考点上添加新消息，即“diameter-eap-answer”消息，其与在ietfrfc4072中在sta(aaa服务器212与twap224之间)上定义的消息类似。没有新的avp添加到“diameter-eap-answer”消息。

在图13的步骤13中，twan218(特别是twap224)将eap-request/aka’-challenge(rand、autn、重新认证id、接入网络身份)转发到ue214。

在图13的步骤14-16中，类似于图12中的步骤13-15，ue214运行aka算法以生成autn以及还有用于步骤14-16中的wlan和e-utran的所需密钥。ue214过比较所接收的autn与其自身生成的autn来认证网络。最后，ue214生成将要发送到mme202的res。

在图13的步骤17中，由于由ue214认证网络，所以ue214通过发送“eap-response/aka’-challenge”(res)消息到twan218(特别是twap224)来进行响应。

在图13的步骤18中，twan在新的stb参考点上将被包含在“diameter-eap-request”中的eap“eap-响应/aka’挑战”(res)消息转发到mme202。

在图13的步骤19中，mme202以类似于图12的步骤18的方式来认证ue214。

在图13的步骤20中，一旦ue214被认证，mme202发送“diameter-eap-answer”(eap-success(eap成功)、eap-master-session-key)消息到携带eps有效负载的twan(eap成功)以指示eap认证的成功。此外，此消息将“eap-master-session-key”(msk)avp传达到twan218，以在ue214与twan218之间用于其进一步通信。

在图13的步骤21中，为了完成认证程序，twan218转发“eap-success”消息到ue214。

在图13的步骤22中，为了创建会话，twan218在s1-mme参考点上向mme202发送“创建会话请求”(twanteid)消息，该消息被转发到s-gw206和p-gw208。

在图13的步骤23中，作为响应，p-gw/s-gw发送“创建会话响应”(s-gwteid)消息到mme202，该消息被转发到twan218(在s1-mme参考点上)。现在在twan218、s-gw206和p-gw208之间建立了gtp隧道。

在图13的步骤24中，ue214可以发送标准层3附着请求(例如dhcpv4请求)。作为响应，将具有分配的ipv4地址的dhcpv4消息发送到ue。现在在ue214与twan218之间建立了使用ieee802.11标准的wlan通信。

rat间移交程序中的快速重新认证

iswn内henb到twan移交程序中的快速重新认证

在本节中，我们考虑ue214已经通过附着到henb220而初始执行统一认证的情形。接着，ue214决定切换到wlan218。由于ue214已经被hss210认证，所以不需要再次运行完整的认证程序。相反，ue214和mme202仅需要运行快速重新认证，其中仅生成用于wlan接入网络的新密钥(例如msk)。图14描绘用于同一iswn230内的henb到wlan移交情形中的快速重新认证程序的调用流。如将要示出的，不需要生成新的认证向量。

mme202而不是twan218将是用于生成新wlan密钥(例如，msk)的负责网络实体。这与3gpp指南一致，3gpp指南通常允许aaa服务器(不是twan218)执行快速重新认证(3gppts33.402的条款6.3)或mme202(不是henb220)生成lte内的e-utran移交密钥(第212节)。

图14中的调用流可以如下描述。

在图14的步骤0中，lte连接已经存在于ue214、henb220和s-gw/p-gw之间。假定henb220是iswn的一部分。此外，与包含henb220和wlan218两者的iswn230的统一认证程序初始已根据上文论述的新程序来完成。

在图14的步骤1中，ue214决定在同一iswn内进行到twan218的rat间移交。因此，ue214发起与twan218的连接。

在图14的步骤2中，作为从twan218侧的第一步骤，其向ue214发送“eap-request/identity”消息以询问ue的身份。

在图14的步骤3中，作为响应，ue214通过发送“eap-response/identity”(重新认证id、移交)消息到twan218来进行回复。在此消息中，ue214使用重新认证id来指示其身份，所述重新认证id在之前的初始统一认证程序(图12中的步骤12)中被发送到ue214。此外，其指示正在进行向twan218的移交。我们注意到，eap-aka’先前已被扩展以携带“移交指示符”和“请求的apn(requestedapn)”信息元素(3gppts23.402中的条款16.1.4a.2)。因此，我们在此步骤中通过包含“移交指示符”而利用此eap扩展。

在图14的步骤4中，twan218通过发送“diameter-eap-request”(eap-response/identity：重新认证id、接入类型＝iswn、接入网络身份＝wlan、接入网络身份、移交)来将所接收的消息传到mme(在新的stb参考点上)。此消息向mme202指示，现有的ue214(由其重新认证id辨识的)旨在进行到其iswn230的wlan218侧的移交。

在图14的步骤5中，mme202接收“重新认证id”信息元素，其决定使用快速重新认证程序。因此，其将跳过图13中的步骤5-10。接着，mme202在新的stb参考点上发送“diameter-eap-answer”(eap-request/aka’-reauthentication：counter、nonce、mac、重新认证id)消息到twan218。在此消息中，mme202包含新鲜的counter值(其在完整的认证程序中被初始化为一)、nonce、mac和新的重新认证id。mac根据nonce来计算，且新的重新认证id将用于下一快速重新认证。这些属性遵循标准的“eap-request/aka’-reauthentication”eap消息。

在图14的步骤6中，一旦twan218接收到上述消息，其即向ue214转发包含其有效负载(counter、nonce、mac、重新认证id)的“eap-request/aka’-reauthentication”消息。

在图14的步骤7中，在接收到所述消息后，ue214验证计数器是否具有新鲜的值，且mac是否正确地计算。接着，ue214通过发送“eap-response/aka’-reauthentication(eap响应/aka’重新认证)”(counter、mac)消息到twan218来进行响应。counter与从mme202所接收的相同，且mac根据eap分组和nonce(如从mme202接收)来计算。这些属性遵循在ietfrfc4187的条款9.8中定义的标准的“eap-response/aka’-reauthentication”eap消息。

在图14的步骤8中，twan218将从ue214接收的eap有效负载嵌入到“diameter-eap-request”(eap-响应/aka'-重新认证)消息中，并在新的stb参考点上将其发送到mme202。

在图14的步骤9中，接收到重新认证响应，mme202重新生成wlan主会话密钥(msk)。基于重新认证密钥(k_re)、重新认证id、counter和nonce来生成新的msk。

在图14的步骤10中，mme202在新的stb参考点上将“diameter-eap-answer”(eap-success、msk)消息发送到twan218。因此，twan218将存储要在其与ue214的传输中使用的msk。

在图14的步骤11中，为了完成快速重新认证程序，twan218转发“eap-success”消息到ue214。

此外，在图14的步骤12中，twan218在s1-mme参考点上向mme202发送“创建会话请求”(twanteid)，其被转发到s-gw206和p-gw208。

在图14的步骤13中，作为响应且假定“移交”指示，p-gw208重新分配相同的ip地址到ue214。接着，其发送“创建会话响应”到s-gw206，其被转发到mme202，且最后到twan218(在s1-mme参考点上)。因此，在twan218、s-gw206和p-gw208之间建立gtp隧道。

在图14的步骤14中，一旦ue214接收到来自twan的“eap-success”消息，其生成新的wlanmsk，类似于图14的步骤9。此外，ue214可以发送标准层3附着请求，(例如，dhcpv4请求)。作为响应，将具有分配的ipv4地址的dhcpv4消息发送到ue。因此，现在完成移交，且ue214具有与twan218的wlan连接。

最后，在图14的步骤15中，由pgw208发起3gppeps承载释放程序。更具体来说，执行3gppts23.402的条款5.6.2.2中描述的p-gw208发起的pdn断开程序。

下文描述了一种替选机制，其描述了基于eap-重新认证协议(eap-rp)(rfc6696)的优化的重新认证机制。eap-rp协议可以在完整的eap认证或者aka认证协议之后或者对于任何完整的认证协议来执行。eap-rp使用单个往返来实现重新认证。可以使用类似的机制来执行重新认证，诸如可以采用一次往返认证(orta)。还可以采用eap-fast机制。

可以采用诸如orta的机制，以便进一步减少认证/ip地址指派中涉及的等待时间。orta利用ortaid，从而避免完整的认证程序，并且ue可以能够可选地使用orta消息来请求ip地址指派，而不必以串行方式在eap认证已经执行之后明确地启动dhcp消息。使用orta，以并行的方式使用orta消息传递而隐式地或显式地执行dhcp过程。

图15中的调用流可以如下描述。

在图15的步骤0中，我们假定lte连接已经存在于ue214、henb215和s-gw/p-gw1002之间。假定henb220是iswn230的一部分。此外，已根据关于图12论述的新程序来初始地用包含henb220和wlan218两者的iswn230完成统一认证程序。作为认证过程的结果，基于eap-rp协议来创建重新认证的上下文。作为eap认证的一部分而生成的扩展主会话密钥(emsk)可以用于生成重新认证根密钥(rrk)，其可以与由emskname/keynamenai标识的重新认证上下文信息相关联。诸如重新认证完整性密钥(rik)的基于rrk的派生密钥和其他关联密钥可以在ue和mme202两者处生成。还可以生成域特定(例如，ds-rrk)和关联密钥(例如，ds-rik.ds-rck)。

在图15的步骤1中，我们假定ue214决定在同一iswn230内进行到twan218的rat间移交。因此，ue214发起与twan218的连接。

在图15的步骤2中，作为从twan侧的第一步骤，其向ue214发送“eap-request/identity”消息以询问ue的身份。这可以是可选的或者被替换为特定的eap重新认证请求身份消息。

在图15的步骤3中，ue“eap-initiate/re-auth/bootstrap(eap-发起/重新认证/引导程序)”(keynamenai、seq、mac)消息到twan218。在此消息中，ue214指示作为前述初始统一认证程序(图12中的步骤12)的部分而生成的重新认证上下文(keynamenai)。此外，其指示正在进行向twan218的移交。“移交”指示可以是显式的或隐式的。如果不存在与特定twan218相关联的新鲜且有效的密钥，那么即使没有发生移交，ue214也可以发起此过程。消息认证代码或认证标签是使用eap-rp协议中描述的机制创建的。连同所述消息一起使用seq值以及rik以便创建mac/认证标签。

在图15的步骤4中，twan218通过发送“diameter-eap-request”(eap-initiate/re-auth/bootstrap：keynamenai、接入类型＝iswn、接入网络身份＝wlan、接入网络身份、seq、mac)来将所接收的消息承载到mme202(在新的stb参考点上)。此消息向mme202指示，现有的ue(由其keynamenai辨识)旨在进行到其iswn230的wlan侧的移交。

在图15的步骤5中，基于由mme202接收的keynamenai，mme202检查所述重新认证上下文信息并获得与emskname相关联的rik。mme202使用eap-rp协议所描述的机制来验证mac/认证标签。mme202使用seq和rrk来生成rmsk。

在图15的步骤6中，mme202创建“diameter-eap-answer”(eap-success(rmsk、mac)并将其发送到twan218。

在图15的步骤7中，一旦twan218接收到消息，其存储rmsk并向ue214转发包含其有效负载的“eap-success”(mac)消息，有效负载含有mac/认证标签。

在图15的步骤8中，在接收到所述消息后，ue214验证seq是否按顺序，且mac是否正确地计算。ue214然后使用与mme202类似的机制来导出rmsk。导出其他相关的twan特定密钥以便保护802.11消息。

此外，在图15的步骤9中，twan218在s1-mme参考点上向mme202发送“创建会话请求”(twanteid)，其被转发到s-gw206和p-gw208。

在图15的步骤10中，作为响应且假定“移交”指示，p-gw208重新分配相同的ip地址到ue214。接着，其发送“创建会话响应”到s-gw206，其被转发到mme202，且最后到twan218(在s1-mme参考点上)。因此，在twan218、s-gw206和p-gw208之间建立gtp隧道。

在图15的步骤11-12中，从前面的消息流开始。

iswn内twan到henb移交程序中的快速重新认证

在本节中，我们考虑在iswn230中从twan218到henb220的移交情形。最初，我们假定已经执行了统一认证程序以用iswn230的twan218来认证ue214。接着，ue214决定向iswn的henb220侧进行移交。在此情况下，不需要运行完整的认证程序。相反，可以执行ue214与mme202之间的快速重新认证程序，其重点仅在于密钥再生。hss210将不涉及快速重新认证程序。图16描绘用于iswn内twan到henb移交情形中的快速重新认证和移交程序的调用流。

图16中的调用流可以如下描述。

在图16的步骤0中，我们假定ue214与twan218和s-gw/p-gw1002具有现有的连接。twan218是iswn230的一部分。此连接初始是使用基于twan的统一认证/许可程序来认证的。

在图16的步骤1中，我们假定ue214决定移交到henb220，其是先前认证的iswn230的一部分。首先，ue214发送包含“移交”指示的nas“附着请求”(移交)消息到henb220。

在图16的步骤2中，作为响应，henb220转发“附着请求”(移交)消息到mme202。

在图16的步骤3中，一旦mme202接收到iswn内rat间移交指示，其即可以运行快速重新认证程序。换句话说，跳过图12的步骤4-18。接着，类似于图12中的步骤19，在mme202、s-gw206和p-gw208之间进行标准会话创建程序。“创建会话请求”消息将包含imsi、移交指示和apn。作为响应且假定“移交”指示，p-gw208重新分配相同的ip地址到ue214。接着，p-gw/s-gw1002将发送“创建会话响应”(ip地址、s-gwtedi、p-gwteid)消息返回到mme202。

在图16的步骤4中，一旦创建了移交会话，mme202将其本地保持的ncc值增加1，并使用其存储的kasme及其本地保持的nh值来计算新鲜的nh值(3gppts33.401的附录a.4)。对于nas安全密钥，我们注意到，mme202已经存储了在初始统一认证程序(图13的步骤10)中导出的knasenc和knasint的版本。

在图16的步骤5中，mme通过发送“初始上下文设置请求/附着接受”(nh、ncc)消息到henb220来接受所述附着请求。

在图16的步骤6中，除了目标henb物理小区id(pci)及其频率earfcn-dl(目标物理小区下行链路频率)之外，henb220还使用所接收的(nh、ncc)来生成新的安全密钥(kenb)。在3gppts33.401的附录a.5中描述这一个生成功能。

在图16的步骤7中，一旦生成了新的kenb，henb将基于kenb来导出所有的附加所需的e-utran密钥，即(krrcenc、krrcint、kupenc、kupint)。

在图16的步骤8中，一旦在henb220处完成密钥生成过程，其即发送“移交命令”(ncc)消息到带有新的ncc值的ue214。在3gppts33.401的条款7.2.8.4.3中提及在“移交命令”消息中包含“ncc”信息元素。

在图16的步骤9中，一旦ue214接收到ncc值，其首先使用其存储的kasme及其本地保持的nh，以与mme202在图16的步骤4中做的类似的方式生成新鲜的nh。其次，ue214使用(nh、ncc、目标pci、频率earfcn-dl)来生成kenb，类似于henb220在图16的步骤6中所做的。对于nas安全密钥，我们注意到，ue214已经存储了在初始统一认证程序(图13的步骤16)中导出的knasenc和knasint的版本。

最后，在图16的步骤10中，ue214基于kenb导出所有的所需e-utran密钥(krrcenc、krrcint、kupenc、kupint)，类似于henb220在图16的步骤[0175]中所做的。

在图16的步骤11-14中，类似于图12的步骤22-25来交换“rrc连接重新配置”、“初始上下文设置响应”、“附着完成”和“修改承载请求/响应”消息。最后，完成移交程序，且建立新的lte连接和相关联的gtp隧道。

在图16的步骤15中，如3gppts23.402的条款6.12中所定义的，pdngw208发起twan218中的资源分配失活程序。

twan到enb移交程序中的快速重新认证

在本节中，我们考虑ue214从作为iswn230的一部分的twan218去往宏enb1702的情形。这种情形类似于订户离开他的家或办公室(iswn/twan)并在去往(宏enb1702)的路上的情况。图17描绘此情况中的调用流。如所示，其非常类似于twan到henb中的快速重新认证情况。调用流的细节类似于图16中的调用流，且因此此处将不再需要重复所述步骤。

消息扩展

在本节中，我们引入所需的消息和协议扩展以实现上文呈现的程序。

rrc：“rrc连接设置完成”消息

在图12的步骤12中，我们修改“rrc连接设置完成”消息以包含新的“统一认证”信息元素。如果“统一认证”信息元素被设置，那么意味着ue214期望具有统一的认证程序。表7除了以粗体示出的新的“统一认证”信息元素外还描述了“rrc连接设置完成”消息的标准信息元素。

表7“rrc连接设置完成”信息元素：粗体表示新的信息元素

s1-ap：“初始ue消息”消息

在图12的步骤12中，我们将一些iswn配置参数包含在“初始ue消息”消息中。表8除了新的信息元素即“接入类型＝iswn”和“接入网络身份＝wlan”外还示出“初始ue消息”消息的标准信息元素(3gppts36.413的条款9.1.7.1)。

表8“初始ue消息”信息元素：粗体表示新的信息元素

nas：“认证请求”消息

在图12的步骤11和12中，mme202发送nas“认证请求”消息到iswn230。除了认证向量(rand、autn)之外，mme202发送两个新信息元素，分别是“重新认证id”和“接入网络身份＝wlan”。重新认证id将在用于移交的即将来临的快速重新认证程序中用以识别ue214(例如图5-4的步骤3)。将接入网络身份馈送到ue以便在导出ck’和ik’密钥时利用其(图12的步骤14)。表9描绘“认证请求”消息的标准信息元素(3gppts24.301的条款8.2.7)连同新的重新认证id’和“接入网络身份”信息元素。

表9“认证请求”消息信息元素：粗体表示新的信息元素

eap：“eap-response/identity”消息

ietffrc4187的条款9.2描述由ue发送的用以指示其身份(网络接入标识符)的“eap-response/identity”。在图13的步骤3中，我们添加新的信息元素(即“统一认证”)到“eap-response/identity”消息。“统一认证”信息元素采用二进制值(0或1)。如果“统一认证”信息元素被设置，那么意味着ue期望具有统一的认证程序。

在s6a参考点上的基于diameter的消息

“authentication-information-request(认证信息请求)”消息

在多个实例(例如图12的步骤4)中，mme202发送“authentication-information-request”消息到hss210以请求认证向量。在此消息中添加“接入网络身份＝wlan”信息元素，使得hss210也可以生成用于wlan的密钥(ck’和ik’)。表10示出authentication-information-request”消息的标准信息元素(3gppts29.272的表5.2.3.1.1/1)以及新的“接入网络身份”信息元素。

表10“认证信息请求”消息信息元素：粗体表示新的信息元素

“authentication-information-answer(认证信息应答)”消息

在多个实例(例如图12的步骤8)中，hss210发送“authentication-information-answer”消息到mme202以传达认证向量和密钥。在此消息中添加“ck’”、“ik’”和“重新认证id”信息元素。表11示出authentication-information-answer”消息的标准信息元素(3gppts29.272的表5.2.3.1.1/2)以及新的信息元素。

表11“认证信息应答”消息信息元素：粗体表示新的信息元素。

在新的stb参考点上的基于diameter的消息

“diameter-eap-request”消息

在图13和图14的步骤4中，在twan218(特别是twap224)与mme202之间的新的stb参考点上使用消息“diameter-eap-request”。此外，添加“接入类型＝iswn”和“接入网络身份＝wlan”avp以从twan218承载到mme202。标准avp(ietfrfc4072的条款3.1)连同新的avp(粗体)如下所示：

<diameter-eap-request>::＝<diameterheader:268,req,pxy>

<session-id>

{auth-application-id}

{origin-host}

{origin-realm}

{destination-realm}

{auth-request-type}

[destination-host]

[nas-identifier]

[nas-ip-address]

[nas-ipv6-address]

[nas-port]

[nas-port-id]

[nas-port-type]

[origin-state-id]

[port-limit]

[user-name]

{eap-payload}

[eap-key-name]

[service-type]

[state]

[authorization-lifetime]

[auth-grace-period]

[auth-session-state]

[callback-number]

[called-station-id]

[calling-station-id]

[originating-line-info]

[connect-info]

*[framed-compression]

[framed-interface-id]

[framed-ip-address]

*[framed-ipv6-prefix]

[framed-ip-netmask]

[framed-mtu]

[framed-protocol]

*[tunneling]

*[proxy-info]

*[route-record]

[access-type＝iswn]

[access-network-identity＝wlan]

*[avp]

“diameter-eap-answer”消息

在多个实例(例如，图13的步骤12)中，mme202在新的stb参考点上发送“diameter-eap-answer”消息到twan218上。除了下文从ietfrfc4072的条款3.2中复制的标准外，不需要任何附加的avp。

<diameter-eap-answer>::＝<diameterheader:268,pxy>

<session-id>

{auth-application-id}

{auth-request-type}

{result-code}

{origin-host}

{origin-realm}

[user-name]

[eap-payload]

[eap-reissued-payload]

[eap-master-session-key]

[eap-key-name]

[multi-round-time-out]

[accounting-eap-auth-method]

[service-type]

*[class]

*[configuration-token]

[acct-interim-interval]

[error-message]

[error-reporting-host]

*[failed-avp]

[idle-timeout]

[authorization-lifetime]

[auth-grace-period]

[auth-session-state]

[re-auth-request-type]

[session-timeout]

[state]

*[reply-message]

[origin-state-id]

*[filter-id]

[port-limit]

[callback-id]

[callback-number]

[framed-appletalk-link]

*[framed-appletalk-network]

[framed-appletalk-zone]

*[framed-compression]

[framed-interface-id]

[framed-ip-address]

*[framed-ipv6-prefix]

[framed-ipv6-pool]

*[framed-ipv6-route]

[framed-ip-netmask]

*[framed-route]

[framed-pool]

[framed-ipx-network]

[framed-mtu]

[framed-protocol]

[framed-routing]

*[nas-filter-rule]

*[qos-filter-rule]

*[tunneling]

*[redirect-host]

[redirect-host-usage]

[redirect-max-cache-time]

*[proxy-info]

*[avp]

应理解，执行图12-17中示出的步骤的实体可以是逻辑实体，其可以以软件(即，计算机可执行指令)的形式实现，该软件存储在被配置用于无线和/或网络通信的设备或诸如图21c或图21d中所示的那些计算机系统的存储器中并且在其处理器上执行。也就是说，图12-17中示出的方法是以以存储在诸如图21c或图21d中示出的设备或计算机系统的设备的存储器中的软件(即，计算机可执行指令)的形式来实现，所述计算机可执行指令在被设备的处理器执行时执行图12-17中示出的步骤。还应理解，图12-17中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图12-17中示出的任何发送和接收步骤可以由在设备的处理器的控制之下设备的通信电路以及其执行的计算机可执行指令(例如，软件)执行。还应理解，图12-17中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

图18描绘呈现在3gppts23.402中的3gpp与不可信wlan之间的互通架构。如所示，增强型分组数据网关(epdg)1804被引入作为ue214与pdn-gw208之间的中间实体。一方面，epdg1804通过swu参考点上的ipsec隧道来与ue214通信。另一方面，epdg1804使用gtp-u隧道协议在s2b接口上与pdn-gw208通信。

3gppts33.402中描述的在不可信wlan情况下的ue214与hss210之间的标准相互认证程序由以下协议组成：

1.在swu参考点上在ue214和epdg1804之间的因特网密钥交换版本2(ikev2)(rfc5996)协议上的eap。相反，我们记得在ue214和可信wlan218(twap)224之间仅使用eap协议。在不可信wlan1802情况下，ue214最初在ikev2上发送eap消息到epdg1804，且使用标准ikev2协议在epdg1804和ue214之间建立标准ipsec隧道。

2.在swm参考点上的epdg1804与3gppaaa服务器212之间的diameter协议。更准确地说，epdg从由ue214发送的ikev2消息提取eap消息，并将所述消息转发到3gppaaa服务器212。

3.在swx上的3gppaaa服务器212与hss210之间的diameter协议。此类步骤与先前论述的可信wlan情况下的情况非常相似。

不可信的和可信的wlan情况之间的主要认证相关区别在于使用ikev2协议(ue-epdg)来携带不可信情况的eap消息。同样重要的是，我们注意到上面的步骤2(用于不可信的wlan情况的epdg-3gppaaa服务器212)与用于可信wlan情况的sta上从(twap-3gppaaa服务器212)通信之间的角色的相似性，这在图9和图10中有详细地说明。具体地，在两个参考点(swm、sta)上传送相同的eap消息。

因此，可以通过在epdg1804与mme202之间添加新的参考点(即图18中的stm)来增强用于不可信wlan情况的互通架构。新的参考点stm将在epdg1804与mme202之间eap消息，类似于stb参考点(在twap224与mme202之间携带eap消息)。

应理解，图18所示的功能性可以以存储在无线装置或其他设备(例如，服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即，计算机可执行指令)的形式来实现，诸如下文描述的图21c或21d中所示的那些中的一者。还应理解，图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

图19示出在可信和不可信的wlan情形中的ue214与hss210之间的路径。如所示，stb参考点和stm参考点彼此类似。因此，将统一认证和快速重新认证程序扩展到如下的不可信wlan情形将是直接的。

1.通过ue214与epdg1804之间的标准ikev2协议来携带先前在图13和图14中的ue214与twap224之间定义的修改的eap消息。标准ikev2协议的使用将不会改变，且将与在3gppts33.402中使用的相同。

2.在stb参考点(twap-mme)上引入的“diameter-eap-request”和“diameter-eap-answer”消息将在stm参考点(epdg-mme)上正确使用。所述消息将携带从epdg或hss提取的相同eap消息。

应理解，图19所示的功能性可以以存储在无线装置或其他设备(例如，服务器、网关、装置或其他计算机系统)的存储器中并在其处理器上执行的软件(即，计算机可执行指令)的形式来实现，诸如下文描述的图21c或21d中所示的那些中的一者。还应理解，图19中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。还应理解，图18中示出的功能性可以实现为虚拟化网络功能的集合。所述网络功能可以不必直接通信，而是，其可以经由转发或路由功能来通信。

用户界面

诸如图形用户界面(gui)的界面可以用以协助用户控制和/或配置与统一认证相关的功能性。图形用户界面(gui)可以允许ue214决定利用哪一接入网络(lte或wi-fi)(在初始附着和移交期间)、以及是否使用统一认证程序。

图20描绘图形用户界面(gui)2000，其首先使具有多rat(lte/wi-fi)ue204的用户能够选择连接到lte(底部2002)或wi-fi(底部2004)(在初始附着或移交时)。如果一个接入网络不可用，那么其按钮可以被禁用。已经添加了“统一认证”标记(图12中的步骤2和图13中的步骤3)，使得ue可以向henb220或twan218指示其希望执行统一认证程序。此类ue214的决策可以使用图20中所示的gui2000来确定。因此，例如，一旦ue214在初始附着时选择“lte”按钮2002和“统一认证”按钮2006，将执行henb发起的统一认证/附着程序。类似地，一旦ue214在初始附着时选择gui2000的“wi-fi”按钮2004和“统一认证”按钮2006，将实现twan发起的统一认证/附着程序。或者，可以选择正常认证按钮2008。

应理解，可以使用诸如下文描述的图21c-d中所示的那些显示器来生成界面2000。

示例m2m/iot/wot通信系统

本文所述的各种技术可以结合硬件、固件、软件或在适当时其组合来实现。此类硬件、固件和软件可以驻留于位于通信网络的多个节点处的设备中。所述设备可以单独操作或彼此组合操作以实现本文描述的方法。如本文所使用，术语“设备”、“网络设备”、“节点”、“装置”和“网络节点”可以互换地使用。

术语“服务层”是指网络服务架构内的功能层。服务层通常位于诸如http、coap或mqtt的应用协议层之上，并为客户端应用提供增值服务。服务层还提供到下部资源层诸如控制层和传输/接入层的核心网络的界面。服务层支持多个类别的(服务)能力或功能性，包含服务定义、服务运行时启用、策略管理、接入控制、和服务聚类。最近，若干产业标准机构例如onem2m一直在开发m2m服务层以解决与将m2m类型的装置和应用集成到诸如因特网/web、蜂窝、企业和家庭网络的部署中相关联的挑战。m2m服务层可以向应用和/或各种装置提供对由服务层支持的上述能力或功能性的集合或一组的访问，其可以被称为cse或scl。几个示例包含但不限于：安全性、计费、数据管理、装置管理、发现、供应和连接性管理，这些可以被各种应用共同使用。这些能力或功能性经由利用由m2m服务层定义的消息格式、资源结构和资源表示的api来可用于此类各种应用。cse或scl是可以由硬件和/或软件实现并且提供暴露于各种应用和/或装置(即，在此类功能实体之间的功能接口)的(服务)能力或功能性的功能实体，以便它们使用此类能力或功能性。

图21a是其中可以实现一个或多个公开的实施例的示例机器对机器(m2m)、物联网(iot)或万物网(wot)通信系统10的图。通常，m2m技术为iot/wot提供构建块，且任何m2m装置、m2m网关、m2m服务器或m2m服务平台都可以是iot/wot的部件或节点以及iot/wot服务层等。通信系统10可以用于实现所公开的实施例的功能性，并且可以包含诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804等的功能性和逻辑实体，以及用以产生图20所示的用户界面2000的逻辑实体。

如图21a中示出，m2m/iot/wot通信系统10包含通信网络12。通信网络12可以是固定网络(例如，以太网、光纤、isdn、plc等)或无线网络(例如，wlan、蜂窝式等)或异构网络的网络。例如，通信网络12可以包括向多个用户提供诸如语音、数据、视频、消息、广播等的内容的多个接入网络。例如，通信网络12可以采用一个或多个信道接入方法，诸如码分多址(cdma)、时分多址(tdma)、频分多址(fdma)、正交fdma(ofdma)、单载波fdma(sc-fdma)等。此外，通信网络12可以包括其他网络，诸如核心网络、因特网、传感器网络、工业控制网络、个人局域网、熔合个人网络、卫星网络、家庭网络或企业网络。

如图21a中示出，m2m/iot/wot通信系统10可以包含基础结构域和场域。基础结构域是指端对端m2m部署的网络侧，且场域是指位于m2m网关之后的区域网络。场域和基础结构域两者可以包括多种不同的网络节点(例如，服务器、网关、装置等)。例如，场域可以包含m2m网关14和终端装置18。将了解，可以根据需要将任何数量的m2m网关装置14和m2m终端装置18包含在m2m/iot/wot通信系统10中。m2m网关装置14和m2m终端装置18中的每一者被配置成经由通信网络12或直接无线电链路使用通信电路来发送和接收信号。m2m网关14允许无线m2m装置(例如，蜂窝式和非蜂窝式)以及固定网络m2m装置(例如，plc)通过诸如通信网络12或直接无线电链路的运营商网络来通信。例如，m2m终端装置18可以经由通信网络12或直接无线电链路来收集数据，且发送所述数据到m2m应用20或其他m2m装置18。m2m终端装置18还可以接收来自m2m应用20或m2m终端装置18的数据。此外，数据和信号可以经由m2m服务层22而被发送到m2m应用20且从m2m应用20接收，如下文描述。m2m终端装置18和网关14可以经由各种网络来通信，所述网络例如包含蜂窝式、wlan、wpan(例如，zigbee、6lowpan、蓝牙)、直接无线电链路和有线。

示例性m2m终端装置18包含但不限于平板型计算机、智能电话、医疗装置、温度和天气监视器、联网汽车、智能仪表、游戏控制台、个人数字助理、健康和健身监视器、灯、恒温器、电器、车库门和其他基于致动器的装置、安全装置和智能插座。

参看图21b，场域中的示出的m2m服务层22为m2m应用20、m2m网关装置14和m2m终端装置18以及通信网络12提供服务。通信网络12可以用于实现所公开的实施例的功能性，并且可以包含诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804等的功能性和逻辑实体，以及用以产生图20所示的用户界面2000的逻辑实体。

m2m服务层22可以由一个或多个服务器、计算机、装置、虚拟机(例如云/存储农场等)等来实现，包含例如下文描述的图21c和21d中示出的装置。将理解，m2m服务层22可以根据需要来与任何数量的m2m应用、m2m网关14、m2m终端装置18和通信网络12通信。m2m服务层22可以由网络的一个或多个节点来实现，节点可以包括服务器、计算机、装置等。m2m服务层22提供应用于m2m终端装置18、m2m网关14和m2m应用20的服务能力。m2m服务层22的功能可以按多种方式来实现，例如作为网络服务器、在蜂窝式核心网络中、在云中等。

类似于所示出的m2m服务层22，在基础结构域中存在m2m服务层22’。m2m服务层22'为基础结构域中的m2m应用20'和底层通信网络12提供服务。m2m服务层22'还为场域中的m2m网关14和m2m终端装置18提供服务。将理解，m2m服务层22’可以与任何数量的m2m应用、m2m网关和m2m装置通信。m2m服务层22’可以通过不同服务提供商来与服务层交互。m2m服务层22’通过网络的一个或多个节点，节点可以包括服务器、计算机、装置、虚拟机(例如，云计算/存储农场等)等。

还参看图21b，m2m服务层22和22'提供了多种应用和垂直可以利用的核心服务传送能力集合。这些服务能力使得m2m应用20和20'能够与装置交互并且执行诸如数据收集、数据分析、装置管理、安全性、计费、服务/装置发现等功能。实质上，这些服务能力免除了应用的实现这些功能性的负担，从而简化应用开发并降低成本以及上市时间。服务层22和22'还使得m2m应用20和20'能够通过网络12与服务层22和22'提供的服务相结合进行通信。

本申请的方法可以实现为服务层22和22’的部分。服务层22和22'是通过应用编程接口(api)和底层网络接口集合来支持增值服务能力的软件中间件层。etsim2m和onem2m两者使用可以含有本申请的连接方法的服务层。etsim2m的服务层被称作服务能力层(scl)。scl可以实现在m2m装置内(其被称作装置scl(dscl))、网关内(其被称作网关scl(gscl))和/或网络节点内(其被称作网络scl(nscl))。onem2m服务层支持公共服务功能(csf)(即，服务能力)集合。一个或多个特定类型的csf的集合的实例被称作可以托管在不同类型的网络节点(例如，基础结构节点、中间节点、应用特定节点)上的公共服务实体(cse)。此外，本申请的连接方法可以作为使用面向服务的架构(soa)和/或面向资源的架构(roa)来访问诸如本申请的连接方法的服务的m2m网络的一部分来实现。

在一些实施例中，m2m应用20和20’可以结合所公开的系统和方法来使用。m2m应用20和20’可以包含与ue或网关交互的应用，且还可以结合其他所公开的系统和方法来使用。

在一个实施例中，诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804以及产生图20所示的用户界面2000的逻辑实体可以托管在由m2m节点托管的m2m服务层实例内，诸如m2m服务器、m2m网关或m2m装置，如图21b所示。例如，诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804以及产生图20中所示的用户界面2000的逻辑实体可以包括在m2m服务层实例内的个别服务能力或作为现有的服务能力内的子功能。

m2m应用20和20'可以包含各种产业中的应用，诸如但不限于交通、健康和保健、联网家庭、能源管理、资产跟踪以及安全和监视。如上文提及，在装置、网关、服务器和系统的其他节点上运行的m2m服务层支持诸如以下的功能，例如数据收集、装置管理、安全性、计费、位置跟踪/地理围栏、装置/服务发现、和传统系统集成，并将这些功能提供为针对m2m应用20和20’的服务。

一般来说，服务层22和22'定义通过应用编程接口(api)和底层网络接口集合来支持增值服务能力的软件中间件层。etsim2m和onem2m架构两者定义服务层。etsim2m服务层被称作服务能力层(scl)。scl可以以etsim2m架构的多种不同节点来实现。例如，服务层的实例可以实现在m2m装置内(其被称作装置scl(dscl))、网关内(其被称作网关scl(gscl))和/或网络节点内(其被称作网络scl(nscl))。onem2m服务层支持公共服务功能(csf)(即，服务能力)集合。一个或多个特定类型的csf的集合的实例被称作可以托管在不同类型的网络节点(例如，基础结构节点、中间节点、应用特定节点)上的公共服务实体(cse)。第三代合作伙伴计划(3gpp)还定义了用于机器类型通信(mtc)的架构。在所述架构中，服务层及其提供的服务能力被实现为服务能力服务器(scs)的部分。无论是在etsim2m架构的dscl、gscl或nscl中、在3gppmtc架构的服务能力服务器(scs)中、在onem2m架构的csf或cse中、还是在网络的某个其他节点中，服务层的实例可以被实现为在网络中的包含服务器、计算机和其他计算装置或节点的一个或多个独立节点上执行的逻辑实体(例如，软件、计算机可执行指令等)，或者作为一个或多个现有节点的一部分。作为示例，服务层或其部件的示例可以以在下文描述的图21c或图21d中示出的具有通用架构的网络节点(例如，服务器、计算机、网关、装置等)上运行的软件的形式来实现。

此外，诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804的逻辑实体以及用以产生图20中所示的用户界面2000的逻辑实体可以被实现为m2m网络的一部分，所述m2m网络使用面向服务的架构(soa)和/或面向资源的架构(roa)来访问本申请的服务。

图21c是m2m网络节点30的示例硬件/软件架构的框图，m2m网络节点30诸如m2m装置18、m2m网关14、m2m服务器等。节点30可以执行或包含诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804的逻辑实体，以及用以产生图20所示的用户界面2000的逻辑实体。

装置30可以是如图21a-b中所示的m2m网络的一部分或非m2m网络的一部分。如图21c中示出，m2m节点30可以包含处理器32、不可移除存储器44、可移除存储器46、扬声器/麦克风38、小键盘40、显示器、触摸板和/或指示器42、电源48、全球定位系统(gps)芯片集50和其他外设52。节点30还可以包含通信电路，诸如收发器34和发送/接收元件36。应了解，m2m节点30可以在保持与实施例一致的同时包含前述元件的任何子组合。此节点可以是实现本文描述的smsf功能性的节点。

处理器32可以是通用处理器、专用处理器、常规处理器、数字信号处理器(dsp)、多个微处理器、与dsp核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(asic)、现场可编程门阵列(fpga)电路、任何其他类型的集成电路(ic)、状态机等。大体来说，处理器32可以执行存储在节点的存储器(例如，存储器44和/或存储器46)中的计算机可执行指令，以便执行所述节点的多个所需功能。例如，处理器32可以执行使得m2m节点30能够在无线或有线环境中操作的信号译码、数据处理、功率控制、输入/输出处理和/或任何其他功能性。处理器32可以运行应用层程序(例如，浏览器)和/或无线电接入层(ran)程序和/或其他通信程序。处理器32还可以例如在接入层和/或应用层处执行诸如认证、安全密钥协定和/或加密操作的安全操作。

如图21c中示出，处理器32耦合到其通信电路(例如，收发器34和发送/接收元件36)。处理器32通过执行计算机可执行指令可以控制通信电路，以便使节点30经由其所连接的网络与其他节点进行通信。具体地，处理器32可以控制通信电路以便执行本文描述的且在权利要求中的发送和接收步骤。虽然图21c将处理器32和收发器34描绘为独立部件，但将了解，处理器32和收发器34可以一起集成在电子封装或芯片中。

发送/接收元件36可以被配置成发送信号到其他m2m节点或接收来自其他m2m节点的信号，所述节点包含m2m服务器、网关、装置等。例如，在实施例中，发送/接收元件36可以是被配置成发送和/或接收rf信号的天线。发送/接收元件36可以支持多个网络和空中接口，诸如wlan、wpan、蜂窝式等。在实施例中，发送/接收元件36可以是被配置成发送和/或接收例如ir、uv或可见光信号的发射器/检测器。在另一实施例中，发送/接收元件36可以被配置成发送和接收rf和光信号两者。将了解，发送/接收元件36可以被配置成发送和/或接收无线或有线信号的任何组合。

另外，虽然在图21c中将发送/接收元件36描绘为单个元件，但m2m节点30可以包含任何数量的发送/接收元件36。更具体来说，m2m节点30可以采用mimo技术。因此，在实施例中，m2m节点30可以包含用于发送和接收无线信号的两个或两个以上发送/接收元件36(例如，多个天线)。

收发器34可以被配置成调制将由发送/接收元件36发送的信号，以及解调将由发送/接收元件36接收的信号。如上所述，m2m节点30可以具有多模式能力。因此，收发器34可以包含多个收发器，用于使得m2m节点30能够经由诸如utra和ieee802.11的多个rat进行通信。

处理器32可以访问来自诸如不可移除存储器44和/或可移除存储器46的任何类型的合适存储器的信息并将数据存储在所述存储器中。例如，处理器32可以将会话上下文存储在其存储器中，如上所述。不可移除存储器44可以包含随机存取存储器(ram)、只读存储器(rom)、硬盘或任何其他类型的存储器存储装置。可移除存储器46可以包含订户身份模块(sim)卡、记忆棒、安全数字(sd)存储卡等。在其他实施例中，处理器32可以访问来自物理上不位于m2m节点30上、诸如在服务器或家用计算机上的存储器的信息并将数据存储在所述存储器中。处理器32可以被配置为控制显示器或指示器42上的照明模式、图像或颜色以反映m2m服务层会话迁移或共享的状态，或者获得来自用户的输入或者向用户显示关于节点的会话迁移或共享能力或设置的信息。在另一示例中，显示器可以示出关于会话状态的信息。本公开在onem2m实施例中定义了restful用户/应用api。可以在显示器上示出的图形用户界面可以被层叠在api顶部上，以允许用户经由本文描述的底层服务层会话功能来交互地建立和管理e2e会话或者其迁移或共享。

处理器32可以接收来自电源48的电力，且可以被配置成分配和/或控制所述电力到m2m节点30中的其他部件。电源48可以是用于为m2m节点30供电的任何合适的装置。例如，电源48可以包含一个或多个干电池(例如，镍镉(nicd)、镍锌(nizn)、镍金属氢化物(nimh)、锂离子(li离子)等)、太阳能电池、燃料电池等。

处理器32还可以耦合到gps芯片集50，其被配置成提供关于m2m节点30的当前位置的位置信息(例如，经度和纬度)。应了解，m2m节点30可以在保持与实施例一致的同时借助于任何合适的位置确定方法来获取位置信息。

处理器32可以进一步耦合到其他外设52，其可以包含提供附加特征、功能性和/或有线或无线连接性的一个或多个软件和/或硬件模块。例如，外设52可以包含各种传感器，诸如加速度计、生物测量(例如，指纹)传感器、电子罗盘、卫星收发器、数码摄像机(用于照片或视频)、通用串行总线(usb)端口或其他互连接口、振动装置、电视收发器、免提耳机、模块、调频(fm)无线电单元、数字音乐播放器、媒体播放器、视频游戏玩家模块、因特网浏览器等。

节点30可以体现在其他设备或装置中，诸如传感器、消费者电子产品、诸如智能手表或智能服装的可穿戴装置、医疗或电子健康装置、机器人、工业设备、无人机、诸如汽车、卡车、火车或飞机等交通工具。节点30可以经由一个或多个互连接口诸如可以包括外设52之一的互连接口连接到此类设备或装置的其他部件、模块或系统。或者，节点30可以包括设备或装置，诸如传感器、消费者电子产品、诸如智能手表或智能服装的可穿戴装置、医疗或电子健康装置、机器人、工业设备、无人机、诸如汽车、卡车、火车或飞机等交通工具。

图21d是还可以用以实现m2m网络的一个或多个节点诸如m2m服务器、网关、装置或其他节点的示例性计算系统90的框图。计算系统90可以包括计算机或服务器，并且可以主要由计算机可读指令来控制，计算机可读指令可以以软件的形式，无论何处或以何种方式存储或访问此类软件。系统90可以执行或包含诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804的逻辑实体，以及用以产生图20所示的用户界面2000的逻辑实体。

计算系统90可以是m2m装置、用户设备、网关、ue/gw或任何其他节点，例如包括移动护理网络的节点、服务层网络应用提供商、终端装置18或m2m网关装置14。此类计算机可读指令可以在诸如中央处理单元(cpu)91的处理器内执行，以使计算系统90进行工作。在许多已知的工作站、服务器和个人计算机中，中央处理单元91由称为微处理器的单片cpu实现。在其他机器中，中央处理单元91可以包括多个处理器。协处理器81是与主cpu91不同的可选处理器，其执行附加功能或辅助cpu91。cpu91和/或协处理器81可以接收、生成和处理与所公开的用于e2em2m服务层会话的系统和方法有关的数据，诸如接收会话凭证或基于会话凭证进行认证。

在操作中，cpu91经由计算机的主数据传送路径即系统总线80来从其他资源提取、解码和执行指令，并从其他资源传送信息且将信息传送到其他资源。此类系统总线连接计算系统90中的部件，并界定用于数据交换的介质。系统总线80通常包含用于发送数据的数据线路、用于发送地址的地址线路，和用于发送中断以及用于操作系统总线的控制线。此类系统总线80的示例是pci(外围部件互连)总线。

耦合到系统总线80的存储器包含随机存取存储器(ram)82和只读存储器(rom)93。此类存储器包含允许信息被存储和检索的电路。rom93通常含有不能被容易地修改的所存储数据。存储在ram82中的数据可以由cpu91或其他硬件装置来读取或改变。对ram82和/或rom93的访问可以由存储器控制器92控制。存储器控制器92可以提供地址转换功能，其在执行指令时将虚拟地址转换成物理地址。存储器控制器92还可以提供存储器保护功能，其隔离系统内的进程并将系统进程与用户进程隔离。因此，以第一模式运行的程序只能访问由其自己的进程虚拟地址空间映射的存储器；除非进程之间的存储器共享已经被设置，否则它不能访问另一进程的虚拟地址空间中的存储器。

另外，计算系统90可以含有负责将指令从cpu91传达到诸如打印机94、键盘84、鼠标95和磁盘驱动器85的外设的外设控制器83。

由显示控制器96控制的显示器86用于显示由计算系统90生成的视觉输出。此类视觉输出可以包含文本、图形、动画图形和视频。显示器86可以用基于crt的视频显示器、基于lcd的平板显示器、基于气体等离子体的平板显示器或触摸面板来实现。显示控制器96包含生成被发送到显示器86的视频信号所需的电子部件。

此外，计算系统90可以含有可用于将计算系统90连接到外部通信网络(诸如图21a和图21b的网络12)的通信电路，诸如例如网络适配器97，以使计算系统90能够与网络的其他节点通信。

用户设备(ue)可以是终端用户用以进行通信的任何装置。其可以是手持式电话、装备有移动宽带适配器的膝上型计算机或任何其他装置。例如，ue可以被实现为图21a-b的m2m终端装置18或图21c的装置30。

应理解，本文描述的任何或全部系统、方法和过程可以以存储在计算机可读存储介质上的计算机可执行指令(即，程序代码)的形式来体现，所述指令在由包含例如m2m服务器、网关、装置等的诸如m2m网络的节点的机器执行时实行和/或实现本文描述的系统、方法和过程。具体来说，包含网关、ue、ue/gw、或移动核心网络的任一节点、服务层或网络应用提供商的操作的上述任何步骤、操作或功能可以以此类计算机可执行指令的形式来实现。诸如mme202、wlanan204、s-gw206、p-gw208、hss210、3gppaaa服务器212、ue214、epc216、twan218、henb220、twap224、iswn230、twag232、s-gwip-gw1002、宏enb1702、不可信wlan1802和epdg1804的逻辑实体以及产生图20中所示的用户界面2000的逻辑实体可以以存储在计算机可读存储介质上的计算机可执行指令的形式来体现。计算机可读存储介质包含用于存储信息的以任何非暂时性(即，有形或物理)方法或技术实现的易失性和非易失性、可移除和不可移除介质，但此类计算机可读存储介质不包含信号。计算机可读存储介质包含但不限于，ram、rom、eeprom、快闪存储器或其他存储器技术、cd-rom、数字通用光盘(dvd)或其他光盘存储器、磁盒、磁带、磁盘存储器或其他磁性存储装置、或可用于存储所需信息并且可由计算机访问的任何其他有形或物理介质。

在描述本公开的主题的优选实施例时，如附图所示，为了清楚起见采用了特定的术语。然而，所要求保护的主题不旨在被限制于如此选择的特定术语，并且应该理解，每一特定元件包含以类似方式操作以实现类似目的的所有技术等同物。

本书面描述使用示例来公开本发明，包含最佳模式，并且还使得本领域技术人员能够实践本发明，包含制造和使用任何装置或系统以及执行任何并入的方法。本发明的可取得专利的范围由权利要求限定，并且可以包含本领域技术人员想到的其他示例。如果此类其他示例具有与权利要求的字面语言没有不同的元素，或者如果它们包含与权利要求的字面语言无实质区别的等同元素，那么此类其他示例意图在权利要求的范围内。