無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)、設(shè)備的制作方法
【專(zhuān)利摘要】本發(fā)明實(shí)施例提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)��、設(shè)備。其方法包括:UE獲取第一密鑰��;該第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的����;UE根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰����;UE根據(jù)推演密鑰與獲取到推演密鑰的WLAN節(jié)點(diǎn)之間建立安全連接,WLAN節(jié)點(diǎn)獲取到的推演密鑰與UE獲取的推演密鑰相同��。采用本發(fā)明實(shí)施例的技術(shù)方案��,能夠在UE和WLAN之間建立安全連接��,提高UE與WLAN之間通信的安全性���。
【專(zhuān)利說(shuō)明】無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)����、設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及通信【技術(shù)領(lǐng)域】�,尤其涉及一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)、設(shè)備����。
【背景技術(shù)】
[0002]隨著支持上網(wǎng)功能的智能終端之類(lèi)的用戶(hù)設(shè)備(User Equipment ;UE)的廣泛普及���,人們開(kāi)始使用UE進(jìn)行大量的數(shù)據(jù)業(yè)務(wù)。近幾年來(lái)�����,運(yùn)營(yíng)商網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)流量增長(zhǎng)很快�����。為了適應(yīng)這種趨勢(shì)����,運(yùn)營(yíng)商和設(shè)備廠商開(kāi)始積極考慮各種各樣的減輕運(yùn)營(yíng)商網(wǎng)絡(luò)負(fù)擔(dān)的方法。無(wú)線局域網(wǎng)絡(luò)(Wireless Local Area Network ;WLAN)是一種無(wú)線接入技術(shù)��,WLAN技術(shù)能夠提供較高的傳輸速率���,被認(rèn)為是運(yùn)營(yíng)商部署的廣域無(wú)域網(wǎng)的有益補(bǔ)充�。在機(jī)場(chǎng)�����、廠商等熱點(diǎn)地區(qū),WLAN技術(shù)能夠使得用戶(hù)通過(guò)WLAN進(jìn)行數(shù)據(jù)業(yè)務(wù)���,從而減輕運(yùn)營(yíng)商核心網(wǎng)絡(luò)的負(fù)擔(dān)��。
[0003]目前許多運(yùn)營(yíng)商已經(jīng)部署了WLAN網(wǎng)絡(luò)用在如機(jī)場(chǎng)����、車(chē)站����、酒店等熱點(diǎn)地區(qū)以分流(offload) UE的數(shù)據(jù)流量�。在這些已有的部署方案中,運(yùn)營(yíng)商一般將WLAN部署成open模式�����,任何UE均可接入WLAN節(jié)點(diǎn)����。當(dāng)UE要連入因特網(wǎng)(internet)時(shí),WLAN節(jié)點(diǎn)將UE重定向至一個(gè)特定的web網(wǎng)頁(yè)��,UE對(duì)應(yīng)的用戶(hù)在網(wǎng)頁(yè)上輸入正確的用戶(hù)名/密碼后���,UE便可以接入 internet ο
[0004]由于WLAN節(jié)點(diǎn)工作在open模式下�,UE和WLAN節(jié)點(diǎn)之間不建立安全連接,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)����、設(shè)備,用以彌補(bǔ)現(xiàn)有技術(shù)中UE與WLAN之間通信的安全性能較差的缺陷��,用于提高UE與WLAN之間的安全性倉(cāng)泛���。
[0006]一方面��,本發(fā)明實(shí)施例提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法�����,包括:
[0007]用戶(hù)設(shè)備獲取第一密鑰��;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����;
[0008]所述用戶(hù)設(shè)備根據(jù)所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰����;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的;
[0009]所述用戶(hù)設(shè)備根據(jù)所述推演密鑰與獲取到推演密鑰的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接����,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取到的推演密鑰與所述用戶(hù)設(shè)備獲取的所述推演密鑰相同。
[0010]另一方面��,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法�,包括:
[0011]無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���;
[0012]所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)向所述用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;
[0013]所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰��;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�����,所述第一密鑰為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的���;
[0014]所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接����,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取的所述推演密鑰相同���。
[0015]再一方面�,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法��,包括:
[0016]用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備接收無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息�;所述密鑰請(qǐng)求消息中攜帶有所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符;
[0017]所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���,獲取對(duì)應(yīng)的推演密鑰���;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到;所述第一密鑰為所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�;所述推演參數(shù)為所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備協(xié)商確定的;
[0018]所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述推演密鑰,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接����,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述推演密鑰相同。
[0019]又一方面���,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法��,包括:
[0020]用戶(hù)設(shè)備獲取第一密鑰�����;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的����;
[0021]所述用戶(hù)設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀�����;
[0022]所述用戶(hù)設(shè)備根據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證��;所述第二網(wǎng)元設(shè)備為所述移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備之外的其他網(wǎng)元設(shè)備��;所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�;或者所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰,并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�����;
[0023]所述用戶(hù)設(shè)備在認(rèn)證完成后與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�。
[0024]再另一方面,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法����,包括:
[0025]用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀;所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和第一密鑰推演生成的��;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����;
[0026]所述第一網(wǎng)元設(shè)備根據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與用戶(hù)設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證�����;
[0027]所述第一網(wǎng)元設(shè)備在所述擴(kuò)展認(rèn)證協(xié)議認(rèn)證成功后����,向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送認(rèn)證完成,以指示所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)與所述用戶(hù)設(shè)備之間建立安全連接����。
[0028]再另一方面���,本發(fā)明實(shí)施例還提供一種用戶(hù)設(shè)備,包括:
[0029]獲取模塊��,用于獲取第一密鑰���;所述第一密鑰為與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;
[0030]推演模塊,用于根據(jù)所述獲取模塊獲取的所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰���;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的�����;
[0031]建立模塊�����,用于根據(jù)所推演模塊推演得到的所述述推演密鑰與獲取到推演密鑰的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取到的推演密鑰與所述用戶(hù)設(shè)備獲取的所述推演密鑰相同�����。
[0032]再另一方面,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備�,其特征在于,包括:
[0033]接收模塊�,用于接收用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符;
[0034]發(fā)送模塊���,用于向所述用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶所述接收模塊接收的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;
[0035]所述接收模塊�����,還用于接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰����;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�����,所述第一密鑰為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的��;
[0036]建立模塊�����,用于基于所述接收模塊接收的所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接�����,所述用戶(hù)設(shè)備獲取到的推演密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取的所述推演密鑰相同��。
[0037]再另一方面�,本發(fā)明實(shí)施例還提供一種網(wǎng)元設(shè)備,位于用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中�����,所述網(wǎng)元設(shè)備包括:
[0038]接收模塊����,用于接收無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息;所述密鑰請(qǐng)求消息中攜帶有所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�;
[0039]獲取模塊,用于根據(jù)所述接收模塊接收的所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���,獲取對(duì)應(yīng)的推演密鑰��;所述推演密鑰為根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到����;所述第一密鑰為與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;所述推演參數(shù)為與所述用戶(hù)設(shè)備協(xié)商確定的�����;發(fā)送模塊�,用于向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述獲取模塊獲取到的所述推演密鑰�,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述推演密鑰相同�����。[0040]再另一方面��,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立系統(tǒng)���,包括:如上所述的用戶(hù)設(shè)備��、所述的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和所述的網(wǎng)元設(shè)備���。
[0041]再另一方面�����,本發(fā)明實(shí)施例還提供一種用戶(hù)設(shè)備����,包括:
[0042]獲取模塊����,用于獲取第一密鑰;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;
[0043]生成模塊�����,用于根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述獲取模塊的所述第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀����;
[0044]認(rèn)證模塊,用于根據(jù)所述生成模塊生成的所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證�,所述第二網(wǎng)元設(shè)備為所述移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備之外的其他網(wǎng)元設(shè)備;所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀����;或者所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰����,并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀;
[0045]建立模塊��,用于在所述認(rèn)證模塊進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證完成后與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�����。
[0046]再另一方面��,本發(fā)明實(shí)施例還提供一種網(wǎng)元設(shè)備����,位于用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中,所述網(wǎng)元設(shè)備包括:
[0047]獲取模塊�����,用于獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀����;所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和第一密鑰推演生成的���;所述第一密鑰為所述用戶(hù)設(shè)備所述網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的;
[0048]認(rèn)證模塊����,用于根據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與用戶(hù)設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證;
[0049]發(fā)送模塊���,用于在所述擴(kuò)展認(rèn)證協(xié)議認(rèn)證成功后����,向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送認(rèn)證完成����,以指示所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)與所述用戶(hù)設(shè)備之間建立安全連接。
[0050]再另一方面�,本發(fā)明實(shí)施例還提供一種無(wú)線局域網(wǎng)絡(luò)的安全建立系統(tǒng),包括:如上所述的用戶(hù)設(shè)備和所述的網(wǎng)元設(shè)備�。
[0051]本發(fā)明實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法及系統(tǒng)、設(shè)備��,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接,推演密鑰根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�����,第一密鑰為用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的����;或者UE根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證密碼;并由UE根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備進(jìn)行EAP認(rèn)證��,并在認(rèn)證完成后UE與WLAN節(jié)點(diǎn)之間建立安全連接�。采用本發(fā)明實(shí)施例的上述技術(shù)方案����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本發(fā)明實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性?��!緦?zhuān)利附圖】
【附圖說(shuō)明】
[0052]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹�,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
[0053]圖1為本發(fā)明提供的一種WLAN的安全建立方法的流程圖。
[0054]圖2為本發(fā)明另一實(shí)施例提供的WLAN的安全建立方法的流程圖�。
[0055]圖3為本發(fā)明再一實(shí)施例提供的WLAN的安全建立方法的流程圖。
[0056]圖4為本發(fā)明一實(shí)施例提供的WLAN的安全建立方法的信令圖����。
[0057]圖5為本發(fā)明另一實(shí)施例提供的WLAN的安全建立方法的信令圖。
[0058]圖6為本發(fā)明又一實(shí)施例提供的WLAN的安全建立方法的流程圖����。
[0059]圖7為本發(fā)明再另一實(shí)施例提供的WLAN的安全建立方法的流程圖�����。
[0060]圖8為本發(fā)明一實(shí)施例提供的UE的結(jié)構(gòu)示意圖��。
[0061]圖9為本發(fā)明另一實(shí)施例提供的UE的結(jié)構(gòu)示意圖��。
[0062]圖10為本發(fā)明實(shí)施例提供的WLAN節(jié)點(diǎn)設(shè)備的結(jié)構(gòu)示意圖�。
[0063]圖11為本發(fā)明一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖�����。
[0064]圖12為本發(fā)明另一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖�����。
[0065]圖13為本發(fā)明再一實(shí)施例提供的UE的結(jié)構(gòu)示意圖����。
[0066]圖14為本發(fā)明再一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖����。
[0067]圖15為本發(fā)明一實(shí)施例提供的WLAN的安全建立系統(tǒng)的結(jié)構(gòu)示意圖。
[0068]圖16為本發(fā)明另一實(shí)施例提供的WLAN的安全建立系統(tǒng)的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0069]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述���,顯然��,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例�?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍。
[0070]圖1為本發(fā)明提供的一種WLAN的安全建立方法的流程圖��。如圖1所示���,本實(shí)施例的WLAN的安全建立方法的執(zhí)行主體為UE����。本實(shí)施例的WLAN的安全建立方法���,具體可以包括如下步驟:
[0071]100���、UE獲取第一密鑰;
[0072]本實(shí)施例中的第一密鑰為UE與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的����。
[0073]101�、UE根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰;
[0074]其中該推演參數(shù)為UE和網(wǎng)元設(shè)備確定的���。
[0075]102��、UE根據(jù)推演密鑰與獲取到推演密鑰的WLAN節(jié)點(diǎn)之間建立安全連接����。
[0076]WLAN節(jié)點(diǎn)獲取到的推演密鑰與UE獲取的推演密鑰相同。亦即本實(shí)施例的技術(shù)方案在實(shí)施時(shí)需要WLAN節(jié)點(diǎn)亦能夠獲取到該推演密鑰���,例如WLAN節(jié)點(diǎn)可以向網(wǎng)元設(shè)備中請(qǐng)求獲取推演密鑰�,而網(wǎng)元設(shè)備是根據(jù)第一密鑰和推演參數(shù)推演得到推演密鑰�,這樣UE和WLAN節(jié)點(diǎn)均可以得知該推演密鑰,并基于該推演密鑰�����,UE與WLAN節(jié)點(diǎn)之間建立安全連接����。
[0077]本實(shí)施例中,UE與網(wǎng)元設(shè)備均可以獲知推演參數(shù)���,可以認(rèn)為推演參數(shù)是兩者協(xié)商確定的��。推演參數(shù)具體可以為一個(gè)或者多個(gè)��。例如推演參數(shù)可以為UE和網(wǎng)元設(shè)備事先約定好的�,或者在推演推演密鑰時(shí)在線協(xié)商的。例如可以由UE提供一些參數(shù)作為推演參數(shù)����,然后告知網(wǎng)元設(shè)備����?���;蛘哂删W(wǎng)元設(shè)備提供一些參數(shù)作為推演參數(shù)���,然后告知網(wǎng)元設(shè)備。或者可以由UE提供一些參數(shù)或者由網(wǎng)元設(shè)備提供一些參數(shù)����,然后UE和網(wǎng)元設(shè)備交換各自提供的參數(shù),此時(shí)對(duì)應(yīng)的推演參數(shù)由UE提供給參數(shù)和網(wǎng)元設(shè)備提供的參數(shù)共同組成。
[0078]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法,通過(guò)采用上述技術(shù)方案�,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接�����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下�����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�,采用本實(shí)施例的技術(shù)方案��,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接��,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0079]可選地,在上述圖1所示實(shí)施例的技術(shù)方案的基礎(chǔ)上����,還可以包括如下可選技術(shù)方案,構(gòu)成圖1所示實(shí)施例的可選實(shí)施例����。
[0080]在圖1所示實(shí)施例的可選實(shí)施例中�����,在步驟102之前,所述實(shí)施例還包括:UE向WLAN節(jié)點(diǎn)發(fā)送UE的身份標(biāo)識(shí)符�,以供WLAN節(jié)點(diǎn)根據(jù)UE的身份標(biāo)識(shí)符���,向網(wǎng)元設(shè)備請(qǐng)求獲取UE對(duì)應(yīng)的推演密鑰�����。
[0081]可選地,在圖1所示實(shí)施例的可選實(shí)施例中�����,步驟101����,具體可以包括:UE根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰,即此時(shí)的推演密鑰即為第二密鑰����。例如UE具體可以采用如下方式=Kw=KDF (K�����,推演參數(shù))推演得到第二密鑰�;其中Kw為第二密鑰�,K為第一密鑰��,推演參數(shù)為UE和網(wǎng)元設(shè)備協(xié)商確定好的�,KDF (��,)為一個(gè)密鑰推演功能(keyderivation function; KDF)函數(shù),K和推演參數(shù)作為該函數(shù)的輸入,Kw作為該函數(shù)的輸出���。
[0082]例如在本發(fā)明實(shí)施例中可以取第二密鑰Kw=HMAC_SHA256 (K, “WPA/WPA2Personal”)�����;哈希消息認(rèn)證碼(Hashed Message Authentication Code �����;HMAC)是一類(lèi)密碼算法����,HMAC-SHA256 (���,)表示一個(gè)密碼算法函數(shù)��,“WPA/WPA2 Personal”為約定好的用于推演第二密鑰Kw的推演參數(shù)��,用于標(biāo)識(shí)第二密鑰Kw被UE和WLAN網(wǎng)絡(luò)用于通過(guò)WPA/WPA2personal的方式建立WLAN安全連接�。通過(guò)WPA/WPA2 personal的方式建立WLAN安全連接是UE和WLAN節(jié)點(diǎn)基于預(yù)共享密鑰的方式,建立WLAN安全連接的方法�����,詳細(xì)可以參考相關(guān)現(xiàn)有技術(shù)�����,在此不再贅述�����。本實(shí)施例中UE和WLAN網(wǎng)絡(luò)之間的預(yù)共享密鑰�����,即為第二密鑰Kw�����。本實(shí)施例中K仍為第一密鑰����。
[0083]此時(shí)對(duì)應(yīng)的步驟102,具體可以為UE根據(jù)第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接�����。采用該技術(shù)方案����,該第二密鑰是UE根據(jù)第一密鑰和與UE協(xié)商確定的推演參數(shù)進(jìn)行推演得到,可以保證不同的UE具有不同的第二密鑰��,每一 UE可以基于其對(duì)應(yīng)的第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接����,從而能夠有效地保證UE和WLAN節(jié)點(diǎn)之間的安全連接。
[0084]可選地�����,在圖1所示實(shí)施例的可選實(shí)施例中���,步驟101��,具體可以包括:UE根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰����;UE再根據(jù)第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰,其中UE在開(kāi)始接入WLAN節(jié)點(diǎn)的時(shí)候����,可以獲取到WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符。而本實(shí)施例中��,在網(wǎng)元設(shè)備一側(cè)��,網(wǎng)元設(shè)備也可以獲取到該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符���,并根據(jù)第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符進(jìn)行推演得到第三密鑰�����。例如WLAN節(jié)點(diǎn)在向網(wǎng)元設(shè)備請(qǐng)求密鑰時(shí),可以向網(wǎng)元設(shè)備發(fā)送攜帶UE的身份標(biāo)識(shí)符和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息����。這樣網(wǎng)元設(shè)備便可以知道需要根據(jù)第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演第三密鑰,并將該第三密鑰發(fā)送給WLAN節(jié)點(diǎn)。這樣UE側(cè)和WLAN節(jié)點(diǎn)側(cè)均可以獲知該第三密鑰�����。例如當(dāng)WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符為WLAN節(jié)點(diǎn)的服務(wù)集標(biāo)識(shí)(Service Set Identifier ;SSID),該第三密鑰可以采用如下方式推演得到:第三密鑰=HMAC-SHA256(Kw, WLAN 節(jié)點(diǎn)的 SSID)�����。HMAC-SHA256 (,)表示一個(gè)密碼算法函數(shù)����,Kw 表示第二密鑰。此時(shí)對(duì)應(yīng)的步驟102�����,具體可以為UE根據(jù)第三密鑰與WLAN節(jié)點(diǎn)之間建立安全連接���。采用該技術(shù)方案��,可以保證同一 UE在從不同的WLAN節(jié)點(diǎn)接入WLAN時(shí)����,采用不同的第三密鑰�����,與上述每一 UE可以基于其對(duì)應(yīng)的第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接相比,能夠進(jìn)一步增強(qiáng)UE與WLAN節(jié)點(diǎn)之間建立的連接的安全性��。當(dāng)然���,在推演第三密鑰的過(guò)程中��,WLAN節(jié)點(diǎn)可以將身份標(biāo)識(shí)符發(fā)給網(wǎng)元設(shè)備�,但這不是網(wǎng)元設(shè)備唯一獲取WLAN節(jié)點(diǎn)身份標(biāo)識(shí)符的方法����。網(wǎng)元設(shè)備可以通過(guò)其他方法來(lái)獲取WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符,例如網(wǎng)元設(shè)備可以接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����,可以獲取該WLAN節(jié)點(diǎn)的IP地址����,再根據(jù)該WLAN節(jié)點(diǎn)的IP地址獲取該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符,實(shí)際應(yīng)用中還網(wǎng)元設(shè)備還可以采用其他方法獲取WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符���。此外,WLAN節(jié)點(diǎn)也可以是WLAN節(jié)點(diǎn)的MAC地址或者其他的能夠唯一標(biāo)識(shí)WLAN節(jié)點(diǎn)的身份信息。
[0085]可選地�����,在圖1所示實(shí)施例的可選實(shí)施例中����,UE的身份標(biāo)識(shí)符為UE的媒體訪問(wèn)控制(Media Access Control ;MAC)地址、UE的國(guó)際移動(dòng)用戶(hù)識(shí)別碼(InternationalMobile Subscriber Identification Number ;IMSI)���、UE 的臨時(shí)移動(dòng)用戶(hù)識(shí)別石馬(Temperate Mobile Subscription Identity ;TMSI )�����、UE 的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼(Packet Temperate Mobile Subscription Identity ;P_TMSI)�、UE 的全球唯一臨時(shí)身份(Globally Unique Temporary Identity ;GUTI)���、UE的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份(System Architecture Evolution Temporary Mobile Subscriber Identity;S-TMSI)>UE的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)(Radio Network Temporary Identifier ;RNTI)或者UE的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼(Mobile Station international Integrated ServicesDigital Network Number ;MSISDN)����。
[0086]進(jìn)一步可選地����,當(dāng)UE的身份標(biāo)識(shí)符為上述除MAC地址之外的其他的時(shí)候����,網(wǎng)元設(shè)備自身能夠獲取該UE的身份標(biāo)識(shí)符��,此時(shí)UE不需要向網(wǎng)元設(shè)備發(fā)送該UE的身份標(biāo)識(shí)符�。而當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的MAC地址(或者為網(wǎng)元設(shè)備無(wú)法從自身獲知的UE的其他身份標(biāo)識(shí)符)時(shí),上述方法中的“UE再根據(jù)第二密鑰和接收網(wǎng)元設(shè)備發(fā)送的WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰”之前�,還包括UE向網(wǎng)元設(shè)備發(fā)送UE的身份標(biāo)識(shí)符。具體地����,UE可以采用加密的方式向網(wǎng)元設(shè)備發(fā)送UE的身份標(biāo)識(shí)符。
[0087]可選地�����,在圖1所示實(shí)施例的可選實(shí)施例中��,移動(dòng)通信網(wǎng)絡(luò)可以為全球移動(dòng)通信(Global System For Mobile Communication ���;GSM)網(wǎng)絡(luò)���、通用移動(dòng)通訊系統(tǒng)(UniversalMobile Telecommunications System ;UMTS)、長(zhǎng)期演進(jìn)(Long Term Evolution ;LTE)系統(tǒng)����、碼分多址(Code Division Multiple Access ;CDMA)網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)(GeneralPacket Radio Service �����;GPRS)網(wǎng)絡(luò);網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的基站控制器(BaseStation Controller ;BSC)�����、UMTS 的無(wú)線網(wǎng)絡(luò)控制器(Radio Network Controller ;RNC)��、GPRS網(wǎng)絡(luò)的服務(wù)GPRS支持節(jié)點(diǎn)(Serving GPRS Support Node ;SGSN)�、LTE系統(tǒng)的移動(dòng)管理實(shí)體(Mobility Management Entity ;MME)或者基站(如 LTE 系統(tǒng)中的 eNB)�。
[0088]可選地,在圖1所示實(shí)施例的可選實(shí)施例中�����,對(duì)于上述實(shí)施例中的步驟100的第一密鑰���,例如當(dāng)移動(dòng)通信網(wǎng)絡(luò)為GSM網(wǎng)絡(luò)�����,對(duì)應(yīng)的網(wǎng)元設(shè)備為BSC�����,UE與BSC之間的共享密鑰為Kc����。第一密鑰K可以為Kc,或根據(jù)Kc����,使用密鑰推演功能推演得到的密鑰,如K=KDF(Kc��,“K for WLAN”)�����。
[0089]當(dāng)移動(dòng)通信網(wǎng)絡(luò)為GPRS網(wǎng)絡(luò)����,對(duì)應(yīng)的網(wǎng)元設(shè)備為核心網(wǎng)節(jié)點(diǎn)中的SGSN,UE與SGSN之間的共享密鑰為Kc����,第一密鑰K可以為Kc����,或根據(jù)Kc推演得到的密鑰��。
[0090]當(dāng)移動(dòng)通信網(wǎng)絡(luò)為UMTS�,對(duì)應(yīng)的網(wǎng)元設(shè)備為RNC,UE與SGSN之間進(jìn)行共享密鑰為CK/IK���。第一密鑰K可以為CK/IK中的任何一個(gè)密鑰,或根據(jù)CK���,或IK�����,或兩者推演得到一個(gè)密鑰���,例如可以取第一密鑰K=CKl IIK。
[0091]當(dāng)移動(dòng)通信網(wǎng)絡(luò)為L(zhǎng)TE����,對(duì)應(yīng)的網(wǎng)元設(shè)備為核心網(wǎng)節(jié)點(diǎn)中的MME,UE與MME之間的共享密鑰為Kasme����、Knas.1nt或者Knas.enc��。第一密鑰K可以為此三個(gè)密鑰中的任何一個(gè)密鑰����,或根據(jù)此三個(gè)密鑰中的一個(gè)或數(shù)個(gè)密鑰推演得到的密鑰��。例如可以取第一密鑰K=Knas.1nt XOR Knas.enc���。
[0092]當(dāng)移動(dòng)通信網(wǎng)絡(luò)為L(zhǎng)TE網(wǎng)絡(luò)時(shí)�����,對(duì)應(yīng)的網(wǎng)元設(shè)備還可以為eNB���,UE和eNB之間的共享密鑰 Kenb> Krrc.1nt、Krrc.enc�����、Kup.enc���、Kup.1nt,第一密鑰 K 可以是 Kenb> Krrc.1nt�����、Krrc.enc>Kup.enc>Kup.1nt等中的一個(gè)密鑰���,也可以是根據(jù)這些密鑰中的一個(gè)或多個(gè)推演得到的密鑰�。例如在本實(shí)施例中����,可以取第一密鑰K=Kenb。
[0093]當(dāng)移動(dòng)通信網(wǎng)絡(luò)為L(zhǎng)TE網(wǎng)絡(luò)時(shí)����,對(duì)應(yīng)的網(wǎng)元設(shè)備還可以為eNB時(shí)���,對(duì)應(yīng)上述實(shí)施例中的“UE向網(wǎng)元設(shè)備送UE的身份標(biāo)識(shí)符”具體可以采用如下兩種方法:
[0094]方法一:UE 在非接入層(Non-Access Stratum ;NAS)安全模式結(jié)束(Securitymode complete �;SMP)消息中將UE的身份標(biāo)識(shí)符發(fā)給MME���,MME將UE的身份標(biāo)識(shí)符通過(guò)SI消息轉(zhuǎn)發(fā)給eNB �����;
[0095]方法二:UE在RRC消息中將UE的身份標(biāo)識(shí)符發(fā)給eNB�。
[0096]可選地,在圖1所示實(shí)施例的可選實(shí)施例中���,其中101中UE向網(wǎng)元設(shè)備和WLAN節(jié)點(diǎn)發(fā)送UE的身份標(biāo)識(shí)符(如MAC地址);UE的身份標(biāo)識(shí)符(如MAC地址)可能會(huì)暴露用戶(hù)的隱私�,因此需要通過(guò)一些方式對(duì)UE的身份標(biāo)識(shí)符(如MAC地址)的傳輸進(jìn)行安全保護(hù)�����。UE的身份標(biāo)識(shí)符(如MAC地址)的傳輸可通過(guò)如下幾種方式進(jìn)行保護(hù):
[0097]第一種情況�、在加密的消息中傳輸U(kuò)E的身份標(biāo)識(shí)符(如MAC地址),例如一些無(wú)線資源控制協(xié)議(Radio Resource Control ;RRC)消息�,或者非接入層(Non-Access Stratum ;NAS)消息可以進(jìn)行加密保護(hù)���,因此可以在這些加密的RRC消息或者NAS消息中傳輸U(kuò)E的身份標(biāo)識(shí)符�����,從而可以保護(hù)UE的身份標(biāo)識(shí)符傳輸?shù)臋C(jī)密性����,防止攻擊者利用UE的身份標(biāo)識(shí)符對(duì)用戶(hù)的隱私造成危害�,如位置追蹤等�����。
[0098]其中可加密的RRC消息或者NAS消息可以包括如下消息:附著完成(AttachComplete)消息���、路由區(qū)域更新(Routing Area Update ;RAU)消息完成(Complete)、跟蹤區(qū)域更新(Tracking Area Update ���;)完成(Complete)消息�����、非接入層安全模式結(jié)束(Non-access Stratum Security Mode Complete;NAS SMC)消息或者 UE 的容量遷移(capability transfer)消息等等�����。
[0099]但是,在某些網(wǎng)絡(luò)中����,運(yùn)營(yíng)商可能沒(méi)有開(kāi)啟加密功能。因此所有的RRC/NAS信令都無(wú)法進(jìn)行保護(hù)��。在這種情況下��,UE和控制器/核心網(wǎng)節(jié)點(diǎn)可根據(jù)第一密鑰K推演得到第四密鑰Ka。利用第四密鑰Ka對(duì)UE的身份標(biāo)識(shí)符進(jìn)行異或操作��,從而保證了 UE的身份標(biāo)識(shí)符傳輸?shù)陌踩?����。第四密鑰Ka的推演可能也需要一些推演參數(shù)的參與�。這些推演參數(shù)可能需要在UE和網(wǎng)絡(luò)側(cè)進(jìn)行交互。本實(shí)施例中�����,推演第四密鑰Ka的一個(gè)例子是Ka=HMAC-SHA256 (K, “MAC anonymity”)��。MAC anonymity 為一個(gè)字符串�,用于表不本實(shí)施例中密鑰推演的目的是用于實(shí)現(xiàn)MAC地址隱藏功能。
[0100]上述實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法�,通過(guò)采用上述技術(shù)方案,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�,采用本實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性。
[0101]圖2為本發(fā)明另一實(shí)施例提供的WLAN的安全建立方法的流程圖���。如圖2所示���,本實(shí)施例的WALN的安全建立方法的執(zhí)行主體為WLAN節(jié)點(diǎn)。本實(shí)施例的WALN的安全建立方法���,具體可以包括如下步驟:
[0102]200�����、WLAN節(jié)點(diǎn)接收UE發(fā)送的UE的身份標(biāo)識(shí)符���;
[0103]201�、WLAN節(jié)點(diǎn)向UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息;
[0104]202���、WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰��;
[0105]本實(shí)施例中該推演密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到���,第一密鑰為UE與網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE與網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;推演參數(shù)為UE與網(wǎng)元設(shè)備協(xié)商確定的。
[0106]203�、WLAN節(jié)點(diǎn)基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接。
[0107]其中UE獲取到的推演密鑰與WLAN節(jié)點(diǎn)獲取的推演密鑰相同��,亦即本實(shí)施例的技術(shù)方案在實(shí)現(xiàn)時(shí)����,UE亦能夠獲取到該推演密鑰,例如UE可以根據(jù)第一密鑰和推演參數(shù)推演得到推演密鑰�����,詳細(xì)可以參考上述圖1所示實(shí)施例的記載��。這樣���,采用本實(shí)施例的技術(shù)方案����,UE和WLAN節(jié)點(diǎn)均可以獲取到推演密鑰,便能夠基于該推演密鑰建立安全連接����,保證UE與WLAN節(jié)點(diǎn)之間通信的安全性。
[0108]本實(shí)施例與上述圖1所示實(shí)施例的區(qū)別僅在于:上述圖1所示實(shí)施例在UE側(cè)描述本發(fā)明的技術(shù)方案�,而本實(shí)施例在WLAN節(jié)點(diǎn)側(cè)描述本發(fā)明的技術(shù)方案,其余實(shí)施過(guò)程完全相同���,詳細(xì)可以參考上述圖1所示實(shí)施例的記載�,在此不再贅述��。
[0109]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法���,通過(guò)采用上述技術(shù)方案��,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下���,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸���,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�����,采用本實(shí)施例的技術(shù)方案����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0110]可選地,在上述圖2所示實(shí)施例的技術(shù)方案的基礎(chǔ)上�����,還可以包括如下可選技術(shù)方案�����,構(gòu)成圖2所示實(shí)施例的可選實(shí)施例。[0111]在圖2所示實(shí)施例的可選實(shí)施例中��,上述實(shí)施例的步驟202中“WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰”���,具體可以包括:WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的第二密鑰����,第二密鑰為網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符以及網(wǎng)元設(shè)備中存儲(chǔ)的UE的身份標(biāo)識(shí)符與第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的���;第二密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�����;在該技術(shù)方案中���,推演密鑰為第二密鑰。此時(shí)對(duì)應(yīng)的步驟203“WLAN節(jié)點(diǎn)基于推演密鑰與UE之間建立安全連接”��,具體可以包括:WLAN節(jié)點(diǎn)基于第二密鑰與UE之間建立安全連接�。采用該技術(shù)方案,第二密鑰采用第一密鑰和與UE協(xié)商確定的推演參數(shù)進(jìn)行推演得到��,可以保證不同的UE具有不同的第二密鑰��,每一 UE可以基于其對(duì)應(yīng)的第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接����,從而能夠有效地保證UE和WLAN節(jié)點(diǎn)之間的安全連接��。
[0112]采用上述方案����,不同的UE具有不同的第二密鑰,能夠增強(qiáng)UE和WLAN節(jié)點(diǎn)之間的安全連接�����;但是當(dāng)同一 UE采用不同的WLAN節(jié)點(diǎn)接入WLAN的時(shí)候,還是采用相同的第二密鑰與WLAN節(jié)點(diǎn)建立安全連接��,因此還是給UE接入WLAN帶來(lái)一定的安全隱患,為了解決該問(wèn)題��,可選地��,在圖2所示實(shí)施例的可選實(shí)施例中�,還可以包括下述方案:
[0113]上述實(shí)施例中的步驟202 “WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰”�,具體可以包括:WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的第三密鑰,該第三密鑰為網(wǎng)元設(shè)備根據(jù)第二密鑰與WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到的���;第二密鑰為網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符以及網(wǎng)元設(shè)備中存儲(chǔ)的UE的身份標(biāo)識(shí)符與第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的���;第二密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和與UE協(xié)商確定的推演參數(shù)進(jìn)行推演得到�。其中網(wǎng)元設(shè)備可以接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息之后,獲取該WLAN節(jié)點(diǎn)的IP地址����,再根據(jù)該WLAN節(jié)點(diǎn)的IP地址獲取該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符,實(shí)際應(yīng)用中網(wǎng)元設(shè)備還可以采用其他方法獲取WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符���。此外�����,WLAN節(jié)點(diǎn)可以是WLAN節(jié)點(diǎn)SSID��、或者WLAN節(jié)點(diǎn)的MAC地址或者其他的能夠唯一標(biāo)識(shí)WLAN節(jié)點(diǎn)的身份信息����。
[0114]對(duì)應(yīng)地上述實(shí)施例中的步驟203 “WLAN節(jié)點(diǎn)基于推演密鑰與UE之間建立安全連接”,具體可以包括=WLAN節(jié)點(diǎn)基于第三密鑰與UE之間建立安全連接���。在該方案中推演密鑰為第三密鑰����,采用該技術(shù)方案�,可以保證同一 UE在從不同的WLAN節(jié)點(diǎn)接入WLAN時(shí)�����,采用不同的第三密鑰��,與上述每一 UE可以基于其對(duì)應(yīng)的第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接相比�,能夠進(jìn)一步增強(qiáng)UE與WLAN節(jié)點(diǎn)之間建立的連接的安全性。
[0115]進(jìn)一步可選地�,對(duì)于推演密鑰為第三密鑰時(shí),上述實(shí)施例中的步驟201“WLAN節(jié)點(diǎn)向UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息”�����,具體可以包括:WLAN節(jié)點(diǎn)向網(wǎng)元設(shè)備發(fā)送攜帶UE的身份標(biāo)識(shí)符和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息����。此時(shí)網(wǎng)元設(shè)備可以直接獲取該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符����,而不用再去間接獲取該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符��。
[0116]在圖2所示實(shí)施例的可選實(shí)施例中����,上述實(shí)施例中的移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)、UMTS���、LTE系統(tǒng)�、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)�����;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC����、UMTS的RNC、GPRS網(wǎng)絡(luò)的SGSN�、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB。
[0117]可選地����,在圖1所示實(shí)施例的可選實(shí)施例中���,UE的身份標(biāo)識(shí)符為UE的MAC地址、UE的 MS1���、UE 的 TMS1�、UE 的 P_TMS1���、UE 的 GUT1�����、UE 的 S_TMS1、UE 的 RNTI 或者 UE 的 MSISDN�����。
[0118]需要說(shuō)明的是,上述圖1所示實(shí)施例的可選實(shí)施例中的能夠應(yīng)用在WLAN節(jié)點(diǎn)側(cè)的可選技術(shù)方案����,均可以用于在圖2所示實(shí)施例的可選實(shí)施例中,詳細(xì)可以參考上述圖1所示實(shí)施例的可選實(shí)施例�,在此不再贅述��。
[0119]上述實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法���,通過(guò)采用上述技術(shù)方案,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接�,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接���,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�。
[0120]圖3為本發(fā)明再一實(shí)施例提供的WLAN的安全建立方法的流程圖��。如圖3所示���,本實(shí)施例的WLAN的安全建立方法的執(zhí)行主體為移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備�。本實(shí)施例的WLAN的安全建立方法,具體可以包括如下步驟:
[0121]300����、UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備接收WLAN節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息;該密鑰請(qǐng)求消息中攜帶有UE的身份標(biāo)識(shí)符�;
[0122]301、網(wǎng)元設(shè)備根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符����,獲取對(duì)應(yīng)的推演密鑰;
[0123]本實(shí)施例中該推演密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到��;其中第一密鑰為網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����。推演參數(shù)為網(wǎng)元設(shè)備與U協(xié)商確定的�����。
[0124]302���、網(wǎng)元設(shè)備向WLAN節(jié)點(diǎn)發(fā)送推演密鑰����,以供WLAN節(jié)點(diǎn)基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接���。
[0125]其中UE獲取到的推演密鑰與WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的推演密鑰相同�。本實(shí)施例與上述圖1或者圖2所示實(shí)施例的區(qū)別僅在于:上述圖1所示實(shí)施例在UE側(cè)描述本發(fā)明的技術(shù)方案�����,圖2所示實(shí)施例在WLAN節(jié)點(diǎn)側(cè)描述本發(fā)明的技術(shù)方案���,而本實(shí)施例在移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備側(cè)描述本發(fā)明的技術(shù)方案���,其余實(shí)施過(guò)程完全相同,詳細(xì)可以參考上述圖1或者圖2所示實(shí)施例的記載���,在此不再贅述����。
[0126]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法���,通過(guò)采用上述技術(shù)方案�,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�����,采用本實(shí)施例的技術(shù)方案���,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性���。
[0127]可選地���,在上述圖3所示實(shí)施例的技術(shù)方案的基礎(chǔ)上,還可以包括如下可選技術(shù)方案��,構(gòu)成圖3所示實(shí)施例的可選實(shí)施例���。
[0128]在圖3所示實(shí)施例的可選實(shí)施例中���,在步驟301之前還包括如下步驟:303、網(wǎng)元設(shè)
備獲取第一密鑰�����。
[0129]可選地�����,在圖3所示實(shí)施例的可選實(shí)施例中���,步驟303“網(wǎng)元設(shè)備獲取第一密鑰”之后�����,步驟301 “網(wǎng)元設(shè)備根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符�,獲取對(duì)應(yīng)的推演密鑰”之前����,還可以包括如下步驟:
[0130](I)網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰;
[0131](2)建立第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系���。
[0132]此時(shí)對(duì)應(yīng)的步驟301 “網(wǎng)元設(shè)備根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符��,獲取對(duì)應(yīng)的推演密鑰”���,具體可以包括:網(wǎng)元設(shè)備根據(jù)第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系�、以及密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符���,獲取第二密鑰����。即本實(shí)施例中的推演密鑰為
第二密鑰���。
[0133]此時(shí)對(duì)應(yīng)的步驟302“網(wǎng)元設(shè)備向WLAN節(jié)點(diǎn)發(fā)送推演密鑰���,以供WLAN節(jié)點(diǎn)基于推演密鑰與UE之間建立安全連接”,具體可以包括:網(wǎng)元設(shè)備向WLAN節(jié)點(diǎn)發(fā)送第二密鑰�����,以供WLAN節(jié)點(diǎn)基于第二密鑰與UE之間建立安全連接�。
[0134]或者進(jìn)一步可選地,當(dāng)在步驟303 “網(wǎng)元設(shè)備獲取第一密鑰”之后��,步驟301 “網(wǎng)元設(shè)備根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符,獲取對(duì)應(yīng)的推演密鑰”之前����,還包括上述步驟(I)和(2)的時(shí)候��,此時(shí)對(duì)應(yīng)的步驟300 “網(wǎng)元設(shè)備接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息”還可以具體包括:網(wǎng)元設(shè)備接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息����。或者可選地�����,網(wǎng)元設(shè)備接收WLAN節(jié)點(diǎn)發(fā)送的攜帶密鑰請(qǐng)求消息中也可以不攜帶WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符�����,而由網(wǎng)元設(shè)備自己去獲取WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符���,例如網(wǎng)元設(shè)備可以接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息之后����,獲取該WLAN節(jié)點(diǎn)的IP地址�,再根據(jù)該WLAN節(jié)點(diǎn)的IP地址獲取該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符�,實(shí)際應(yīng)用中網(wǎng)元設(shè)備還可以采用其他方法獲取WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符���。此外�����,WLAN節(jié)點(diǎn)可以是WLAN節(jié)點(diǎn)SSID�、或者WLAN節(jié)點(diǎn)的MAC地址或者其他的能夠唯一標(biāo)識(shí)WLAN節(jié)點(diǎn)的身份信息�����。
[0135]此時(shí)對(duì)應(yīng)的步驟301 “網(wǎng)元設(shè)備根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符���,獲取對(duì)應(yīng)的推演密鑰”����,具體可以包括如下步驟:
[0136](a)網(wǎng)元設(shè)備根據(jù)第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系���、以及密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符�����,獲取第二密鑰�;
[0137](b)網(wǎng)元設(shè)備根據(jù)第二密鑰與密鑰請(qǐng)求消息中的WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰。即該技術(shù)方案中����,推演密鑰為第三密鑰。
[0138]此時(shí)對(duì)應(yīng)的步驟302“網(wǎng)元設(shè)備向WLAN節(jié)點(diǎn)發(fā)送推演密鑰����,以供WLAN節(jié)點(diǎn)基于推演密鑰與UE之間建立安全連接”��,具體可以包括:網(wǎng)元設(shè)備向WLAN節(jié)點(diǎn)發(fā)送第三密鑰�,以供WLAN節(jié)點(diǎn)基于第三密鑰與UE之間建立安全連接。
[0139]可選地��,在圖3所示實(shí)施例的可選實(shí)施例中��,上述實(shí)施例中的移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)���、UMTS����、LTE系統(tǒng)��、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)�;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC���、UMTS的RNC、GPRS網(wǎng)絡(luò)的SGSN�����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB��。
[0140]可選地�,在圖3所示實(shí)施例的可選實(shí)施例中,UE的身份標(biāo)識(shí)符為UE的MAC地址�����、UE的 MS1����、UE 的 TMS1、UE 的 P_TMS1��、UE 的 GUT1�、UE 的 S_TMS1、UE 的 RNTI 或者 UE 的 MSISDN��。
[0141]進(jìn)一步可選地���,當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的MAC地址時(shí)�,步驟300“網(wǎng)元設(shè)備接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息”之前,還可以包括:網(wǎng)元設(shè)備接收UE發(fā)送的UE的身份標(biāo)識(shí)符�����。例如網(wǎng)元設(shè)備具體可以接收UE采用加密的方式發(fā)送的UE的身份標(biāo)識(shí)符���,例如加密的消息可以為加密的附著完成(Attach Complete)消息�����、RAU消息完成(Complete)消息、TAU完成(Complete)消息��、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等消息��。這樣,采用上述方案可以對(duì)UE的身份標(biāo)識(shí)符進(jìn)行有效地保護(hù)�,從而能夠有效地保證推演密鑰的安全性,進(jìn)一步有效地增強(qiáng)了 UE和WLAN節(jié)點(diǎn)之間的安全性連接�。
[0142]需要說(shuō)明的是,上述圖1所示實(shí)施例的可選實(shí)施例中的能夠應(yīng)用在網(wǎng)元設(shè)備側(cè)的可選技術(shù)方案���,均可以用于在圖3所示實(shí)施例的可選實(shí)施例中���,詳細(xì)可以參考上述圖1所示實(shí)施例的可選實(shí)施例���,在此不再贅述。
[0143]上述實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法�,通過(guò)采用上述技術(shù)方案,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接���,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�����,采用本實(shí)施例的技術(shù)方案��,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�。
[0144]圖4為本發(fā)明一實(shí)施例提供的WLAN的安全建立方法的信令圖。本實(shí)施例在上述實(shí)施例的基礎(chǔ)上,以移動(dòng)通信網(wǎng)絡(luò)為GSM網(wǎng)絡(luò)���,網(wǎng)元設(shè)備為BSC��,UE的身份標(biāo)識(shí)符為UE的MAC地址為例詳細(xì)介紹本發(fā)明實(shí)施例的技術(shù)方案���。如圖4所示,本實(shí)施例的WLAN的安全建立方法�����,具體可以包括如下步驟:
[0145]400���、UE接入GSM網(wǎng)絡(luò)���,并與GSM網(wǎng)絡(luò)中的BSC執(zhí)行空口安全��,UE和BSC獲取執(zhí)行空口安全時(shí)的共享密鑰��,并基于該共享密鑰獲取第一密鑰�;
[0146]例如可以參考上述圖1-圖3所示實(shí)施例的記載,第一密鑰為該共享密鑰或者根據(jù)該共享密鑰推演得出的��。
[0147]401、UE 向 BSC 發(fā)送 UE 的 MAC 地址����;
[0148]例如UE可以在RRC消息中攜帶UE的MAC地址以發(fā)送給BSC。本發(fā)明實(shí)施例中當(dāng)UE的身份標(biāo)識(shí)符為MAC地址之外的其他時(shí)��,BSC可以從自身中獲取到���,可以省去該步驟401�����。
[0149]402�����、UE和BSC根據(jù)第一密鑰和推演參數(shù)推演得到第二密鑰��;
[0150]本實(shí)施例中該推演參數(shù)可以由UE和BSC協(xié)商確定�。步驟401和步驟402可以無(wú)先后順序�。
[0151]403、BSC存儲(chǔ)該UE的MAC地址與第二密鑰的對(duì)應(yīng)關(guān)系�����;
[0152]404、WLAN節(jié)點(diǎn)向BSC發(fā)送攜帶UE的MAC地址的密鑰請(qǐng)求消息�;
[0153]例如在UE接入WLAN節(jié)點(diǎn)時(shí)向WLAN節(jié)點(diǎn)發(fā)送WiFi消息時(shí)已經(jīng)將該UE的MAC地址告訴給WLAN節(jié)點(diǎn),詳細(xì)可以參考相關(guān)現(xiàn)有技術(shù)�����,在此不再贅述�。
[0154]405,BSC根據(jù)密鑰請(qǐng)求消息中的UE的MAC地址以及UE的MAC地址與第二密鑰的對(duì)應(yīng)關(guān)系,獲取該UE對(duì)應(yīng)的第二密鑰�;
[0155]406、BSC向WLAN節(jié)點(diǎn)發(fā)送給第二密鑰��;
[0156]407�、UE和WLAN節(jié)點(diǎn)基于該第二密鑰建立WLAN安全連接。
[0157]本實(shí)施例中WLAN節(jié)點(diǎn)向BSC發(fā)送的密鑰請(qǐng)求消息中還可以攜帶WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符�����,此時(shí)步驟405之后����,可以執(zhí)行UE和BSC基于該第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符進(jìn)行推演得到第三密鑰�����,此時(shí)對(duì)應(yīng)的BSC向WLAN節(jié)點(diǎn)發(fā)送該第三密鑰,此時(shí)對(duì)應(yīng)的UE和WLAN節(jié)點(diǎn)基于該第三密鑰建立安全連接�����。
[0158]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法����,通過(guò)采用上述技術(shù)方案,UE與WLAN節(jié)點(diǎn)之間能夠基于第二密鑰或者第三密鑰建立安全連接����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�����,采用本實(shí)施例的技術(shù)方案�����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�����。
[0159]圖5為本發(fā)明另一實(shí)施例提供的WLAN的安全建立方法的信令圖�。本實(shí)施例在上述實(shí)施例的基礎(chǔ)上,以移動(dòng)通信網(wǎng)絡(luò)為L(zhǎng)TE網(wǎng)絡(luò)��,網(wǎng)元設(shè)備為eNB��,UE的身份標(biāo)識(shí)符為UE的MAC地址為例詳細(xì)介紹本發(fā)明實(shí)施例的技術(shù)方案�����。如圖5所示���,本實(shí)施例的WLAN的安全建立方法�����,具體可以包括如下步驟:
[0160]500���、UE接入LTE網(wǎng)絡(luò),并與LTE網(wǎng)絡(luò)中的eNB執(zhí)行空口安全�����,UE和eNB獲取執(zhí)行空口安全時(shí)的共享密鑰���,并基于該共享密鑰獲取第一密鑰�����;
[0161]例如可以參考上述圖1-圖3所示實(shí)施例的記載�����,第一密鑰為該共享密鑰或者根據(jù)該共享密鑰推演得出的�。
[0162]501����、UE 向 MME 發(fā)送 UE 的 MAC 地址;
[0163]例如UE在NAS SMC中將UE的MAC地址發(fā)給MME����。
[0164]502、MME 向 eNB 發(fā)送 UE 的 MAC 地址�;
[0165]例如MME將UE的MAC地址通過(guò)SI消息轉(zhuǎn)發(fā)給eNB。
[0166]可選地���,UE也可以在RRC消息中將UE的MAC地址發(fā)給eNB���。
[0167]本發(fā)明實(shí)施例中當(dāng)UE的身份標(biāo)識(shí)符為MAC地址之外的其他時(shí)�����,BSC可以從自身中獲取到�����,可以省去該步驟401�����。
[0168]503����、UE和eNB根據(jù)第一密鑰和推演參數(shù)推演得到第二密鑰��;
[0169]本實(shí)施例中該推演參數(shù)可以由UE和eNB協(xié)商確定�����。步驟503和步驟501步驟502可以無(wú)先后順序。
[0170]504�����、eNB存儲(chǔ)該UE的MAC地址與第二密鑰的對(duì)應(yīng)關(guān)系���;
[0171]505、WLAN節(jié)點(diǎn)向eNB發(fā)送攜帶UE的MAC地址和WLAN節(jié)點(diǎn)身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�;
[0172]例如在UE接入WLAN節(jié)點(diǎn)時(shí)向WLAN節(jié)點(diǎn)發(fā)送WiFi消息時(shí)已經(jīng)將該UE的MAC地址告訴給WLAN節(jié)點(diǎn),詳細(xì)可以參考相關(guān)現(xiàn)有技術(shù)����,在此不再贅述。
[0173]506�����、eNB根據(jù)密鑰請(qǐng)求消息中的UE的MAC地址以及UE的MAC地址與第二密鑰的對(duì)應(yīng)關(guān)系���,獲取該UE對(duì)應(yīng)的第二密鑰�;
[0174]507,eNB和UE基于該第二密鑰和密鑰請(qǐng)求消息中的WLAN節(jié)點(diǎn)身份標(biāo)識(shí)符推演得到第三密鑰����;
[0175]508、eNB向WLAN節(jié)點(diǎn)發(fā)送給第三密鑰����;
[0176]509�����、UE和WLAN節(jié)點(diǎn)基于該第三密鑰建立WLAN安全連接����。
[0177]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法�����,通過(guò)采用上述技術(shù)方案��,UE與WLAN節(jié)點(diǎn)之間能夠基于第三密鑰建立安全連接�,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本實(shí)施例的技術(shù)方案�����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�����。
[0178]上述圖4和圖5僅為本發(fā)明實(shí)施例的兩種可選形式的實(shí)施例����,根據(jù)上述圖1-圖3所示實(shí)施例及對(duì)應(yīng)的可選實(shí)施例中����,還可以推理得到本發(fā)明的其他實(shí)施例的信令圖,在此不再一一舉例贅述��。
[0179]圖6為本發(fā)明又一實(shí)施例提供的WLAN的安全建立方法的流程圖��。如圖6所示�����,本實(shí)施例的WLAN的安全建立方法的執(zhí)行主體為UE’本實(shí)施例的WLAN的安全建立方法��,具體可以包括如下步驟:[0180]600�、UE獲取第一密鑰;
[0181]本實(shí)施例中的第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰,或者第一密鑰為根據(jù)UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;UE根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀�����。
[0182]601�����、UE根據(jù)認(rèn)證用戶(hù)名和認(rèn)證信任狀與第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol ;EAP)認(rèn)證���;
[0183]602、UE在認(rèn)證完成后與WLAN節(jié)點(diǎn)之間建立安全連接�。
[0184]本實(shí)施例中的EAP認(rèn)證過(guò)程詳細(xì)可以參考現(xiàn)有技術(shù)中的EAP認(rèn)證,在此不再贅述����。
[0185]本實(shí)施例中的第二網(wǎng)元設(shè)備從第一網(wǎng)元設(shè)備處獲取認(rèn)證用戶(hù)名和認(rèn)證信任狀;或者第二網(wǎng)元設(shè)備從第一網(wǎng)元設(shè)備處獲取UE的身份標(biāo)識(shí)符和第一密鑰���,并根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀��。本實(shí)施例中的第一網(wǎng)元設(shè)備和第二網(wǎng)元設(shè)備僅為對(duì)兩個(gè)網(wǎng)元設(shè)備進(jìn)行命名��,實(shí)際應(yīng)用中��,兩個(gè)網(wǎng)元設(shè)備的名稱(chēng)亦可以互換�����。
[0186]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法�����,通過(guò)采用上述技術(shù)方案�,UE根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證密碼;并由UE根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備進(jìn)行EAP認(rèn)證�,并在認(rèn)證完成后UE與WLAN節(jié)點(diǎn)之間建立安全連接��;其中第一密鑰為用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的��。采用本實(shí)施例的上述技術(shù)方案�����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下���,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�,采用本實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接��,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性���。
[0187]可選地���,上述實(shí)施例中的移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)、UMTS, LTE系統(tǒng)��、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)�;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC、UMTS的RNC�����、GPRS網(wǎng)絡(luò)的SGSN����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB。
[0188]可選地��,上述實(shí)施例中的UE的身份標(biāo)識(shí)符為UE的MAC地址�����、UE的MS1、UE的TMS1�����、UE 的 P-TMS1�、UE 的⑶T 1、UE 的 S-TMS1��、UE 的 RNTI 或者 UE 的 MS ISDN��。
[0189]圖7為本發(fā)明再另一實(shí)施例提供的WLAN的安全建立方法的流程圖��。如圖7所示���,本實(shí)施例的WLAN的安全建立方法的執(zhí)行主體為第一網(wǎng)元設(shè)備,本實(shí)施例的WLAN的安全建立方法��,具體可以包括如下步驟:
[0190]700,UE接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀��;
[0191]本實(shí)施例中的認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的����;第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰����,或者第一密鑰為根據(jù)UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�。
[0192]701、第一網(wǎng)元設(shè)備根據(jù)認(rèn)證用戶(hù)名和認(rèn)證信任狀與UE進(jìn)行EAP認(rèn)證��;
[0193]702�����、第一網(wǎng)元設(shè)備在EAP認(rèn)證完成后���,向WLAN節(jié)點(diǎn)發(fā)送認(rèn)證完成����,以指示W(wǎng)LAN節(jié)點(diǎn)與UE之間建立安全連接���。[0194]本實(shí)施例與上述圖6所示實(shí)施例的區(qū)別僅在于:上述圖6所示實(shí)施例在UE側(cè)描述本發(fā)明的技術(shù)方案�,而本實(shí)施例在移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備側(cè)描述本發(fā)明的技術(shù)方案���,其余實(shí)施過(guò)程完全相同�,詳細(xì)可以參考上述圖6所示實(shí)施例的記載���,在此不再贅述�。
[0195]本實(shí)施例的無(wú)線局域網(wǎng)絡(luò)的安全建立方法,通過(guò)采用上述技術(shù)方案�����,第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀��,并根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE進(jìn)行EAP認(rèn)證��,并在認(rèn)證完成后��,向WLAN節(jié)點(diǎn)發(fā)送認(rèn)證完成��,以指示W(wǎng)LAN節(jié)點(diǎn)與UE之間建立安全連接�����;其中認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的���;第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的。采用本實(shí)施例的上述技術(shù)方案�����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本發(fā)明實(shí)施例的技術(shù)方案�,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0196]可選地,在上述圖7所示實(shí)施例的技術(shù)方案的基礎(chǔ)上�����,還可以包括如下可選技術(shù)方案���,構(gòu)成圖7所示實(shí)施例的可選實(shí)施例���。
[0197]在圖7所示實(shí)施例的可選實(shí)施例中,步驟700 “UE接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀”��,具體可以包括如下步驟:
[0198](I)第一網(wǎng)元設(shè)備接收第二網(wǎng)元設(shè)備發(fā)送的UE的UE的身份標(biāo)識(shí)符和第一密鑰����,該第一密鑰為UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的�����;
[0199](2)第一網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證Ih任狀��。
[0200]或者可選地��,步驟700“UE接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀”��,具體可以包括:第一網(wǎng)元設(shè)備接收第二網(wǎng)元設(shè)備發(fā)送的認(rèn)證用戶(hù)名和認(rèn)證信任狀���,該認(rèn)證用戶(hù)名和認(rèn)證信任狀為第二網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的,第一密鑰為UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的��。
[0201]或者進(jìn)一步可選地���,步驟700 “UE接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀”��,具體可以包括如下步驟:
[0202](a)第一網(wǎng)元設(shè)備獲取第一密鑰���;述第一密鑰為第一網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的�����;
[0203](b)第一網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證Ih任狀�。
[0204]可選地,上述實(shí)施例中的移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)��、UMTS���、LTE系統(tǒng)���、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò);網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC�、UMTS的RNC、GPRS網(wǎng)絡(luò)的SGSN����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB。
[0205]可選地�����,上述實(shí)施例中的UE的身份標(biāo)識(shí)符為UE的MAC地址����、UE的MS1、UE的TMS1、UE 的 P-TMS1���、UE 的⑶T 1���、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MS ISDN��。
[0206]需要說(shuō)明的是����,上述圖6所示實(shí)施例的可選實(shí)施例中的能夠應(yīng)用在網(wǎng)元設(shè)備側(cè)的可選技術(shù)方案,均可以用于在圖7所示實(shí)施例的可選實(shí)施例中����,詳細(xì)可以參考上述圖6所示實(shí)施例的可選實(shí)施例,在此不再贅述���。
[0207]通過(guò)采用上述實(shí)施例的技術(shù)方案����,第一網(wǎng)元設(shè)備獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀�����,并根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE進(jìn)行EAP認(rèn)證,并在認(rèn)證完成后����,使得UE與WLAN節(jié)點(diǎn)之間建立安全連接�;其中認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的�����;第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的。采用本實(shí)施例的上述技術(shù)方案���,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本發(fā)明實(shí)施例的技術(shù)方案�,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性��。
[0208]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成�。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����。該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述各方法實(shí)施例的步驟�����;而前述的存儲(chǔ)介質(zhì)包括:R0M�����、RAM���、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)�。
[0209]圖8為本發(fā)明一實(shí)施例提供的UE的結(jié)構(gòu)示意圖。如圖8所示���,本實(shí)施例的UE�����,具體可以包括獲取模塊10�����、推演模塊11和建立模塊12。
[0210]其中獲取模塊10用于獲取第一密鑰�����;該第一密鑰為本實(shí)施例的UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰��,或者該第一密鑰為根據(jù)UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���。推演模塊11與獲取模塊10連接��,推演模塊11用于根據(jù)獲取模塊10獲取的第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰����,推演參數(shù)為UE和網(wǎng)元設(shè)備協(xié)商確定的。建立模塊12與推演模塊11連接����,建立模塊用于根據(jù)推演模塊11推演得到的推演密鑰與獲取到推演密鑰的WLAN節(jié)點(diǎn)之間建立安全連接,WLAN節(jié)點(diǎn)獲取到的推演密鑰與UE獲取的推演密鑰相同���,例如WLAN節(jié)點(diǎn)可以向網(wǎng)元設(shè)備中請(qǐng)求獲取推演密鑰���,網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)推演得到推演密鑰。
[0211]本實(shí)施例中��,UE與網(wǎng)元設(shè)備均可以獲知推演參數(shù)���,可以認(rèn)為推演參數(shù)是兩者協(xié)商確定的���。推演參數(shù)具體可以為一個(gè)或者多個(gè)。例如推演參數(shù)可以為UE和網(wǎng)元設(shè)備事先約定好的���,或者在推演推演密鑰時(shí)在線協(xié)商的��。例如可以由UE提供一些參數(shù)作為推演參數(shù)�����,然后告知網(wǎng)元設(shè)備�。或者由網(wǎng)元設(shè)備提供一些參數(shù)作為推演參數(shù)����,然后告知網(wǎng)元設(shè)備?����;蛘呖梢杂蒛E提供一些參數(shù)或者由網(wǎng)元設(shè)備提供一些參數(shù)�����,然后UE和網(wǎng)元設(shè)備交換各自提供的參數(shù)��,此時(shí)對(duì)應(yīng)的推演參數(shù)由UE提供給參數(shù)和網(wǎng)元設(shè)備提供的參數(shù)共同組成�����。
[0212]本實(shí)施例的UE�����,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同�,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載,在此不再贅述����,
[0213]本實(shí)施例的UE,通過(guò)采用上述模塊����,UE能夠與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本實(shí)施例的技術(shù)方案��,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接��,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�����。
[0214]圖9為本發(fā)明另一實(shí)施例提供的UE的結(jié)構(gòu)示意圖�����。如圖9所示,本實(shí)施例的UE’在上述圖8所示實(shí)施例的基礎(chǔ)上�����,還可以包括如下技術(shù)方案���。
[0215]本實(shí)施例的UE中包括發(fā)送模塊13�����。該發(fā)送模塊13用于向WLAN節(jié)點(diǎn)發(fā)送UE的身份標(biāo)識(shí)符��,以供WLAN節(jié)點(diǎn)根據(jù)UE的身份標(biāo)識(shí)符��,向網(wǎng)元設(shè)備請(qǐng)求獲取UE對(duì)應(yīng)的推演密鑰����。
[0216]可選地�,本實(shí)施例的UE中����,推演模塊11具體用于根據(jù)獲取模塊10獲取的第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰;建立模塊12具體用于根據(jù)推演模塊11推演得打的第二密鑰與WLAN節(jié)點(diǎn)之間建立安全連接�。
[0217]可選地,本實(shí)施例的UE中��,推演模塊11具體用于根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰��;并根據(jù)第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰;UE在開(kāi)始接入WLAN節(jié)點(diǎn)的時(shí)候���,可以獲取到WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符��。而本實(shí)施例中,在網(wǎng)元設(shè)備一側(cè)�����,網(wǎng)元設(shè)備也可以獲取到該WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符����,并根據(jù)第二密鑰和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符進(jìn)行推演得到第三密鑰。建立模塊23具體用于根據(jù)推演模塊11推演得到的第三密鑰與WLAN節(jié)點(diǎn)之間建立安全連接�。
[0218]可選地����,本實(shí)施例的UE中,UE的身份標(biāo)識(shí)符為UE的MAC地址����、UE的MS1����、UE的TMS1�、UE 的 P-TMS1�、UE 的⑶T 1���、UE 的 S-TMS1�����、UE 的 RNTI 或者 UE 的 MS ISDN��。
[0219]進(jìn)一步可選地���,本實(shí)施例的UE中的發(fā)送模塊13還用于當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的MAC地址時(shí)�����,向網(wǎng)元設(shè)備發(fā)送UE的身份標(biāo)識(shí)符���。例如該發(fā)送模塊13具體用于當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的媒體訪問(wèn)控制地址時(shí),采用加密的方式向網(wǎng)元設(shè)備發(fā)送UE的身份標(biāo)識(shí)符。例如本實(shí)施例的UE中還可以包括攜帶模塊�����,用于在附著完成(AttachComplete)消息���、RAU 消息完成(Complete)消息、TAU 完成(Complete)消息��、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等中攜帶UE的身份標(biāo)識(shí)符,并由發(fā)送模塊13在網(wǎng)元設(shè)備發(fā)送攜帶UE的身份標(biāo)識(shí)符的加密的附著完成(Attach Complete)消息、RAU消息完成(Complete)消息����、TAU完成(Complete)消息�����、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等����。
[0220]可選地����,本實(shí)施例的UE中,移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)����、UMTS�、LTE系統(tǒng)、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)��;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC���、UMTS的RNC��、GPRS網(wǎng)絡(luò)的SGSN�、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB��。
[0221]上述實(shí)施例的UE�,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載��,在此不再贅述���,
[0222]上述實(shí)施例的UE,通過(guò)采用上述模塊�,UE能夠與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下���,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本實(shí)施例的技術(shù)方案��,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性��。
[0223]圖10為本發(fā)明實(shí)施例提供的WLAN節(jié)點(diǎn)設(shè)備的結(jié)構(gòu)示意圖�。如圖10所示,本實(shí)施例的WLAN節(jié)點(diǎn)設(shè)備中���,具體可以包括:接收模塊20��、發(fā)送模塊21和建立模塊22�����。
[0224]其中接收模塊20用于接收UE發(fā)送的UE的身份標(biāo)識(shí)符���;發(fā)送模塊21與接收模塊20連接,發(fā)送模塊21用于向UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶接收模塊20接收的UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;接收模塊20還用于接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰;該推演密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�,該第一密鑰為UE與網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰,或者該第一密鑰為根據(jù)UE與網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����;推演參數(shù)為UE和網(wǎng)元設(shè)備協(xié)商確定的�,例如該推演參數(shù)的確定可以參考上述相關(guān)實(shí)施例的記載。建立模塊22與接收模塊20連接�,建立模塊22用于基于接收模塊20接收的推演密鑰與獲取到推演密鑰的UE之間建立安全連接,其中UE獲取到的推演密鑰與WLAN節(jié)點(diǎn)獲取的所述推演密鑰相同�����,例如UE可以根據(jù)第一密鑰和推演參數(shù)推演得到推演密鑰��。
[0225]本實(shí)施例的WLAN節(jié)點(diǎn)設(shè)備�,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載�,在此不再贅述�����,
[0226]本實(shí)施例的WLAN節(jié)點(diǎn)設(shè)備,通過(guò)采用上述模塊能夠?qū)崿F(xiàn)UE與WLAN節(jié)點(diǎn)之間基于推演密鑰建立安全連接�,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接���,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性��。
[0227]可選地�,在上述圖10所示實(shí)施例的基礎(chǔ)上���,接收模塊20具體用于接收網(wǎng)元設(shè)備發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的第二密鑰�,該第二密鑰為網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符以及網(wǎng)元設(shè)備中存儲(chǔ)的UE的身份標(biāo)識(shí)符與第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的�����;該第二密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到����;本實(shí)施例中推演密鑰為第二密鑰���。建立模塊22具體用于基于接收模塊20接收的第二密鑰與UE之間建立安全連接.[0228]或者可選地,在上述圖8所示實(shí)施例的基礎(chǔ)上���,發(fā)送模塊21具體用于向網(wǎng)元設(shè)備發(fā)送攜帶接收模塊20接收的UE的身份標(biāo)識(shí)符和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;接收模塊20具體用于接收網(wǎng)元設(shè)備發(fā)送的第三密鑰���,該第三密鑰為網(wǎng)元設(shè)備根據(jù)第二密鑰與WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到的;該第二密鑰為網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符以及網(wǎng)元設(shè)備中存儲(chǔ)的UE的身份標(biāo)識(shí)符與第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的����;該第二密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到,本實(shí)施例中����,推演密鑰為第三密鑰。建立模塊22具體用于基于接收模塊20接收的第三密鑰與UE之間建立安全連接����。
[0229]可選地,在上述圖10所示實(shí)施例的基礎(chǔ)上�,UE的身份標(biāo)識(shí)符為UE的MAC地址、UE的 MS1��、UE 的 TMS1��、UE 的 P-TMS1��、UE 的⑶T1�、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MSISDN���。
[0230]可選地�����,在上述圖10所示實(shí)施例的基礎(chǔ)上�,移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)����、UMTS、LTE系統(tǒng)�、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò);網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC����、UMTS的RNC�、GPRS網(wǎng)絡(luò)的SGSN�、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB。
[0231]上述實(shí)施例的WLAN節(jié)點(diǎn)設(shè)備�����,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同����,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載,在此不再贅述��,
[0232]上述實(shí)施例的WLAN節(jié)點(diǎn)設(shè)備��,通過(guò)采用上述模塊能夠?qū)崿F(xiàn)UE與WLAN節(jié)點(diǎn)之間基于推演密鑰建立安全連接�,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性���。
[0233]圖11為本發(fā)明一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖����。本實(shí)施例的網(wǎng)元設(shè)備位于UE接入的移動(dòng)通信網(wǎng)絡(luò)中����。如圖11所示�,本實(shí)施例的網(wǎng)元設(shè)備具體可以包括:接收模塊30、獲取模塊31和發(fā)送模塊32���。
[0234]其中接收模塊30用于接收WLAN節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息�����,該密鑰請(qǐng)求消息中攜帶有UE的身份標(biāo)識(shí)符����;獲取模塊31與接收模塊30連接��,獲取模塊31用于根據(jù)接收模塊30接收的密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符�����,獲取對(duì)應(yīng)的推演密鑰;該推演密鑰為網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到����;第一密鑰為網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰,或者第一密鑰為根據(jù)網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;該推演參數(shù)為網(wǎng)元設(shè)備與UE協(xié)商確定的����;發(fā)送模塊32與獲取模塊31連接�,發(fā)送模塊32用于向WLAN節(jié)點(diǎn)發(fā)送獲取模塊31獲取的推演密鑰,以供WLAN節(jié)點(diǎn)基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接�。其中UE獲取到的推演密鑰與WLAN節(jié)點(diǎn)接收網(wǎng)元設(shè)備發(fā)送的推演密鑰相同。
[0235]本實(shí)施例的網(wǎng)元設(shè)備���,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同��,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載�,在此不再贅述�,
[0236]本實(shí)施例的網(wǎng)元設(shè)備,通過(guò)采用上述模塊能夠?qū)崿F(xiàn)UE與WLAN節(jié)點(diǎn)之間基于推演密鑰建立安全連接��,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷�����,采用本實(shí)施例的技術(shù)方案�,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0237]圖12為本發(fā)明另一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖。如圖12所示����,本實(shí)施例的網(wǎng)元設(shè)備,在上述圖10所示實(shí)施例的基礎(chǔ)上�,還可以包括如下技術(shù)方案。
[0238]本實(shí)施例的網(wǎng)元設(shè)備中����,獲取模塊31還用于根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符��,獲取對(duì)應(yīng)的推演密鑰之前��,獲取第一密鑰���。
[0239]本實(shí)施例的網(wǎng)元設(shè)備中,還包括推演模塊33和建立模塊34��。其中推演模塊33與獲取模塊31連接���,用于在獲取模塊31獲取第一密鑰之后����,根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符����,獲取對(duì)應(yīng)的推演密鑰之前,根據(jù)獲取模塊31獲取的第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰���;建立模塊34與推演模塊33連接����,建立模塊34用于建立推演模塊33推演得到的第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系。此時(shí)對(duì)應(yīng)的獲取模塊31還與建立模塊34連接��,具體用于根據(jù)建立模塊34建立的第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系����、以及密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符,獲取第二密鑰����;即該技術(shù)方案中推演密鑰為第二密鑰。此時(shí)對(duì)應(yīng)的發(fā)送模塊32具體用于向WLAN節(jié)點(diǎn)發(fā)送獲取模塊31獲取的第二密鑰�����,以供WLAN節(jié)點(diǎn)基于第二密鑰與UE之間建立安全連接���。
[0240]或者可選地,本實(shí)施例的網(wǎng)元設(shè)備中���,推演模塊33也用于在獲取模塊31獲取第一密鑰之后���,根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符,獲取對(duì)應(yīng)的推演密鑰之前��,根據(jù)獲取模塊31獲取的第一密鑰和推演參數(shù)進(jìn)行推演得到第二密鑰;建立模塊34也用于建立獲取模塊31獲取的第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系時(shí)��,接收模塊30具體用于接收WLAN節(jié)點(diǎn)發(fā)送的攜帶UE的身份標(biāo)識(shí)符和WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;獲取模塊31具體用于根據(jù)建立模塊34建立的第二密鑰與UE的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系�����、以及接收模塊30接收的密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符��,獲取第二密鑰���;并根據(jù)第二密鑰與密鑰請(qǐng)求消息中的WLAN節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰�����;發(fā)送模塊32具體用于向WLAN節(jié)點(diǎn)發(fā)送獲取模塊31獲取的第三密鑰�����,以供WLAN節(jié)點(diǎn)基于第三密鑰與UE之間建立安全連接�。即該技術(shù)方案中推演密鑰為第三密鑰�����。
[0241]可選地,本實(shí)施例的網(wǎng)元設(shè)備中����,UE的身份標(biāo)識(shí)符為UE的MAC地址、UE的MS1�����、UE 的 TMS1�����、UE 的 P-TMS1���、UE 的⑶T 1、UE 的 S-TMS1���、UE 的 RNTI 或者 UE 的 MS ISDN�����。
[0242]可選地����,本實(shí)施例的網(wǎng)元設(shè)備中,接收模塊30還用于當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的MAC地址時(shí)�,接收UE發(fā)送的UE的身份標(biāo)識(shí)符。例如接收模塊30還用于當(dāng)UE的身份標(biāo)識(shí)符為UE的WLAN接口的MAC地址時(shí)�,接收UE采用加密的方式發(fā)送的UE的身份標(biāo)識(shí)符。
[0243]可選地����,本實(shí)施例的網(wǎng)元設(shè)備中,移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)���、UMTS、LTE系統(tǒng)�、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)����;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC�����、UMTS的RNC���、GPRS網(wǎng)絡(luò)的SGSN�����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB。
[0244]本實(shí)施例的網(wǎng)元設(shè)備�,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同�����,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載,在此不再贅述�����,
[0245]本實(shí)施例的網(wǎng)元設(shè)備����,通過(guò)采用上述模塊能夠?qū)崿F(xiàn)UE與WLAN節(jié)點(diǎn)之間基于推演密鑰建立安全連接,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下�����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷��,采用本實(shí)施例的技術(shù)方案�,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0246]圖13為本發(fā)明再一實(shí)施例提供的UE的結(jié)構(gòu)示意圖。如圖13所示�����,本實(shí)施例的IE,具體可以包括獲取模塊40�����、生成模塊41�����、認(rèn)證模塊42和建立模塊43��。
[0247]其中獲取模塊40用于獲取第一密鑰�;該第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰��,或者根據(jù)UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�;生成模塊41根據(jù)UE的身份標(biāo)識(shí)符和獲取模塊40獲取的第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀;認(rèn)證模塊42與生成模塊41連接�,認(rèn)證模塊42用于根據(jù)生成模塊41生成的認(rèn)證用戶(hù)名和認(rèn)證信任狀與第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行EAP認(rèn)證;第二網(wǎng)元設(shè)備為移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備之外的其他網(wǎng)元設(shè)備��;第二網(wǎng)元設(shè)備從第一網(wǎng)元設(shè)備處獲取認(rèn)證用戶(hù)名和認(rèn)證信任狀�����;或者第二網(wǎng)元設(shè)備從第一網(wǎng)元設(shè)備處獲取UE的身份標(biāo)識(shí)符和第一密鑰�����,并根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀�。建立模塊43與認(rèn)證模塊42連接,建立模塊43用于在認(rèn)證模塊42進(jìn)行EAP認(rèn)證完成后與WLAN節(jié)點(diǎn)之間建立安全連接����。
[0248]本實(shí)施例的UE,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同����,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載���,在此不再贅述,
[0249]本實(shí)施例的UE,通過(guò)采用上述模塊UE能夠根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證密碼���;并由UE根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備進(jìn)行EAP認(rèn)證,并在認(rèn)證完成后UE與WLAN節(jié)點(diǎn)之間建立安全連接��;其中第一密鑰為用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的���。采用本實(shí)施例的上述技術(shù)方案���,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接�����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本發(fā)明實(shí)施例的技術(shù)方案����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接��,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�����。[0250]可選地����,上述圖13所示實(shí)施例的UE中��,UE的身份標(biāo)識(shí)符為UE的MAC地址��、UE的IMSI, UE 的 TMS1�����、UE 的 P-TMS1����、UE 的 GUT1、UE 的 S-TMS1����、UE 的 RNTI 或者 UE 的 MSISDN。
[0251]可選地���,上述圖13所示實(shí)施例的UE中��,移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)�、UMTS、LTE系統(tǒng)���、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)���;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC�����、UMTS的RNC���、GPRS網(wǎng)絡(luò)的SGSN����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB����。
[0252]圖14為本發(fā)明再一實(shí)施例提供的網(wǎng)元設(shè)備的結(jié)構(gòu)示意圖。本實(shí)施例的網(wǎng)元設(shè)備位于UE接入的移動(dòng)通信網(wǎng)絡(luò)中����。如圖14所示���,本實(shí)施例的網(wǎng)元設(shè)備包括獲取模塊50、認(rèn)證模塊51和發(fā)送模塊52�����。
[0253]其中獲取模塊50用于獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀�����;該認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的�;第一密鑰為UE與網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰,或者第一密鑰為根據(jù)UE與網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����。認(rèn)證模塊51與獲取模塊50連接���,認(rèn)證模塊51用于根據(jù)認(rèn)證用戶(hù)名和認(rèn)證信任狀與UE進(jìn)行EAP認(rèn)證���,發(fā)送模塊52與認(rèn)證模塊51連接,發(fā)送模塊52用于在認(rèn)證模塊51進(jìn)行EAP認(rèn)證成功后,向WLAN節(jié)點(diǎn)發(fā)送認(rèn)證完成���,以指示W(wǎng)LAN節(jié)點(diǎn)與UE之間建立安全連接�����。
[0254]本實(shí)施例的網(wǎng)元設(shè)備��,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同����,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載��,在此不再贅述��,
[0255]本實(shí)施例的網(wǎng)元設(shè)備�����,通過(guò)采用上述模塊能夠獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀��,并根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE進(jìn)行EAP認(rèn)證��,并在認(rèn)證完成后����,使得UE與WLAN節(jié)點(diǎn)之間建立安全連接;其中認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的��;第一密鑰為UE與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的��。采用本實(shí)施例的上述技術(shù)方案��,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下��,UE和WLAN節(jié)點(diǎn)之間不建立安全連接���,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本發(fā)明實(shí)施例的技術(shù)方案,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接���,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性����。
[0256]可選地,上述圖14所示實(shí)施例的網(wǎng)元設(shè)備中�,獲取模塊50具體用于接收第二網(wǎng)元設(shè)備發(fā)送的UE的UE的身份標(biāo)識(shí)符和第一密鑰,該第一密鑰為UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的��;并根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀�����。
[0257]或者可選地�,上述圖14所示實(shí)施例的網(wǎng)元設(shè)備中,獲取模塊50具體用于接收第二網(wǎng)元設(shè)備發(fā)送的認(rèn)證用戶(hù)名和認(rèn)證信任狀�����,認(rèn)證用戶(hù)名和認(rèn)證信任狀為第二網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的�����,第一密鑰為UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE與第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的��。
[0258]或者可選地����,上述圖14所示實(shí)施例的網(wǎng)元設(shè)備中�,獲取模塊50具體用于獲取第一密鑰;第一密鑰為第一網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)第一網(wǎng)元設(shè)備與UE在執(zhí)行空口安全時(shí)的共享密鑰推演得出的;并根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀���。
[0259]可選地����,上述實(shí)施例的UE中���,UE的身份標(biāo)識(shí)符為UE的MAC地址��、UE的MS1��、UE的TMS1�、UE 的 P-TMS1��、UE 的⑶T1�����、UE 的 S-TMS1��、UE 的 RNTI 或者 UE 的 MSISDN�。
[0260]可選地,上述實(shí)施例的UE中����,移動(dòng)通信網(wǎng)絡(luò)可以為GSM網(wǎng)絡(luò)�、UMTS�、LTE系統(tǒng)、CDMA網(wǎng)絡(luò)或GPRS網(wǎng)絡(luò)����;網(wǎng)元設(shè)備可以為GSM網(wǎng)絡(luò)的BSC、UMTS的RNC��、GPRS網(wǎng)絡(luò)的SGSN�����、LTE系統(tǒng)的MME或者LTE系統(tǒng)中的eNB���。
[0261]上述實(shí)施例的網(wǎng)元設(shè)備�����,通過(guò)采用上述模塊實(shí)現(xiàn)WLAN的安全建立與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同����,詳細(xì)可以參考上述相關(guān)方法實(shí)施例的記載�,在此不再贅述,
[0262]上述實(shí)施例的網(wǎng)元設(shè)備��,通過(guò)采用上述模塊能夠獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀�,并根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE進(jìn)行EAP認(rèn)證,并在認(rèn)證完成后��,使得UE與WLAN節(jié)點(diǎn)之間建立安全連接��;其中認(rèn)證用戶(hù)名和認(rèn)證信任狀為根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成的����;第一密鑰為UE與網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE與網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備的共享密鑰推演得出的。采用本實(shí)施例的上述技術(shù)方案���,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下����,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸��,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷��,采用本發(fā)明實(shí)施例的技術(shù)方案�,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接�����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性��。
[0263]圖15為本發(fā)明一實(shí)施例提供的WLAN的安全建立系統(tǒng)的結(jié)構(gòu)示意圖�。如圖15所示���,本實(shí)施例的WLAN的安全建立系統(tǒng)包括:UE60���、WLAN節(jié)點(diǎn)設(shè)備61和網(wǎng)元設(shè)備62。UE60����、WLAN節(jié)點(diǎn)設(shè)備61和網(wǎng)元設(shè)備62兩兩互相通信。
[0264]UE60用于獲取第一密鑰�;該第一密鑰為UE60與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備62在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)UE60與網(wǎng)元設(shè)備62在執(zhí)行空口安全時(shí)的共享密鑰推演得出的。UE60根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰�����。推演參數(shù)為UE60和網(wǎng)元設(shè)備62協(xié)商確定的��。UE60還用于向WLAN節(jié)點(diǎn)設(shè)備61發(fā)送UE的身份標(biāo)識(shí)符。
[0265]WLAN節(jié)點(diǎn)設(shè)備61接收UE60發(fā)送UE的身份標(biāo)識(shí)符�;向網(wǎng)元設(shè)備62發(fā)送攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息。
[0266]網(wǎng)元設(shè)備62接收WLAN節(jié)點(diǎn)設(shè)備61發(fā)送的攜帶UE的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�����;根據(jù)密鑰請(qǐng)求消息中的UE的身份標(biāo)識(shí)符���,獲取對(duì)應(yīng)的推演密鑰;該推演密鑰為網(wǎng)元設(shè)備62根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到���;網(wǎng)元設(shè)備62向WLAN節(jié)點(diǎn)設(shè)備61發(fā)送獲取的推演密鑰����。
[0267]WLAN節(jié)點(diǎn)設(shè)備61接收網(wǎng)元設(shè)備62發(fā)送的UE的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰�����,這樣��,UE60和WLAN節(jié)點(diǎn)設(shè)備61都獲取到推演密鑰�,則UE60和WLAN節(jié)點(diǎn)設(shè)備61根據(jù)推演密
鑰建立安全連接。
[0268]可選地��,本實(shí)施例中的UE60具體可以采用上述圖8或者圖9所示實(shí)施例的UE����,本實(shí)施例中的WLAN節(jié)點(diǎn)設(shè)備61具體可以采用圖8及后續(xù)可選實(shí)施例中的WLAN節(jié)點(diǎn)設(shè)備�����,本實(shí)施例中的網(wǎng)元設(shè)備62具體可以采用上述圖11或者圖12所示實(shí)施例的網(wǎng)元設(shè)備�,并可以采用上述圖1-圖3所示實(shí)施例及相應(yīng)的后續(xù)可選實(shí)施例的技術(shù)方案實(shí)現(xiàn)WLAN的安全建立�����,詳細(xì)可以參考上述相關(guān)實(shí)施例的記載�����,在此不再贅述�。
[0269]本實(shí)施例的WLAN的安全建立系統(tǒng),通過(guò)采用上述UE��、WLAN節(jié)點(diǎn)設(shè)備和網(wǎng)元設(shè)備�����,UE與WLAN節(jié)點(diǎn)之間能夠基于推演密鑰建立安全連接��,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下,UE和WLAN節(jié)點(diǎn)之間不建立安全連接��,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�����,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷����,采用本實(shí)施例的技術(shù)方案�����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接����,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性。
[0270]圖16為本發(fā)明另一實(shí)施例提供的WLAN的安全建立系統(tǒng)的結(jié)構(gòu)示意圖�����。如圖16所示����,本實(shí)施例的WLAN的安全建立系統(tǒng)包括:UE70和第一網(wǎng)元設(shè)備71和WLAN節(jié)點(diǎn)設(shè)備72。UE70和第一網(wǎng)元設(shè)備71和WLAN節(jié)點(diǎn)設(shè)備72兩兩互相通信。
[0271]UE70用于獲取第一密鑰�����;該第一密鑰為UE70與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備71或者第二網(wǎng)元設(shè)備(圖中未示出)在執(zhí)行空口安全時(shí)的共享密鑰�,或者根據(jù)UE70與第一網(wǎng)元設(shè)備71或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的;UE根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀���;第一網(wǎng)元設(shè)備71也獲取UE的認(rèn)證用戶(hù)名和認(rèn)證信任狀���。
[0272]例如當(dāng)?shù)谝幻荑€為UE70與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備71在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的,第一網(wǎng)元設(shè)備71也獲取第一密鑰�����;并根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀����。
[0273]當(dāng)?shù)谝幻荑€為UE70與接入的移動(dòng)通信網(wǎng)絡(luò)中的第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的。此時(shí)����,第一網(wǎng)元設(shè)備71也從第二網(wǎng)元設(shè)備處獲取認(rèn)證用戶(hù)名和認(rèn)證信任狀;認(rèn)證用戶(hù)名和認(rèn)證信任狀為第二網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成��。或者第一網(wǎng)元設(shè)備71也從第二網(wǎng)元設(shè)備處獲取UE的身份標(biāo)識(shí)符和第一密鑰�,而由第一網(wǎng)元設(shè)備根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀。第一網(wǎng)元設(shè)備71和第二網(wǎng)元設(shè)備互相通信��。
[0274]由上述方案����,UE70和第一網(wǎng)元設(shè)備71都獲取到認(rèn)證用戶(hù)名和認(rèn)證信任狀,然后由UE70和第一網(wǎng)元設(shè)備71根據(jù)認(rèn)證用戶(hù)名和認(rèn)證信任狀進(jìn)行EAP認(rèn)證�,并在認(rèn)證完成后,第一網(wǎng)元設(shè)備71向WLAN節(jié)點(diǎn)設(shè)備72發(fā)送認(rèn)證完成����,以指示UE70與WLAN節(jié)點(diǎn)設(shè)備72之間建立安全連接�����。其中UE70和第一網(wǎng)元設(shè)備71在進(jìn)行EAP認(rèn)證的時(shí)候����,由WLAN節(jié)點(diǎn)設(shè)備72轉(zhuǎn)發(fā)認(rèn)證消息,具體地在EAP認(rèn)證時(shí)涉及到的認(rèn)證消息可以參考相關(guān)現(xiàn)有技術(shù)��,
[0275]可選地���,本實(shí)施例中的UE70具體可以采用上述圖11所示實(shí)施例的UE�,本實(shí)施例中的第一網(wǎng)元設(shè)備71具體可以采用上述圖14所示實(shí)施例的網(wǎng)元設(shè)備,并可以采用上述圖6_圖7所示實(shí)施例及相應(yīng)的后續(xù)可選實(shí)施例的技術(shù)方案實(shí)現(xiàn)WLAN的安全建立�����,詳細(xì)可以參考上述相關(guān)實(shí)施例的記載�����,在此不再贅述�����。
[0276]本實(shí)施例的WLAN的安全建立系統(tǒng)���,通過(guò)采用上述UE���、WLAN節(jié)點(diǎn)設(shè)備和網(wǎng)元設(shè)備,UE能夠根據(jù)UE的身份標(biāo)識(shí)符和第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證密碼�;并由UE根據(jù)認(rèn)證用戶(hù)名和認(rèn)證密碼與UE接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備進(jìn)行EAP認(rèn)證,并在認(rèn)證完成后UE與WLAN節(jié)點(diǎn)之間建立安全連接����;其中第一密鑰為用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)共享密鑰推演得出的��。采用本實(shí)施例的上述技術(shù)方案�����,能夠克服現(xiàn)有技術(shù)中WLAN工作在open模式下��,UE和WLAN節(jié)點(diǎn)之間不建立安全連接����,UE和WLAN節(jié)點(diǎn)之間的數(shù)據(jù)以明文方式傳輸�,導(dǎo)致UE與WLAN節(jié)點(diǎn)之間通信的安全性能較差的缺陷,采用本發(fā)明實(shí)施例的技術(shù)方案����,能夠在UE和WLAN節(jié)點(diǎn)之間建立安全連接��,提高UE與WLAN節(jié)點(diǎn)之間通信的安全性�。
[0277]以上所描述的裝置實(shí)施例僅僅是示意性的,其中作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的���,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個(gè)地方�,或者也可以分布到至少兩個(gè)網(wǎng)絡(luò)單元上?��?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的���。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動(dòng)的情況下,即可以理解并實(shí)施����。
[0278]最后應(yīng)說(shuō)明的是:以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制�;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
【權(quán)利要求】
1.一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法�����,其特征在于��,包括: 用戶(hù)設(shè)備獲取第一密鑰;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����; 所述用戶(hù)設(shè)備根據(jù)所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰��,所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的�����; 所述用戶(hù)設(shè)備根據(jù)所述推演密鑰與獲取到推演密鑰的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接����,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取到的推演密鑰與所述用戶(hù)設(shè)備獲取的所述推演密鑰相同。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述方法還包括: 所述用戶(hù)設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���,向所述網(wǎng)元設(shè)備請(qǐng)求獲取所述用戶(hù)設(shè)備對(duì)應(yīng)的所述推演密鑰��。
3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述用戶(hù)設(shè)備根據(jù)所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰�����,包括: 所述用戶(hù)設(shè)備根據(jù)所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰�����; 所述用戶(hù)設(shè)備根據(jù)所述推演密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接����,包括: 所述用戶(hù)設(shè)備根據(jù)所述第二密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于�,所述用戶(hù)設(shè)備根據(jù)所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰��, 還包括: 所述用戶(hù)設(shè)備根據(jù)所述第二密鑰和所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰����; 所述用戶(hù)設(shè)備根據(jù)所述推演密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�,還包括: 所述用戶(hù)設(shè)備根據(jù)所述第三密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接����。
5.根據(jù)權(quán)利要求1-4任一所述的方法,其特征在于�����,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址����、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼�、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份�����、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份�、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于�����,當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí)��,所述方法還包括: 所述用戶(hù)設(shè)備向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符��。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于����,所述用戶(hù)設(shè)備向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,包括: 所述用戶(hù)設(shè)備采用加密的方式向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述用戶(hù)設(shè)備采用加密的方式向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,包括: 所述用戶(hù)設(shè)備在附著完成消息���、路由區(qū)域更新消息��、跟蹤區(qū)域更新完成消息���、非接入層安全模式結(jié)束消息或者容量遷移消息中攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符;并向所述網(wǎng)元設(shè)備發(fā)送攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的加密的所述附著完成消息、所述路由區(qū)域更新消息���、所述跟蹤區(qū)域更新完成消息���、所述非接入層安全模式結(jié)束消息或者所述容量遷移消息。
9.根據(jù)權(quán)利要求1-8任一所述的方法����,其特征在于,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)�、通用移動(dòng)通訊系統(tǒng)、長(zhǎng)期演進(jìn)系統(tǒng)�、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò); 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器���、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器���、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或者所述長(zhǎng)期演進(jìn)系統(tǒng)的基站��。
10.一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法��,其特征在于�,包括: 無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�; 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)向所述用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�; 所述無(wú)線局域網(wǎng)絡(luò) 節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�,所述第一密鑰為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的����;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)兀設(shè)備協(xié)商確定的; 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接��,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取的所述推演密鑰相同����。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于����,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰,包括: 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的第二密鑰���,所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符以及所述網(wǎng)元設(shè)備中存儲(chǔ)的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符與所述第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的�����;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和與所述推演參數(shù)進(jìn)行推演得到����; 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與所述用戶(hù)設(shè)備之間建立安全連接,包括: 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第二密鑰與所述用戶(hù)設(shè)備之間建立安全連接�。
12.根據(jù)權(quán)利要求10所述的方法,其特征在于����,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰,包括: 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的第三密鑰����,所述第三密鑰為所述網(wǎng)元設(shè)備根據(jù)第二密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到的;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符以及所述網(wǎng)元設(shè)備中存儲(chǔ)的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符與所述第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的�����;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�; 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與所述用戶(hù)設(shè)備之間建立安全連接,包括: 所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第三密鑰與所述用戶(hù)設(shè)備之間建立安全連接���。
13.根據(jù)權(quán)利要求12所述的方法�,其特征在于�,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)向所述用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息,包括:所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)向所述網(wǎng)元設(shè)備發(fā)送攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�。
14.根據(jù)權(quán)利要求10-13任一所述的方法��,其特征在于,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼���、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼�����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份�����、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份���、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼����。
15.根據(jù)權(quán)利要求10-14任一所述的方法,其特征在于�,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)��、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)����; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器��、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)�、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站。
16.一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法����,其特征在于���,包括: 用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備接收無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息���;所述密鑰請(qǐng)求消息中攜帶有所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符; 所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,獲取對(duì)應(yīng)的推演密鑰;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到��;所述第一密鑰為所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����;所述推演參數(shù)為所述網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備協(xié)商確定的��; 所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述推演密鑰,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接����,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局`域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述推演密鑰相同��。
17.根據(jù)權(quán)利要求16所述的方法����,其特征在于,所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,獲取對(duì)應(yīng)的推演密鑰之前����,還包括:所述網(wǎng)元設(shè)備獲取所述第一密鑰。
18.根據(jù)權(quán)利要求17所述的方法����,其特征在于�,所述網(wǎng)元設(shè)備獲取所述第一密鑰之后,所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�����,獲取對(duì)應(yīng)的推演密鑰之前����,所述方法還包括: 所述網(wǎng)元設(shè)備根據(jù)所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰��; 所述網(wǎng)元設(shè)備建立所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系; 所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�,獲取對(duì)應(yīng)的推演密鑰��,包括: 所述網(wǎng)元設(shè)備根據(jù)所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系、以及所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���,獲取所述第二密鑰��; 所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述推演密鑰��,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與所述用戶(hù)設(shè)備之間建立安全連接�,包括: 所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述第二密鑰�����,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第二密鑰與所述用戶(hù)設(shè)備之間建立安全連接�����。
19.根據(jù)權(quán)利要求18所述的方法����,其特征在于, 所述網(wǎng)元設(shè)備根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符����,獲取對(duì)應(yīng)的推演密鑰����,還包括: 所述網(wǎng)元設(shè)備根據(jù)所述第二密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到所述第三密鑰�����; 所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述推演密鑰���,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與所述用戶(hù)設(shè)備之間建立安全連接���,還包括: 所述網(wǎng)元設(shè)備向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述第三密鑰,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第三密鑰與所述用戶(hù)設(shè)備之間建立安全連接�����。
20.根據(jù)權(quán)利要求16-19任一所述的方法���,其特征在于��,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址�����、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份���、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份���、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼。
21.根據(jù)權(quán)利要求20所述的方法�����,其特征在于�,當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí),所述網(wǎng)元設(shè)備接收所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送的攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息之前�����,所述方法還包括: 所述網(wǎng)元設(shè)備接收所述用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符��。
22.根據(jù)權(quán)利要求 21所述的方法,其特征在于��,所述網(wǎng)元設(shè)備接收所述用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符����,包括:所述網(wǎng)元設(shè)備接收所述用戶(hù)設(shè)備采用加密的方式發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符。
23.根據(jù)權(quán)利要求23所述的方法���,其特征在于��,所述網(wǎng)元設(shè)備接收所述用戶(hù)設(shè)備采用加密的方式發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�����,包括:所述網(wǎng)元設(shè)備接收所述用戶(hù)設(shè)備發(fā)送的攜帶所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的加密的附著完成消息����、路由區(qū)域更新消息��、跟蹤區(qū)域更新完成消息��、非接入層安全模式結(jié)束消息或者容量遷移消息���。
24.根據(jù)權(quán)利要求16-23任一所述的方法�����,其特征在于���,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)����、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)����; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器�、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或者所述長(zhǎng)期演進(jìn)系統(tǒng)的基站����。
25.一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法,其特征在于�,包括: 用戶(hù)設(shè)備獲取第一密鑰;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的所述共享密鑰推演得出的�����; 所述用戶(hù)設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀; 所述用戶(hù)設(shè)備根據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證�;所述第二網(wǎng)元設(shè)備為所述移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備之外的其他網(wǎng)元設(shè)備;所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�����;或者所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰���,并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�����; 所述用戶(hù)設(shè)備在所述擴(kuò)展認(rèn)證協(xié)議認(rèn)證完成后與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�。
26.根據(jù)權(quán)利要求25所述的方法��,其特征在于�����,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址�����、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼���、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼��、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份���、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼�。
27.根據(jù)權(quán)利要求25或者26所述的方法,其特征在于���,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)�����、長(zhǎng)期演進(jìn)系統(tǒng)�、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò); 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器�、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)����、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站。
28.一種無(wú)線局域網(wǎng)絡(luò)的安全建立方法,其特征在于��,包括: 用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀��;所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和第一密鑰生成的��;所述第一密鑰為所述用戶(hù)設(shè)備與所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰�,或者根據(jù)所述用戶(hù)設(shè)備與所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的; 所述第一網(wǎng)元設(shè)備根 據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與用戶(hù)設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證����; 所述第一網(wǎng)元設(shè)備在所述擴(kuò)展認(rèn)證協(xié)議認(rèn)證成功后,向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送認(rèn)證完成��,以指示所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)與所述用戶(hù)設(shè)備之間建立安全連接����。
29.根據(jù)權(quán)利要求28所述的方法,其特征在于���,用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀���,包括: 所述第一網(wǎng)元設(shè)備接收所述第二網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰,所述第一密鑰為所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����; 所述第一網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀。
30.根據(jù)權(quán)利要求28所述的方法�,其特征在于,用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀���,包括: 所述第一網(wǎng)元設(shè)備接收所述第二網(wǎng)元設(shè)備發(fā)送的所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀��,所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為所述第二網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成的�����,所述第一密鑰為所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�。
31.根據(jù)權(quán)利要求28所述的方法�,其特征在于���,用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀����,包括: 所述第一網(wǎng)元設(shè)備獲取所述第一密鑰�;所述述第一密鑰為所述第一網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述第一網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的; 所述第一網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀��。
32.根據(jù)權(quán)利要求28-31任一所述的方法,其特征在于����,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼�、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份����、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼。
33.根據(jù)權(quán)利要求32所述的方法�����,其特征在于�,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)����、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)��; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器�、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站�����。
34.一種用戶(hù)設(shè)備�����,其特征在于���,包括: 獲取模塊���,用于獲取第一密鑰;所述第一密鑰為與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共 享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的��; 推演模塊����,用于根據(jù)所述獲取模塊獲取的所述第一密鑰和推演參數(shù)進(jìn)行推演得到推演密鑰����;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的����; 建立模塊��,用于根據(jù)所述推演模塊推演得到的所述推演密鑰與獲取到推演密鑰的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接���,所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取到的推演密鑰與所述用戶(hù)設(shè)備獲取的所述推演密鑰相同����。
35.根據(jù)權(quán)利要求34所述的設(shè)備����,其特征在于,所述設(shè)備還包括: 發(fā)送模塊����,用于向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送用戶(hù)設(shè)備的身份標(biāo)識(shí)符,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�,向所述網(wǎng)元設(shè)備請(qǐng)求獲取所述用戶(hù)設(shè)備對(duì)應(yīng)的所述推演密鑰。
36.根據(jù)權(quán)利要求34所述的設(shè)備���,其特征在于: 所述推演模塊�,具體用于根據(jù)所述獲取模塊獲取的所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰��; 所述建立模塊,具體用于根據(jù)所述推演模塊推演的所述第二密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�。
37.根據(jù)權(quán)利要求34所述的設(shè)備,其特征在于: 所述推演模塊����,具體用于根據(jù)所述獲取模塊獲取的所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰;并根據(jù)所述第二密鑰和所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到第三密鑰��; 所述建立模塊��,具體用于根據(jù)所述推演模塊推演的所述第三密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接�。
38.根據(jù)權(quán)利要求34-37任一所述的設(shè)備,其特征在于���,所述發(fā)送模塊發(fā)送的用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址��、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼���、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份����、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份�����、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼����。
39.根據(jù)權(quán)利要求38所述的設(shè)備�����,其特征在于: 所述發(fā)送模塊����,還用于當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí),向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符��。
40.根據(jù)權(quán)利要求39所述的設(shè)備���,其特征在于: 所述發(fā)送模塊��,具體用于當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí)�����,采用加密的方式向所述網(wǎng)元設(shè)備發(fā)送所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�����。
41.根據(jù)權(quán)利要求34-40任一所述的設(shè)備��,其特征在于�,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)��、長(zhǎng)期演進(jìn)系統(tǒng)�、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò); 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器�、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)��、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或者所述長(zhǎng)期演進(jìn)系統(tǒng)的基站��。
42.一種無(wú)線局域網(wǎng)絡(luò)節(jié) 點(diǎn)設(shè)備�����,其特征在于���,包括: 接收模塊�����,用于接收用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符����; 發(fā)送模塊����,用于向所述用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中的網(wǎng)元設(shè)備發(fā)送攜帶所述接收模塊接收的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息; 所述接收模塊��,還用于接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的推演密鑰���;所述推演密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�,所述第一密鑰為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的����;所述推演參數(shù)為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備協(xié)商確定的; 建立模塊��,用于基于所述接收模塊接收的所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接�����,所述用戶(hù)設(shè)備獲取到的推演密鑰與無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)獲取的所述推演密鑰相同。
43.根據(jù)權(quán)利要求42所述的設(shè)備����,其特征在于: 所述接收模塊,具體用于接收所述網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符對(duì)應(yīng)的第二密鑰�����,所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符以及所述網(wǎng)元設(shè)備中存儲(chǔ)的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符與所述第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的�����;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和所述推演參數(shù)進(jìn)行推演得到���; 所述建立模塊�����,具體用于基于所述接收模塊接收的第二密鑰與所述用戶(hù)設(shè)備之間建立安全連接��。
44.根據(jù)權(quán)利要求42所述的設(shè)備����,其特征在于: 所述接收模塊,具體用于接收所述網(wǎng)元設(shè)備發(fā)送的第三密鑰��,所述第三密鑰為所述網(wǎng)元設(shè)備根據(jù)第二密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到的�;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符以及所述網(wǎng)元設(shè)備中存儲(chǔ)的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符與所述第二密鑰之間的對(duì)應(yīng)關(guān)系獲取的;所述第二密鑰為所述網(wǎng)元設(shè)備根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到���; 所述建立模塊,具體用于基于所述接收模塊接收的所述第三密鑰與所述用戶(hù)設(shè)備之間建立安全連接��。
45.根據(jù)權(quán)利要求44所述的設(shè)備����,其特征在于: 所述發(fā)送模塊,具體用于向所述網(wǎng)元設(shè)備發(fā)送攜帶所述接收模塊接收的用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符的密鑰請(qǐng)求消息�。
46.根據(jù)權(quán)利要求42-45任一所述的設(shè)備,其特征在于����,所述接收模塊接收的用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份���、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼�。
47.根據(jù)權(quán)利要求42-46任一所述的設(shè)備,其特征在于�����,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)����、通用移動(dòng)通訊系統(tǒng)、長(zhǎng)期演進(jìn)系統(tǒng)����、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò); 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器����、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)��、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站����。
48.一種網(wǎng)元設(shè)備�����,位于用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中���,其特征在于,所述網(wǎng)元設(shè)備包括: 接收模塊���,用于接收無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送的密鑰請(qǐng)求消息;所述密鑰請(qǐng)求消息中攜帶有所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符��; 獲取模塊��,用于根據(jù)所述接收模塊接收的所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���,獲取對(duì)應(yīng)的推演密鑰����;所述推演密鑰為根據(jù)第一密鑰和推演參數(shù)進(jìn)行推演得到�;所述第一密鑰為與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的;所述推演參數(shù)為與所述用戶(hù)設(shè)備協(xié)商確定的����; 發(fā)送模塊�����,用于向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述獲取模塊獲取到的所述推演密鑰�����,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述推演密鑰與獲取到推演密鑰的所述用戶(hù)設(shè)備之間建立安全連接��,所述用戶(hù)設(shè)備獲取到的推演密鑰與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)接收所述網(wǎng)元設(shè)備發(fā)送的所述推演密鑰相同��。
49.根據(jù)權(quán)利要求48所述的設(shè)備�����,其特征在于��,所述獲取模塊�,還用于獲取所述第一密鑰��。
50.根據(jù)權(quán)利要求49所述的設(shè)備�����,其特征在于,所述設(shè)備還包括推演模塊和建立模塊: 所述推演模塊���,用于在所述獲取模塊獲取所述第一密鑰之后�,根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符�����,獲取對(duì)應(yīng)的所述推演密鑰之前�,根據(jù)所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰; 所述建立模塊�,用于建立所述推演模塊推演的所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系; 所述獲取模塊�,具體用于根據(jù)所述建立模塊建立的所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系、以及所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符��,獲取所述第二密鑰��; 所述發(fā)送模塊���,具體用于向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述獲取模塊獲取的所述第二密鑰,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第二密鑰與所述用戶(hù)設(shè)備之間建立安全連接��。
51.根據(jù)權(quán)利要求49所述的設(shè)備����,其特征在于���,所述設(shè)備還包括推演模塊和建立模塊: 所述推演模塊,用于在所述獲取模塊獲取所述第一密鑰之后����,根據(jù)所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符,獲取對(duì)應(yīng)的所述推演密鑰之前���,根據(jù)所述第一密鑰和所述推演參數(shù)進(jìn)行推演得到第二密鑰�����; 所述建立模塊�,用于建立所述推演模塊推演的所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系��; 所述獲取模塊�,具體用于根據(jù)所述建立模塊建立的所述第二密鑰與所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符之間的對(duì)應(yīng)關(guān)系、以及所述密鑰請(qǐng)求消息中的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符����,獲取所述第二密鑰;并根據(jù)所述第二密鑰與所述密鑰請(qǐng)求消息中的所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)的身份標(biāo)識(shí)符推演得到所述第三密鑰; 所述發(fā)送模塊�����,具體用于向所`述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送所述獲取模塊獲取的所述第三密鑰����,以供所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)基于所述第三密鑰與所述用戶(hù)設(shè)備之間建立安全連接。
52.根據(jù)權(quán)利要求48-51任一所述的設(shè)備�����,其特征在于���,所述接收模塊接收的用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址��、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼��、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼�����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份�、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼����。
53.根據(jù)權(quán)利要求52所述的設(shè)備,其特征在于: 所述接收模塊��,還用于當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí)����,接收所述用戶(hù)設(shè)備發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符。
54.根據(jù)權(quán)利要求53所述的設(shè)備��,其特征在于: 所述接收模塊��,還用于當(dāng)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址時(shí)���,接收所述用戶(hù)設(shè)備采用加密的方式發(fā)送的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符���。
55.根據(jù)權(quán)利要求48-54任一所述的設(shè)備,其特征在于��,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)���、通用移動(dòng)通訊系統(tǒng)�、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)����; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器����、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或者所述長(zhǎng)期演進(jìn)系統(tǒng)的基站�。
56.—種用戶(hù)設(shè)備,其特征在于,包括: 獲取模塊,用于獲取第一密鑰�;所述第一密鑰為所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與接入的移動(dòng)通信網(wǎng)絡(luò)中的第一網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的; 生成模塊����,用于根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述獲取模塊的所述第一密鑰推演生成認(rèn)證用戶(hù)名和認(rèn)證信任狀; 認(rèn)證模塊����,用于根據(jù)所述生成模塊生成的所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與所述第一網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證;所述第二網(wǎng)元設(shè)備為所述移動(dòng)通信網(wǎng)絡(luò)中的所述第一網(wǎng)元設(shè)備之外的其他網(wǎng)元設(shè)備��;所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀���;或者所述第二網(wǎng)元設(shè)備從所述第一網(wǎng)元設(shè)備處獲取所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰���,并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀; 建立模塊���,用于在所述認(rèn)證模塊進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證完成后與所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接��。
57.根據(jù)權(quán) 利要求56所述的設(shè)備����,其特征在于�����,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址�、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼���、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼�、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份�����、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼��。
58.根據(jù)權(quán)利要求56或者57所述的設(shè)備���,其特征在于����,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)��、通用移動(dòng)通訊系統(tǒng)����、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)����; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器��、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)�、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站。
59.一種網(wǎng)元設(shè)備���,位于用戶(hù)設(shè)備接入的移動(dòng)通信網(wǎng)絡(luò)中�,其特征在于,所述網(wǎng)元設(shè)備包括: 獲取模塊���,用于獲取所述用戶(hù)設(shè)備的認(rèn)證用戶(hù)名和認(rèn)證信任狀���;所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和第一密鑰推演生成的�;所述第一密鑰為所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述網(wǎng)元設(shè)備或者第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的; 認(rèn)證模塊�,用于根據(jù)所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀與用戶(hù)設(shè)備進(jìn)行擴(kuò)展認(rèn)證協(xié)議認(rèn)證; 發(fā)送模塊��,用于在所述擴(kuò)展認(rèn)證協(xié)議認(rèn)證成功后�,向所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送認(rèn)證完成,以指示所述無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)與所述用戶(hù)設(shè)備之間建立安全連接�。
60.根據(jù)權(quán)利要求59所述的設(shè)備,其特征在于��,所述獲取模塊����,具體用于接收所述第二網(wǎng)元設(shè)備發(fā)送的所述用戶(hù)設(shè)備的所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰,所述第一密鑰為所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的���;并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�。
61.根據(jù)權(quán)利要求59所述的設(shè)備,其特征在于���,所述獲取模塊��,具體用于接收所述第二網(wǎng)元設(shè)備發(fā)送的所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀����,所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀為所述第二網(wǎng)元設(shè)備根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成的���,所述第一密鑰為所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述用戶(hù)設(shè)備與所述第二網(wǎng)元設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的�����。
62.根據(jù)權(quán)利要求59所述的設(shè)備��,其特征在于���,所述獲取模塊,具體用于獲取所述第一密鑰����;所述述第一密鑰為所述第一網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰或者根據(jù)所述第一網(wǎng)元設(shè)備與所述用戶(hù)設(shè)備在執(zhí)行空口安全時(shí)的共享密鑰推演得出的;并根據(jù)所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符和所述第一密鑰推演生成所述認(rèn)證用戶(hù)名和所述認(rèn)證信任狀�����。
63.根據(jù)權(quán)利要求59-62任一所述的設(shè)備,其特征在于�,所述用戶(hù)設(shè)備的身份標(biāo)識(shí)符為所述用戶(hù)設(shè)備的無(wú)線局域網(wǎng)絡(luò)接口的媒體訪問(wèn)控制地址、所述用戶(hù)設(shè)備的國(guó)際移動(dòng)用戶(hù)識(shí)別碼��、所述用戶(hù)設(shè)備的臨時(shí)移動(dòng)用戶(hù)識(shí)別碼�����、所述用戶(hù)設(shè)備的分組臨時(shí)移動(dòng)用戶(hù)識(shí)別碼����、所述用戶(hù)設(shè)備的全球唯一臨時(shí)身份��、所述用戶(hù)設(shè)備的系統(tǒng)架構(gòu)演進(jìn)臨時(shí)移動(dòng)客戶(hù)身份��、所述用戶(hù)設(shè)備的無(wú)線網(wǎng)絡(luò)臨時(shí)標(biāo)識(shí)或者所述用戶(hù)設(shè)備的移動(dòng)臺(tái)國(guó)際電話綜合業(yè)務(wù)數(shù)字網(wǎng)號(hào)碼�����。
64.根據(jù)權(quán)利要求63所述的設(shè)備��,其特征在于�����,所述移動(dòng)通信網(wǎng)絡(luò)為全球移動(dòng)通信網(wǎng)絡(luò)、通用移動(dòng)通訊系統(tǒng)����、長(zhǎng)期演進(jìn)系統(tǒng)、碼分多址網(wǎng)絡(luò)或通用分組無(wú)線服務(wù)網(wǎng)絡(luò)���; 所述網(wǎng)元設(shè)備為所述全球移動(dòng)通信網(wǎng)絡(luò)的基站控制器�����、所述通用移動(dòng)通訊系統(tǒng)的無(wú)線網(wǎng)絡(luò)控制器�、所述通用分組無(wú)線服務(wù)網(wǎng)絡(luò)的服務(wù)通用分組無(wú)線服務(wù)支持節(jié)點(diǎn)�、所述長(zhǎng)期演進(jìn)系統(tǒng)的移動(dòng)管理實(shí)體或所述長(zhǎng)期演進(jìn)系統(tǒng)的者基站。
65.—種無(wú)線局域網(wǎng)絡(luò)的安全建立系統(tǒng),其特征在于,包括:如上權(quán)利要求34-41任一所述的用戶(hù)設(shè)備�、如上權(quán) 利要求42-47任一所述的無(wú)線局域網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和如上權(quán)利要求48-55任一所述的網(wǎng)元設(shè)備; 或者包括如上權(quán)利要求56-58任一所述的用戶(hù)設(shè)備和如上權(quán)利要求59-64任一所述的網(wǎng)元設(shè)備�。
【文檔編號(hào)】H04W84/12GK103428690SQ201210161427
【公開(kāi)日】2013年12月4日 申請(qǐng)日期:2012年5月23日 優(yōu)先權(quán)日:2012年5月23日
【發(fā)明者】陳璟 申請(qǐng)人:華為技術(shù)有限公司