技术领域
[0001] 本
发明实施例涉及通信技术领域,尤其涉及一种无线局域网络的安全建立方法及系统、设备。
背景技术
[0002] 随着支持上网功能的智能终端之类的用户设备(User Equipment;UE)的广泛普及,人们开始使用UE进行大量的数据业务。近几年来,运营商网络的数据业务流量增长很快。为了适应这种趋势,运营商和设备厂商开始积极考虑各种各样的减轻运营商网络负担的方法。无线局域网络(Wireless Local Area Network;WLAN)是一种无线接入技术,WLAN技术能够提供较高的传输速率,被认为是运营商部署的广域无域网的有益补充。在机场、厂商等热点地区,WLAN技术能够使得用户通过WLAN进行数据业务,从而减轻运营商核心网络的负担。
[0003] 目前许多运营商已经部署了WLAN网络用在如机场、车站、酒店等热点地区以分流(offload)UE的数据流量。在这些已有的部署方案中,运营商一般将WLAN部署成open模式,任何UE均可接入WLAN
节点。当UE要连入因特网(internet)时,WLAN节点将UE重定向至一个特定的web网页,UE对应的用户在网页上输入正确的用户名/密码后,UE便可以接入internet。
[0004] 由于WLAN节点工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差。
发明内容
[0005] 本发明实施例提供一种无线局域网络的安全建立方法及系统、设备,用以弥补
现有技术中UE与WLAN之间通信的安全性能较差的
缺陷,用于提高UE与WLAN之间的安全性能。
[0006] 一方面,本发明实施例提供一种无线局域网络的安全建立方法,包括:
[0007] 用户设备获取第一密钥;所述第一密钥为所述用户设备与接入的
移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的;
[0008] 所述用户设备根据所述第一密钥和推演参数进行推演得到推演密钥;所述推演参数为所述用户设备与所述网元设备协商确定的;
[0009] 所述用户设备根据所述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接,所述无线局域网络节点获取到的推演密钥与所述用户设备获取的所述推演密钥相同。
[0010] 另一方面,本发明实施例还提供一种无线局域网络的安全建立方法,包括:
[0011] 无线局域网络节点接收用户设备发送的所述用户设备的身份标识符;
[0012] 所述无线局域网络节点向所述用户设备接入的移动通信网络中的网元设备发送携带所述用户设备的身份标识符的密钥
请求消息;
[0013] 所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥;所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到,所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备在执行空口安全时的共享密钥推演得出的;所述推演参数为所述用户设备与所述网元设备协商确定的;
[0014] 所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接,所述用户设备获取到的推演密钥与所述无线局域网络节点获取的所述推演密钥相同。
[0015] 再一方面,本发明实施例还提供一种无线局域网络的安全建立方法,包括:
[0016] 用户设备接入的移动通信网络中的网元设备接收无线局域网络节点发送的密钥请求消息;所述密钥请求消息中携带有所述用户设备的身份标识符;
[0017] 所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符,获取对应的推演密钥;所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到;所述第一密钥为所述网元设备与所述用户设备在执行空口安全时的共享密钥或者根据所述网元设备与所述用户设备在执行空口安全时的共享密钥推演得出的;所述推演参数为所述网元设备与所述用户设备协商确定的;
[0018] 所述网元设备向所述无线局域网络节点发送所述推演密钥,以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接,所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。
[0019] 又一方面,本发明实施例还提供一种无线局域网络的安全建立方法,包括:
[0020] 用户设备获取第一密钥;所述第一密钥为所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的;
[0021] 所述用户设备根据所述用户设备的身份标识符和所述第一密钥推演生成认证用户名和认证信任状;
[0022] 所述用户设备根据所述认证用户名和所述认证信任状与第一网元设备或者第二网元设备进行扩展认证协议认证;所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备;所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状;或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥,并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状;
[0023] 所述用户设备在认证完成后与所述无线局域网络节点之间建立安全连接。
[0024] 再另一方面,本发明实施例还提供一种无线局域网络的安全建立方法,包括:
[0025] 用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状;所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥推演生成的;所述第一密钥为所述用户设备与接入的移动通信网络中的所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的;
[0026] 所述第一网元设备根据所述认证用户名和所述认证信任状与用户设备进行扩展认证协议认证;
[0027] 所述第一网元设备在所述扩展认证协议认证成功后,向所述无线局域网络节点发送认证完成,以指示所述无线局域网络节点与所述用户设备之间建立安全连接。
[0028] 再另一方面,本发明实施例还提供一种用户设备,包括:
[0029] 获取模
块,用于获取第一密钥;所述第一密钥为与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的;
[0030] 推演模块,用于根据所述获取模块获取的所述第一密钥和推演参数进行推演得到推演密钥;所述推演参数为所述用户设备与所述网元设备协商确定的;
[0031] 建立模块,用于根据所推演模块推演得到的所述述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接,所述无线局域网络节点获取到的推演密钥与所述用户设备获取的所述推演密钥相同。
[0032] 再另一方面,本发明实施例还提供一种无线局域网络节点设备,其特征在于,包括:
[0033] 接收模块,用于接收用户设备发送的所述用户设备的身份标识符;
[0034] 发送模块,用于向所述用户设备接入的移动通信网络中的网元设备发送携带所述接收模块接收的所述用户设备的身份标识符的密钥请求消息;
[0035] 所述接收模块,还用于接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥;所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到,所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的;所述推演参数为所述用户设备与所述网元设备协商确定的;
[0036] 建立模块,用于基于所述接收模块接收的所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接,所述用户设备获取到的推演密钥与无线局域网络节点获取的所述推演密钥相同。
[0037] 再另一方面,本发明实施例还提供一种网元设备,位于用户设备接入的移动通信网络中,所述网元设备包括:
[0038] 接收模块,用于接收无线局域网络节点发送的密钥请求消息;所述密钥请求消息中携带有所述用户设备的身份标识符;
[0039] 获取模块,用于根据所述接收模块接收的所述密钥请求消息中的所述用户设备的身份标识符,获取对应的推演密钥;所述推演密钥为根据第一密钥和推演参数进行推演得到;所述第一密钥为与所述用户设备在执行空口安全时的共享密钥或者根据与所述用户设备在执行空口安全时的共享密钥推演得出的;所述推演参数为与所述用户设备协商确定的;发送模块,用于向所述无线局域网络节点发送所述获取模块获取到的所述推演密钥,以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接,所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。
[0040] 再另一方面,本发明实施例还提供一种无线局域网络的安全建立系统,包括:如上所述的用户设备、所述的无线局域网络节点设备和所述的网元设备。
[0041] 再另一方面,本发明实施例还提供一种用户设备,包括:
[0042] 获取模块,用于获取第一密钥;所述第一密钥为所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的;
[0043] 生成模块,用于根据所述用户设备的身份标识符和所述获取模块的所述第一密钥推演生成认证用户名和认证信任状;
[0044] 认证模块,用于根据所述生成模块生成的所述认证用户名和所述认证信任状与第一网元设备或者第二网元设备进行扩展认证协议认证,所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备;所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状;或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥,并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状;
[0045] 建立模块,用于在所述认证模块进行扩展认证协议认证完成后与所述无线局域网络节点之间建立安全连接。
[0046] 再另一方面,本发明实施例还提供一种网元设备,位于用户设备接入的移动通信网络中,所述网元设备包括:
[0047] 获取模块,用于获取所述用户设备的认证用户名和认证信任状;所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥推演生成的;所述第一密钥为所述用户设备所述网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的;
[0048] 认证模块,用于根据所述认证用户名和所述认证信任状与用户设备进行扩展认证协议认证;
[0049] 发送模块,用于在所述扩展认证协议认证成功后,向所述无线局域网络节点发送认证完成,以指示所述无线局域网络节点与所述用户设备之间建立安全连接。
[0050] 再另一方面,本发明实施例还提供一种无线局域网络的安全建立系统,包括:如上所述的用户设备和所述的网元设备。
[0051] 本发明实施例的无线局域网络的安全建立方法及系统、设备,UE与WLAN节点之间能够基于推演密钥建立安全连接,推演密钥根据第一密钥和推演参数进行推演得到,第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的;或者UE根据UE的身份标识符和第一密钥推演生成认证用户名和认证密码;并由UE根据认证用户名和认证密码与UE接入的移动通信网络中的网元设备进行EAP认证,并在认证完成后UE与WLAN节点之间建立安全连接。采用本发明实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
附图说明
[0052] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0053] 图1为本发明提供的一种WLAN的安全建立方法的
流程图。
[0054] 图2为本发明另一实施例提供的WLAN的安全建立方法的流程图。
[0055] 图3为本发明再一实施例提供的WLAN的安全建立方法的流程图。
[0056] 图4为本发明一实施例提供的WLAN的安全建立方法的信令图。
[0057] 图5为本发明另一实施例提供的WLAN的安全建立方法的信令图。
[0058] 图6为本发明又一实施例提供的WLAN的安全建立方法的流程图。
[0059] 图7为本发明再另一实施例提供的WLAN的安全建立方法的流程图。
[0060] 图8为本发明一实施例提供的UE的结构示意图。
[0061] 图9为本发明另一实施例提供的UE的结构示意图。
[0062] 图10为本发明实施例提供的WLAN节点设备的结构示意图。
[0063] 图11为本发明一实施例提供的网元设备的结构示意图。
[0064] 图12为本发明另一实施例提供的网元设备的结构示意图。
[0065] 图13为本发明再一实施例提供的UE的结构示意图。
[0066] 图14为本发明再一实施例提供的网元设备的结构示意图。
[0067] 图15为本发明一实施例提供的WLAN的安全建立系统的结构示意图。
[0068] 图16为本发明另一实施例提供的WLAN的安全建立系统的结构示意图。
具体实施方式
[0069] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0070] 图1为本发明提供的一种WLAN的安全建立方法的流程图。如图1所示,本实施例的WLAN的安全建立方法的执行主体为UE。本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0071] 100、UE获取第一密钥;
[0072] 本实施例中的第一密钥为UE与UE接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据UE与UE接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的。
[0073] 101、UE根据第一密钥和推演参数进行推演得到推演密钥;
[0074] 其中该推演参数为UE和网元设备确定的。
[0075] 102、UE根据推演密钥与获取到推演密钥的WLAN节点之间建立安全连接。
[0076] WLAN节点获取到的推演密钥与UE获取的推演密钥相同。亦即本实施例的技术方案在实施时需要WLAN节点亦能够获取到该推演密钥,例如WLAN节点可以向网元设备中请求获取推演密钥,而网元设备是根据第一密钥和推演参数推演得到推演密钥,这样UE和WLAN节点均可以得知该推演密钥,并基于该推演密钥,UE与WLAN节点之间建立安全连接。
[0077] 本实施例中,UE与网元设备均可以获知推演参数,可以认为推演参数是两者协商确定的。推演参数具体可以为一个或者多个。例如推演参数可以为UE和网元设备事先约定好的,或者在推演推演密钥时在线协商的。例如可以由UE提供一些参数作为推演参数,然后告知网元设备。或者由网元设备提供一些参数作为推演参数,然后告知网元设备。或者可以由UE提供一些参数或者由网元设备提供一些参数,然后UE和网元设备交换各自提供的参数,此时对应的推演参数由UE提供给参数和网元设备提供的参数共同组成。
[0078] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0079] 可选地,在上述图1所示实施例的技术方案的
基础上,还可以包括如下可选技术方案,构成图1所示实施例的可选实施例。
[0080] 在图1所示实施例的可选实施例中,在步骤102之前,所述实施例还包括:UE向WLAN节点发送UE的身份标识符,以供WLAN节点根据UE的身份标识符,向网元设备请求获取UE对应的推演密钥。
[0081] 可选地,在图1所示实施例的可选实施例中,步骤101,具体可以包括:UE根据第一密钥和推演参数进行推演得到第二密钥,即此时的推演密钥即为第二密钥。例如UE具体可以采用如下方式:Kw=KDF(K,推演参数)推演得到第二密钥;其中Kw为第二密钥,K为第一密钥,推演参数为UE和网元设备协商确定好的,KDF(,)为一个密钥推演功能(key derivation function;KDF)函数,K和推演参数作为该函数的输入,Kw作为该函数的输出。
[0082] 例如在本发明实施例中可以取第二密钥Kw=HMAC-SHA256(K,“WPA/WPA2 Personal”);哈希消息认证码(Hashed Message Authentication Code;HMAC)是一类密码
算法,HMAC-SHA256(,)表示一个密码算法函数,“WPA/WPA2 Personal”为约定好的用于推演第二密钥Kw的推演参数,用于标识第二密钥Kw被UE和WLAN网络用于通过WPA/WPA2 personal的方式建立WLAN安全连接。通过WPA/WPA2 personal的方式建立WLAN安全连接是UE和WLAN节点基于预共享密钥的方式,建立WLAN安全连接的方法,详细可以参考相关现有技术,在此不再赘述。本实施例中UE和WLAN网络之间的预共享密钥,即为第二密钥Kw。本实施例中K仍为第一密钥。
[0083] 此时对应的步骤102,具体可以为UE根据第二密钥与WLAN节点之间建立安全连接。采用该技术方案,该第二密钥是UE根据第一密钥和与UE协商确定的推演参数进行推演得到,可以保证不同的UE具有不同的第二密钥,每一UE可以基于其对应的第二密钥与WLAN节点之间建立安全连接,从而能够有效地保证UE和WLAN节点之间的安全连接。
[0084] 可选地,在图1所示实施例的可选实施例中,步骤101,具体可以包括:UE根据第一密钥和推演参数进行推演得到第二密钥;UE再根据第二密钥和WLAN节点的身份标识符推演得到第三密钥,其中UE在开始接入WLAN节点的时候,可以获取到WLAN节点的身份标识符。而本实施例中,在网元设备一侧,网元设备也可以获取到该WLAN节点的身份标识符,并根据第二密钥和WLAN节点的身份标识符进行推演得到第三密钥。例如WLAN节点在向网元设备请求密钥时,可以向网元设备发送携带UE的身份标识符和WLAN节点的身份标识符的密钥请求消息。这样网元设备便可以知道需要根据第二密钥和WLAN节点的身份标识符推演第三密钥,并将该第三密钥发送给WLAN节点。这样UE侧和WLAN节点侧均可以获知该第三密钥。例如当WLAN节点的身份标识符为WLAN节点的服务集标识(Service Set Identifier;SSID),该第三密钥可以采用如下方式推演得到:第三密钥=HMAC-SHA256(Kw,WLAN节点的SSID)。HMAC-SHA256(,)表示一个密码算法函数,Kw表示第二密钥。此时对应的步骤102,具体可以为UE根据第三密钥与WLAN节点之间建立安全连接。采用该技术方案,可以保证同一UE在从不同的WLAN节点接入WLAN时,采用不同的第三密钥,与上述每一UE可以基于其对应的第二密钥与WLAN节点之间建立安全连接相比,能够进一步增强UE与WLAN节点之间建立的连接的安全性。当然,在推演第三密钥的过程中,WLAN节点可以将身份标识符发给网元设备,但这不是网元设备唯一获取WLAN节点身份标识符的方法。网元设备可以通过其他方法来获取WLAN节点的身份标识符,例如网元设备可以接收WLAN节点发送的携带UE的身份标识符的密钥请求消息,可以获取该WLAN节点的IP地址,再根据该WLAN节点的IP地址获取该WLAN节点的身份标识符,实际应用中还网元设备还可以采用其他方法获取WLAN节点的身份标识符。此外,WLAN节点也可以是WLAN节点的MAC地址或者其他的能够唯一标识WLAN节点的身份信息。
[0085] 可选地,在图1所示实施例的可选实施例中,UE的身份标识符为UE的媒体
访问控制(Media Access Control;MAC)地址、UE的国际移动用户识别码(International Mobile Subscriber Identification Number;IMSI)、UE的临
时移动用户识别码(Temperate Mobile Subscription Identity;TMSI)、UE的分组临时移动用户识别码(Packet Temperate Mobile Subscription Identity;P-TMSI)、UE的全球唯一临时身份(Globally Unique Temporary Identity;GUTI)、UE的系统架构演进临时移动客户身份(System Architecture Evolution Temporary Mobile Subscriber Identity;S-TMSI)、UE的无线网络临时标识(Radio Network Temporary Identifier;RNTI)或者UE的移动台国际电话综合业务数字网号码(Mobile Station international Integrated Services Digital Network Number;MSISDN)。
[0086] 进一步可选地,当UE的身份标识符为上述除MAC地址之外的其他的时候,网元设备自身能够获取该UE的身份标识符,此时UE不需要向网元设备发送该UE的身份标识符。而当UE的身份标识符为UE的WLAN
接口的MAC地址(或者为网元设备无法从自身获知的UE的其他身份标识符)时,上述方法中的“UE再根据第二密钥和接收网元设备发送的WLAN节点的身份标识符推演得到第三密钥”之前,还包括UE向网元设备发送UE的身份标识符。具体地,UE可以采用加密的方式向网元设备发送UE的身份标识符。
[0087] 可选地,在图1所示实施例的可选实施例中,移动通信网络可以为全球移动通信(Global System For Mobile Communication;GSM)网络、通用移动通讯系统(Universal Mobile Telecommunications System;UMTS)、长期演进(Long Term Evolution;LTE)系统、码分多址(Code Division Multiple Access;CDMA)网络或通用分组无线服务(General Packet Radio Service;GPRS)网络;网元设备可以为GSM网络的基站
控制器(Base Station Controller;BSC)、UMTS的无线网络控制器(Radio Network Controller;RNC)、GPRS网络的服务GPRS支持节点(Serving GPRS Support Node;SGSN)、LTE系统的移动管理实体(Mobility Management Entity;MME)或者基站(如LTE系统中的eNB)。
[0088] 可选地,在图1所示实施例的可选实施例中,对于上述实施例中的步骤100的第一密钥,例如当移动通信网络为GSM网络,对应的网元设备为BSC,UE与BSC之间的共享密钥为Kc。第一密钥K可以为Kc,或根据Kc,使用密钥推演功能推演得到的密钥,如K=KDF(Kc,“K for WLAN”)。
[0089] 当移动通信网络为GPRS网络,对应的网元设备为核心网节点中的SGSN,UE与SGSN之间的共享密钥为Kc,第一密钥K可以为Kc,或根据Kc推演得到的密钥。
[0090] 当移动通信网络为UMTS,对应的网元设备为RNC,UE与SGSN之间进行共享密钥为CK/IK。第一密钥K可以为CK/IK中的任何一个密钥,或根据CK,或IK,或两者推演得到一个密钥,例如可以取第一密钥K=CK||IK。
[0091] 当移动通信网络为LTE,对应的网元设备为核心网节点中的MME,UE与MME之间的共享密钥为Kasme、Knas.int或者Knas.enc。第一密钥K可以为此三个密钥中的任何一个密钥,或根据此三个密钥中的一个或数个密钥推演得到的密钥。例如可以取第一密钥K=Knas.int XOR Knas.enc。
[0092] 当移动通信网络为LTE网络时,对应的网元设备还可以为eNB,UE和eNB之间的共享密钥Kenb、Krrc.int、Krrc.enc、Kup.enc、Kup.int,第一密钥K可以是Kenb、Krrc.int、Krrc.enc、Kup.enc、Kup.int等中的一个密钥,也可以是根据这些密钥中的一个或多个推演得到的密钥。例如在本实施例中,可以取第一密钥K=Kenb。
[0093] 当移动通信网络为LTE网络时,对应的网元设备还可以为eNB时,对应上述实施例中的“UE向网元设备送UE的身份标识符”具体可以采用如下两种方法:
[0094] 方法一:UE在非接入层(Non-Access Stratum;NAS)
安全模式结束(Security mode complete;SMP)消息中将UE的身份标识符发给MME,MME将UE的身份标识符通过S1消息转发给eNB;
[0095] 方法二:UE在RRC消息中将UE的身份标识符发给eNB。
[0096] 可选地,在图1所示实施例的可选实施例中,其中101中UE向网元设备和WLAN节点发送UE的身份标识符(如MAC地址);UE的身份标识符(如MAC地址)可能会暴露用户的隐私,因此需要通过一些方式对UE的身份标识符(如MAC地址)的传输进行安全保护。UE的身份标识符(如MAC地址)的传输可通过如下几种方式进行保护:
[0097] 第一种情况、在加密的消息中传输UE的身份标识符(如MAC地址),例如一些无线资源控制协议(Radio Resource Control;RRC)消息,或者非接入层(Non-Access Stratum;NAS)消息可以进行加密保护,因此可以在这些加密的RRC消息或者NAS消息中传输UE的身份标识符,从而可以保护UE的身份标识符传输的机密性,防止攻击者利用UE的身份标识符对用户的隐私造成危害,如
位置追踪等。
[0098] 其中可加密的RRC消息或者NAS消息可以包括如下消息:附着完成(Attach Complete)消息、路由区域更新(Routing Area Update;RAU)消息完成(Complete)、
跟踪区域更新(Tracking Area Update;)完成(Complete)消息、非接入层安全模式结束(Non-access Stratum Security Mode Complete;NAS SMC)消息或者UE的容量迁移(capability transfer)消息等等。
[0099] 但是,在某些网络中,运营商可能没有开启加密功能。因此所有的RRC/NAS信令都无法进行保护。在这种情况下,UE和控制器/核心网节点可根据第一密钥K推演得到第四密钥Ka。利用第四密钥Ka对UE的身份标识符进行异或操作,从而保证了UE的身份标识符传输的安全性。第四密钥Ka的推演可能也需要一些推演参数的参与。这些推演参数可能需要在UE和网络侧进行交互。本实施例中,推演第四密钥Ka的一个例子是Ka=HMAC-SHA256(K“,MAC anonymity”)。MAC anonymity为一个字符串,用于表示本实施例中密钥推演的目的是用于实现MAC地址隐藏功能。
[0100] 上述实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0101] 图2为本发明另一实施例提供的WLAN的安全建立方法的流程图。如图2所示,本实施例的WALN的安全建立方法的执行主体为WLAN节点。本实施例的WALN的安全建立方法,具体可以包括如下步骤:
[0102] 200、WLAN节点接收UE发送的UE的身份标识符;
[0103] 201、WLAN节点向UE接入的移动通信网络中的网元设备发送携带UE的身份标识符的密钥请求消息;
[0104] 202、WLAN节点接收网元设备发送的UE的身份标识符对应的推演密钥;
[0105] 本实施例中该推演密钥为网元设备根据第一密钥和推演参数进行推演得到,第一密钥为UE与网元设备在执行空口安全时的共享密钥或者根据UE与网元设备在执行空口安全时的共享密钥推演得出的;推演参数为UE与网元设备协商确定的。
[0106] 203、WLAN节点基于推演密钥与获取到推演密钥的UE之间建立安全连接。
[0107] 其中UE获取到的推演密钥与WLAN节点获取的推演密钥相同,亦即本实施例的技术方案在实现时,UE亦能够获取到该推演密钥,例如UE可以根据第一密钥和推演参数推演得到推演密钥,详细可以参考上述图1所示实施例的记载。这样,采用本实施例的技术方案,UE和WLAN节点均可以获取到推演密钥,便能够基于该推演密钥建立安全连接,保证UE与WLAN节点之间通信的安全性。
[0108] 本实施例与上述图1所示实施例的区别仅在于:上述图1所示实施例在UE侧描述本发明的技术方案,而本实施例在WLAN节点侧描述本发明的技术方案,其余实施过程完全相同,详细可以参考上述图1所示实施例的记载,在此不再赘述。
[0109] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0110] 可选地,在上述图2所示实施例的技术方案的基础上,还可以包括如下可选技术方案,构成图2所示实施例的可选实施例。
[0111] 在图2所示实施例的可选实施例中,上述实施例的步骤202中“WLAN节点接收网元设备发送的UE的身份标识符对应的推演密钥”,具体可以包括:WLAN节点接收网元设备发送的UE的身份标识符对应的第二密钥,第二密钥为网元设备根据UE的身份标识符以及网元设备中存储的UE的身份标识符与第二密钥之间的对应关系获取的;第二密钥为网元设备根据第一密钥和推演参数进行推演得到;在该技术方案中,推演密钥为第二密钥。此时对应的步骤203“WLAN节点基于推演密钥与UE之间建立安全连接”,具体可以包括:WLAN节点基于第二密钥与UE之间建立安全连接。采用该技术方案,第二密钥采用第一密钥和与UE协商确定的推演参数进行推演得到,可以保证不同的UE具有不同的第二密钥,每一UE可以基于其对应的第二密钥与WLAN节点之间建立安全连接,从而能够有效地保证UE和WLAN节点之间的安全连接。
[0112] 采用上述方案,不同的UE具有不同的第二密钥,能够增强UE和WLAN节点之间的安全连接;但是当同一UE采用不同的WLAN节点接入WLAN的时候,还是采用相同的第二密钥与WLAN节点建立安全连接,因此还是给UE接入WLAN带来一定的安全隐患,为了解决该问题,可选地,在图2所示实施例的可选实施例中,还可以包括下述方案:
[0113] 上述实施例中的步骤202“WLAN节点接收网元设备发送的UE的身份标识符对应的推演密钥”,具体可以包括:WLAN节点接收网元设备发送的第三密钥,该第三密钥为网元设备根据第二密钥与WLAN节点的身份标识符推演得到的;第二密钥为网元设备根据UE的身份标识符以及网元设备中存储的UE的身份标识符与第二密钥之间的对应关系获取的;第二密钥为网元设备根据第一密钥和与UE协商确定的推演参数进行推演得到。其中网元设备可以接收WLAN节点发送的携带UE的身份标识符的密钥请求消息之后,获取该WLAN节点的IP地址,再根据该WLAN节点的IP地址获取该WLAN节点的身份标识符,实际应用中网元设备还可以采用其他方法获取WLAN节点的身份标识符。此外,WLAN节点可以是WLAN节点SSID、或者WLAN节点的MAC地址或者其他的能够唯一标识WLAN节点的身份信息。
[0114] 对应地上述实施例中的步骤203“WLAN节点基于推演密钥与UE之间建立安全连接”,具体可以包括:WLAN节点基于第三密钥与UE之间建立安全连接。在该方案中推演密钥为第三密钥,采用该技术方案,可以保证同一UE在从不同的WLAN节点接入WLAN时,采用不同的第三密钥,与上述每一UE可以基于其对应的第二密钥与WLAN节点之间建立安全连接相比,能够进一步增强UE与WLAN节点之间建立的连接的安全性。
[0115] 进一步可选地,对于推演密钥为第三密钥时,上述实施例中的步骤201“WLAN节点向UE接入的移动通信网络中的网元设备发送携带UE的身份标识符的密钥请求消息”,具体可以包括:WLAN节点向网元设备发送携带UE的身份标识符和WLAN节点的身份标识符的密钥请求消息。此时网元设备可以直接获取该WLAN节点的身份标识符,而不用再去间接获取该WLAN节点的身份标识符。
[0116] 在图2所示实施例的可选实施例中,上述实施例中的移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0117] 可选地,在图1所示实施例的可选实施例中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0118] 需要说明的是,上述图1所示实施例的可选实施例中的能够应用在WLAN节点侧的可选技术方案,均可以用于在图2所示实施例的可选实施例中,详细可以参考上述图1所示实施例的可选实施例,在此不再赘述。
[0119] 上述实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0120] 图3为本发明再一实施例提供的WLAN的安全建立方法的流程图。如图3所示,本实施例的WLAN的安全建立方法的执行主体为移动通信网络中的网元设备。本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0121] 300、UE接入的移动通信网络中的网元设备接收WLAN节点发送的密钥请求消息;该密钥请求消息中携带有UE的身份标识符;
[0122] 301、网元设备根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥;
[0123] 本实施例中该推演密钥为网元设备根据第一密钥和推演参数进行推演得到;其中第一密钥为网元设备与UE在执行空口安全时的共享密钥或者根据网元设备与UE在执行空口安全时的共享密钥推演得出的。推演参数为网元设备与U协商确定的。
[0124] 302、网元设备向WLAN节点发送推演密钥,以供WLAN节点基于推演密钥与获取到推演密钥的UE之间建立安全连接。
[0125] 其中UE获取到的推演密钥与WLAN节点接收网元设备发送的推演密钥相同。本实施例与上述图1或者图2所示实施例的区别仅在于:上述图1所示实施例在UE侧描述本发明的技术方案,图2所示实施例在WLAN节点侧描述本发明的技术方案,而本实施例在移动通信网络中的网元设备侧描述本发明的技术方案,其余实施过程完全相同,详细可以参考上述图1或者图2所示实施例的记载,在此不再赘述。
[0126] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0127] 可选地,在上述图3所示实施例的技术方案的基础上,还可以包括如下可选技术方案,构成图3所示实施例的可选实施例。
[0128] 在图3所示实施例的可选实施例中,在步骤301之前还包括如下步骤:303、网元设备获取第一密钥。
[0129] 可选地,在图3所示实施例的可选实施例中,步骤303“网元设备获取第一密钥”之后,步骤301“网元设备根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥”之前,还可以包括如下步骤:
[0130] (1)网元设备根据第一密钥和推演参数进行推演得到第二密钥;
[0131] (2)建立第二密钥与UE的身份标识符之间的对应关系。
[0132] 此时对应的步骤301“网元设备根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥”,具体可以包括:网元设备根据第二密钥与UE的身份标识符之间的对应关系、以及密钥请求消息中的UE的身份标识符,获取第二密钥。即本实施例中的推演密钥为第二密钥。
[0133] 此时对应的步骤302“网元设备向WLAN节点发送推演密钥,以供WLAN节点基于推演密钥与UE之间建立安全连接”,具体可以包括:网元设备向WLAN节点发送第二密钥,以供WLAN节点基于第二密钥与UE之间建立安全连接。
[0134] 或者进一步可选地,当在步骤303“网元设备获取第一密钥”之后,步骤301“网元设备根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥”之前,还包括上述步骤(1)和(2)的时候,此时对应的步骤300“网元设备接收WLAN节点发送的携带UE的身份标识符的密钥请求消息”还可以具体包括:网元设备接收WLAN节点发送的携带UE的身份标识符和WLAN节点的身份标识符的密钥请求消息。或者可选地,网元设备接收WLAN节点发送的携带密钥请求消息中也可以不携带WLAN节点的身份标识符,而由网元设备自己去获取WLAN节点的身份标识符,例如网元设备可以接收WLAN节点发送的携带UE的身份标识符的密钥请求消息之后,获取该WLAN节点的IP地址,再根据该WLAN节点的IP地址获取该WLAN节点的身份标识符,实际应用中网元设备还可以采用其他方法获取WLAN节点的身份标识符。此外,WLAN节点可以是WLAN节点SSID、或者WLAN节点的MAC地址或者其他的能够唯一标识WLAN节点的身份信息。
[0135] 此时对应的步骤301“网元设备根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥”,具体可以包括如下步骤:
[0136] (a)网元设备根据第二密钥与UE的身份标识符之间的对应关系、以及密钥请求消息中的UE的身份标识符,获取第二密钥;
[0137] (b)网元设备根据第二密钥与密钥请求消息中的WLAN节点的身份标识符推演得到第三密钥。即该技术方案中,推演密钥为第三密钥。
[0138] 此时对应的步骤302“网元设备向WLAN节点发送推演密钥,以供WLAN节点基于推演密钥与UE之间建立安全连接”,具体可以包括:网元设备向WLAN节点发送第三密钥,以供WLAN节点基于第三密钥与UE之间建立安全连接。
[0139] 可选地,在图3所示实施例的可选实施例中,上述实施例中的移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0140] 可选地,在图3所示实施例的可选实施例中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0141] 进一步可选地,当UE的身份标识符为UE的WLAN接口的MAC地址时,步骤300“网元设备接收WLAN节点发送的携带UE的身份标识符的密钥请求消息”之前,还可以包括:网元设备接收UE发送的UE的身份标识符。例如网元设备具体可以接收UE采用加密的方式发送的UE的身份标识符,例如加密的消息可以为加密的附着完成(Attach Complete)消息、RAU消息完成(Complete)消息、TAU完成(Complete)消息、NAS SMC消息或者UE的容量迁移(capability transfer)消息等等消息。这样,采用上述方案可以对UE的身份标识符进行有效地保护,从而能够有效地保证推演密钥的安全性,进一步有效地增强了UE和WLAN节点之间的安全性连接。
[0142] 需要说明的是,上述图1所示实施例的可选实施例中的能够应用在网元设备侧的可选技术方案,均可以用于在图3所示实施例的可选实施例中,详细可以参考上述图1所示实施例的可选实施例,在此不再赘述。
[0143] 上述实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0144] 图4为本发明一实施例提供的WLAN的安全建立方法的信令图。本实施例在上述实施例的基础上,以移动通信网络为GSM网络,网元设备为BSC,UE的身份标识符为UE的MAC地址为例详细介绍本发明实施例的技术方案。如图4所示,本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0145] 400、UE接入GSM网络,并与GSM网络中的BSC执行空口安全,UE和BSC获取执行空口安全时的共享密钥,并基于该共享密钥获取第一密钥;
[0146] 例如可以参考上述图1-图3所示实施例的记载,第一密钥为该共享密钥或者根据该共享密钥推演得出的。
[0147] 401、UE向BSC发送UE的MAC地址;
[0148] 例如UE可以在RRC消息中携带UE的MAC地址以发送给BSC。本发明实施例中当UE的身份标识符为MAC地址之外的其他时,BSC可以从自身中获取到,可以省去该步骤401。
[0149] 402、UE和BSC根据第一密钥和推演参数推演得到第二密钥;
[0150] 本实施例中该推演参数可以由UE和BSC协商确定。步骤401和步骤402可以无先后顺序。
[0151] 403、BSC存储该UE的MAC地址与第二密钥的对应关系;
[0152] 404、WLAN节点向BSC发送携带UE的MAC地址的密钥请求消息;
[0153] 例如在UE接入WLAN节点时向WLAN节点发送WiFi消息时已经将该UE的MAC地址告诉给WLAN节点,详细可以参考相关现有技术,在此不再赘述。
[0154] 405、BSC根据密钥请求消息中的UE的MAC地址以及UE的MAC地址与第二密钥的对应关系,获取该UE对应的第二密钥;
[0155] 406、BSC向WLAN节点发送给第二密钥;
[0156] 407、UE和WLAN节点基于该第二密钥建立WLAN安全连接。
[0157] 本实施例中WLAN节点向BSC发送的密钥请求消息中还可以携带WLAN节点的身份标识符,此时步骤405之后,可以执行UE和BSC基于该第二密钥和WLAN节点的身份标识符进行推演得到第三密钥,此时对应的BSC向WLAN节点发送该第三密钥,此时对应的UE和WLAN节点基于该第三密钥建立安全连接。
[0158] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于第二密钥或者第三密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0159] 图5为本发明另一实施例提供的WLAN的安全建立方法的信令图。本实施例在上述实施例的基础上,以移动通信网络为LTE网络,网元设备为eNB,UE的身份标识符为UE的MAC地址为例详细介绍本发明实施例的技术方案。如图5所示,本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0160] 500、UE接入LTE网络,并与LTE网络中的eNB执行空口安全,UE和eNB获取执行空口安全时的共享密钥,并基于该共享密钥获取第一密钥;
[0161] 例如可以参考上述图1-图3所示实施例的记载,第一密钥为该共享密钥或者根据该共享密钥推演得出的。
[0162] 501、UE向MME发送UE的MAC地址;
[0163] 例如UE在NAS SMC中将UE的MAC地址发给MME。
[0164] 502、MME向eNB发送UE的MAC地址;
[0165] 例如MME将UE的MAC地址通过S1消息转发给eNB。
[0166] 可选地,UE也可以在RRC消息中将UE的MAC地址发给eNB。
[0167] 本发明实施例中当UE的身份标识符为MAC地址之外的其他时,BSC可以从自身中获取到,可以省去该步骤401。
[0168] 503、UE和eNB根据第一密钥和推演参数推演得到第二密钥;
[0169] 本实施例中该推演参数可以由UE和eNB协商确定。步骤503和步骤501步骤502可以无先后顺序。
[0170] 504、eNB存储该UE的MAC地址与第二密钥的对应关系;
[0171] 505、WLAN节点向eNB发送携带UE的MAC地址和WLAN节点身份标识符的密钥请求消息;
[0172] 例如在UE接入WLAN节点时向WLAN节点发送WiFi消息时已经将该UE的MAC地址告诉给WLAN节点,详细可以参考相关现有技术,在此不再赘述。
[0173] 506、eNB根据密钥请求消息中的UE的MAC地址以及UE的MAC地址与第二密钥的对应关系,获取该UE对应的第二密钥;
[0174] 507、eNB和UE基于该第二密钥和密钥请求消息中的WLAN节点身份标识符推演得到第三密钥;
[0175] 508、eNB向WLAN节点发送给第三密钥;
[0176] 509、UE和WLAN节点基于该第三密钥建立WLAN安全连接。
[0177] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE与WLAN节点之间能够基于第三密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0178] 上述图4和图5仅为本发明实施例的两种可选形式的实施例,根据上述图1-图3所示实施例及对应的可选实施例中,还可以推理得到本发明的其他实施例的信令图,在此不再一一举例赘述。
[0179] 图6为本发明又一实施例提供的WLAN的安全建立方法的流程图。如图6所示,本实施例的WLAN的安全建立方法的执行主体为UE,本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0180] 600、UE获取第一密钥;
[0181] 本实施例中的第一密钥为UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥,或者第一密钥为根据UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的;UE根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0182] 601、UE根据认证用户名和认证信任状与第一网元设备或者第二网元设备进行扩展认证协议(Extensible Authentication Protocol;EAP)认证;
[0183] 602、UE在认证完成后与WLAN节点之间建立安全连接。
[0184] 本实施例中的EAP认证过程详细可以参考现有技术中的EAP认证,在此不再赘述。
[0185] 本实施例中的第二网元设备从第一网元设备处获取认证用户名和认证信任状;或者第二网元设备从第一网元设备处获取UE的身份标识符和第一密钥,并根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。本实施例中的第一网元设备和第二网元设备仅为对两个网元设备进行命名,实际应用中,两个网元设备的名称亦可以互换。
[0186] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,UE根据UE的身份标识符和第一密钥推演生成认证用户名和认证密码;并由UE根据认证用户名和认证密码与UE接入的移动通信网络中的网元设备进行EAP认证,并在认证完成后UE与WLAN节点之间建立安全连接;其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0187] 可选地,上述实施例中的移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0188] 可选地,上述实施例中的UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0189] 图7为本发明再另一实施例提供的WLAN的安全建立方法的流程图。如图7所示,本实施例的WLAN的安全建立方法的执行主体为第一网元设备,本实施例的WLAN的安全建立方法,具体可以包括如下步骤:
[0190] 700、UE接入的移动通信网络中的第一网元设备获取UE的认证用户名和认证信任状;
[0191] 本实施例中的认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥,或者第一密钥为根据UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的。
[0192] 701、第一网元设备根据认证用户名和认证信任状与UE进行EAP认证;
[0193] 702、第一网元设备在EAP认证完成后,向WLAN节点发送认证完成,以指示WLAN节点与UE之间建立安全连接。
[0194] 本实施例与上述图6所示实施例的区别仅在于:上述图6所示实施例在UE侧描述本发明的技术方案,而本实施例在移动通信网络中的第一网元设备侧描述本发明的技术方案,其余实施过程完全相同,详细可以参考上述图6所示实施例的记载,在此不再赘述。
[0195] 本实施例的无线局域网络的安全建立方法,通过采用上述技术方案,第一网元设备获取UE的认证用户名和认证信任状,并根据认证用户名和认证密码与UE进行EAP认证,并在认证完成后,向WLAN节点发送认证完成,以指示WLAN节点与UE之间建立安全连接;其中认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0196] 可选地,在上述图7所示实施例的技术方案的基础上,还可以包括如下可选技术方案,构成图7所示实施例的可选实施例。
[0197] 在图7所示实施例的可选实施例中,步骤700“UE接入的移动通信网络中的第一网元设备获取UE的认证用户名和认证信任状”,具体可以包括如下步骤:
[0198] (1)第一网元设备接收第二网元设备发送的UE的UE的身份标识符和第一密钥,该第一密钥为UE与第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的;
[0199] (2)第一网元设备根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0200] 或者可选地,步骤700“UE接入的移动通信网络中的第一网元设备获取UE的认证用户名和认证信任状”,具体可以包括:第一网元设备接收第二网元设备发送的认证用户名和认证信任状,该认证用户名和认证信任状为第二网元设备根据UE的身份标识符和第一密钥推演生成的,第一密钥为UE与第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。
[0201] 或者进一步可选地,步骤700“UE接入的移动通信网络中的第一网元设备获取UE的认证用户名和认证信任状”,具体可以包括如下步骤:
[0202] (a)第一网元设备获取第一密钥;述第一密钥为第一网元设备与UE在执行空口安全时的共享密钥或者根据共享密钥推演得出的;
[0203] (b)第一网元设备根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0204] 可选地,上述实施例中的移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0205] 可选地,上述实施例中的UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0206] 需要说明的是,上述图6所示实施例的可选实施例中的能够应用在网元设备侧的可选技术方案,均可以用于在图7所示实施例的可选实施例中,详细可以参考上述图6所示实施例的可选实施例,在此不再赘述。
[0207] 通过采用上述实施例的技术方案,第一网元设备获取UE的认证用户名和认证信任状,并根据认证用户名和认证密码与UE进行EAP认证,并在认证完成后,使得UE与WLAN节点之间建立安全连接;其中认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0208] 本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的
硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0209] 图8为本发明一实施例提供的UE的结构示意图。如图8所示,本实施例的UE,具体可以包括获取模块10、推演模块11和建立模块12。
[0210] 其中获取模块10用于获取第一密钥;该第一密钥为本实施例的UE与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥,或者该第一密钥为根据UE与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的。推演模块11与获取模块10连接,推演模块11用于根据获取模块10获取的第一密钥和推演参数进行推演得到推演密钥,推演参数为UE和网元设备协商确定的。建立模块12与推演模块11连接,建立模块用于根据推演模块11推演得到的推演密钥与获取到推演密钥的WLAN节点之间建立安全连接,WLAN节点获取到的推演密钥与UE获取的推演密钥相同,例如WLAN节点可以向网元设备中请求获取推演密钥,网元设备根据第一密钥和推演参数推演得到推演密钥。
[0211] 本实施例中,UE与网元设备均可以获知推演参数,可以认为推演参数是两者协商确定的。推演参数具体可以为一个或者多个。例如推演参数可以为UE和网元设备事先约定好的,或者在推演推演密钥时在线协商的。例如可以由UE提供一些参数作为推演参数,然后告知网元设备。或者由网元设备提供一些参数作为推演参数,然后告知网元设备。或者可以由UE提供一些参数或者由网元设备提供一些参数,然后UE和网元设备交换各自提供的参数,此时对应的推演参数由UE提供给参数和网元设备提供的参数共同组成。
[0212] 本实施例的UE,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,
[0213] 本实施例的UE,通过采用上述模块,UE能够与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0214] 图9为本发明另一实施例提供的UE的结构示意图。如图9所示,本实施例的UE,在上述图8所示实施例的基础上,还可以包括如下技术方案。
[0215] 本实施例的UE中包括发送模块13。该发送模块13用于向WLAN节点发送UE的身份标识符,以供WLAN节点根据UE的身份标识符,向网元设备请求获取UE对应的推演密钥。
[0216] 可选地,本实施例的UE中,推演模块11具体用于根据获取模块10获取的第一密钥和推演参数进行推演得到第二密钥;建立模块12具体用于根据推演模块11推演得打的第二密钥与WLAN节点之间建立安全连接。
[0217] 可选地,本实施例的UE中,推演模块11具体用于根据第一密钥和推演参数进行推演得到第二密钥;并根据第二密钥和WLAN节点的身份标识符推演得到第三密钥;UE在开始接入WLAN节点的时候,可以获取到WLAN节点的身份标识符。而本实施例中,在网元设备一侧,网元设备也可以获取到该WLAN节点的身份标识符,并根据第二密钥和WLAN节点的身份标识符进行推演得到第三密钥。建立模块23具体用于根据推演模块11推演得到的第三密钥与WLAN节点之间建立安全连接。
[0218] 可选地,本实施例的UE中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0219] 进一步可选地,本实施例的UE中的发送模块13还用于当UE的身份标识符为UE的WLAN接口的MAC地址时,向网元设备发送UE的身份标识符。例如该发送模块13具体用于当UE的身份标识符为UE的WLAN接口的媒体访问控制地址时,采用加密的方式向网元设备发送UE的身份标识符。例如本实施例的UE中还可以包括携带模块,用于在附着完成(AttachComplete)消息、RAU消息完成(Complete)消息、TAU完成(Complete)消息、NAS SMC消息或者UE的容量迁移(capability transfer)消息等等中携带UE的身份标识符,并由发送模块13在网元设备发送携带UE的身份标识符的加密的附着完成(Attach Complete)消息、RAU消息完成(Complete)消息、TAU完成(Complete)消息、NAS SMC消息或者UE的容量迁移(capability transfer)消息等等。
[0220] 可选地,本实施例的UE中,移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0221] 上述实施例的UE,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0222] 上述实施例的UE,通过采用上述模块,UE能够与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0223] 图10为本发明实施例提供的WLAN节点设备的结构示意图。如图10所示,本实施例的WLAN节点设备中,具体可以包括:接收模块20、发送模块21和建立模块22。
[0224] 其中接收模块20用于接收UE发送的UE的身份标识符;发送模块21与接收模块20连接,发送模块21用于向UE接入的移动通信网络中的网元设备发送携带接收模块20接收的UE的身份标识符的密钥请求消息;接收模块20还用于接收网元设备发送的UE的身份标识符对应的推演密钥;该推演密钥为网元设备根据第一密钥和推演参数进行推演得到,该第一密钥为UE与网元设备在执行空口安全时的共享密钥,或者该第一密钥为根据UE与网元设备在执行空口安全时的共享密钥推演得出的;推演参数为UE和网元设备协商确定的,例如该推演参数的确定可以参考上述相关实施例的记载。建立模块22与接收模块20连接,建立模块22用于基于接收模块20接收的推演密钥与获取到推演密钥的UE之间建立安全连接,其中UE获取到的推演密钥与WLAN节点获取的所述推演密钥相同,例如UE可以根据第一密钥和推演参数推演得到推演密钥。
[0225] 本实施例的WLAN节点设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0226] 本实施例的WLAN节点设备,通过采用上述模块能够实现UE与WLAN节点之间基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0227] 可选地,在上述图10所示实施例的基础上,接收模块20具体用于接收网元设备发送的UE的身份标识符对应的第二密钥,该第二密钥为网元设备根据UE的身份标识符以及网元设备中存储的UE的身份标识符与第二密钥之间的对应关系获取的;该第二密钥为网元设备根据第一密钥和推演参数进行推演得到;本实施例中推演密钥为第二密钥。建立模块22具体用于基于接收模块20接收的第二密钥与UE之间建立安全连接.
[0228] 或者可选地,在上述图8所示实施例的基础上,发送模块21具体用于向网元设备发送携带接收模块20接收的UE的身份标识符和WLAN节点的身份标识符的密钥请求消息;接收模块20具体用于接收网元设备发送的第三密钥,该第三密钥为网元设备根据第二密钥与WLAN节点的身份标识符推演得到的;该第二密钥为网元设备根据UE的身份标识符以及网元设备中存储的UE的身份标识符与第二密钥之间的对应关系获取的;该第二密钥为网元设备根据第一密钥和推演参数进行推演得到,本实施例中,推演密钥为第三密钥。建立模块22具体用于基于接收模块20接收的第三密钥与UE之间建立安全连接。
[0229] 可选地,在上述图10所示实施例的基础上,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0230] 可选地,在上述图10所示实施例的基础上,移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0231] 上述实施例的WLAN节点设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0232] 上述实施例的WLAN节点设备,通过采用上述模块能够实现UE与WLAN节点之间基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0233] 图11为本发明一实施例提供的网元设备的结构示意图。本实施例的网元设备位于UE接入的移动通信网络中。如图11所示,本实施例的网元设备具体可以包括:接收模块30、获取模块31和发送模块32。
[0234] 其中接收模块30用于接收WLAN节点发送的密钥请求消息,该密钥请求消息中携带有UE的身份标识符;获取模块31与接收模块30连接,获取模块31用于根据接收模块30接收的密钥请求消息中的UE的身份标识符,获取对应的推演密钥;该推演密钥为网元设备根据第一密钥和推演参数进行推演得到;第一密钥为网元设备与UE在执行空口安全时的共享密钥,或者第一密钥为根据网元设备与UE在执行空口安全时的共享密钥推演得出的;该推演参数为网元设备与UE协商确定的;发送模块32与获取模块31连接,发送模块32用于向WLAN节点发送获取模块31获取的推演密钥,以供WLAN节点基于推演密钥与获取到推演密钥的UE之间建立安全连接。其中UE获取到的推演密钥与WLAN节点接收网元设备发送的推演密钥相同。
[0235] 本实施例的网元设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0236] 本实施例的网元设备,通过采用上述模块能够实现UE与WLAN节点之间基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0237] 图12为本发明另一实施例提供的网元设备的结构示意图。如图12所示,本实施例的网元设备,在上述图10所示实施例的基础上,还可以包括如下技术方案。
[0238] 本实施例的网元设备中,获取模块31还用于根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥之前,获取第一密钥。
[0239] 本实施例的网元设备中,还包括推演模块33和建立模块34。其中推演模块33与获取模块31连接,用于在获取模块31获取第一密钥之后,根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥之前,根据获取模块31获取的第一密钥和推演参数进行推演得到第二密钥;建立模块34与推演模块33连接,建立模块34用于建立推演模块33推演得到的第二密钥与UE的身份标识符之间的对应关系。此时对应的获取模块31还与建立模块34连接,具体用于根据建立模块34建立的第二密钥与UE的身份标识符之间的对应关系、以及密钥请求消息中的UE的身份标识符,获取第二密钥;即该技术方案中推演密钥为第二密钥。此时对应的发送模块32具体用于向WLAN节点发送获取模块31获取的第二密钥,以供WLAN节点基于第二密钥与UE之间建立安全连接。
[0240] 或者可选地,本实施例的网元设备中,推演模块33也用于在获取模块31获取第一密钥之后,根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥之前,根据获取模块31获取的第一密钥和推演参数进行推演得到第二密钥;建立模块34也用于建立获取模块31获取的第二密钥与UE的身份标识符之间的对应关系时,接收模块30具体用于接收WLAN节点发送的携带UE的身份标识符和WLAN节点的身份标识符的密钥请求消息;获取模块31具体用于根据建立模块34建立的第二密钥与UE的身份标识符之间的对应关系、以及接收模块30接收的密钥请求消息中的UE的身份标识符,获取第二密钥;并根据第二密钥与密钥请求消息中的WLAN节点的身份标识符推演得到第三密钥;发送模块32具体用于向WLAN节点发送获取模块31获取的第三密钥,以供WLAN节点基于第三密钥与UE之间建立安全连接。即该技术方案中推演密钥为第三密钥。
[0241] 可选地,本实施例的网元设备中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0242] 可选地,本实施例的网元设备中,接收模块30还用于当UE的身份标识符为UE的WLAN接口的MAC地址时,接收UE发送的UE的身份标识符。例如接收模块30还用于当UE的身份标识符为UE的WLAN接口的MAC地址时,接收UE采用加密的方式发送的UE的身份标识符。
[0243] 可选地,本实施例的网元设备中,移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0244] 本实施例的网元设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0245] 本实施例的网元设备,通过采用上述模块能够实现UE与WLAN节点之间基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0246] 图13为本发明再一实施例提供的UE的结构示意图。如图13所示,本实施例的IE,具体可以包括获取模块40、生成模块41、认证模块42和建立模块43。
[0247] 其中获取模块40用于获取第一密钥;该第一密钥为UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥,或者根据UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的;生成模块41根据UE的身份标识符和获取模块40获取的第一密钥推演生成认证用户名和认证信任状;认证模块42与生成模块41连接,认证模块42用于根据生成模块41生成的认证用户名和认证信任状与第一网元设备或者第二网元设备进行EAP认证;第二网元设备为移动通信网络中的所述第一网元设备之外的其他网元设备;第二网元设备从第一网元设备处获取认证用户名和认证信任状;或者第二网元设备从第一网元设备处获取UE的身份标识符和第一密钥,并根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。建立模块43与认证模块42连接,建立模块43用于在认证模块42进行EAP认证完成后与WLAN节点之间建立安全连接。
[0248] 本实施例的UE,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,
[0249] 本实施例的UE,通过采用上述模块UE能够根据UE的身份标识符和第一密钥推演生成认证用户名和认证密码;并由UE根据认证用户名和认证密码与UE接入的移动通信网络中的网元设备进行EAP认证,并在认证完成后UE与WLAN节点之间建立安全连接;其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0250] 可选地,上述图13所示实施例的UE中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0251] 可选地,上述图13所示实施例的UE中,移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0252] 图14为本发明再一实施例提供的网元设备的结构示意图。本实施例的网元设备位于UE接入的移动通信网络中。如图14所示,本实施例的网元设备包括获取模块50、认证模块51和发送模块52。
[0253] 其中获取模块50用于获取UE的认证用户名和认证信任状;该认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与网元设备或者第二网元设备在执行空口安全时的共享密钥,或者第一密钥为根据UE与网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的。认证模块51与获取模块50连接,认证模块51用于根据认证用户名和认证信任状与UE进行EAP认证,发送模块52与认证模块51连接,发送模块52用于在认证模块51进行EAP认证成功后,向WLAN节点发送认证完成,以指示WLAN节点与UE之间建立安全连接。
[0254] 本实施例的网元设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0255] 本实施例的网元设备,通过采用上述模块能够获取UE的认证用户名和认证信任状,并根据认证用户名和认证密码与UE进行EAP认证,并在认证完成后,使得UE与WLAN节点之间建立安全连接;其中认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0256] 可选地,上述图14所示实施例的网元设备中,获取模块50具体用于接收第二网元设备发送的UE的UE的身份标识符和第一密钥,该第一密钥为UE与第二网元设备在执行空口安全时的共享密钥或者根据UE与第二网元设备在执行空口安全时的共享密钥推演得出的;并根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0257] 或者可选地,上述图14所示实施例的网元设备中,获取模块50具体用于接收第二网元设备发送的认证用户名和认证信任状,认证用户名和认证信任状为第二网元设备根据UE的身份标识符和第一密钥推演生成的,第一密钥为UE与第二网元设备在执行空口安全时的共享密钥或者根据UE与第二网元设备在执行空口安全时的共享密钥推演得出的。
[0258] 或者可选地,上述图14所示实施例的网元设备中,获取模块50具体用于获取第一密钥;第一密钥为第一网元设备与UE在执行空口安全时的共享密钥或者根据第一网元设备与UE在执行空口安全时的共享密钥推演得出的;并根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0259] 可选地,上述实施例的UE中,UE的身份标识符为UE的MAC地址、UE的IMSI、UE的TMSI、UE的P-TMSI、UE的GUTI、UE的S-TMSI、UE的RNTI或者UE的MSISDN。
[0260] 可选地,上述实施例的UE中,移动通信网络可以为GSM网络、UMTS、LTE系统、CDMA网络或GPRS网络;网元设备可以为GSM网络的BSC、UMTS的RNC、GPRS网络的SGSN、LTE系统的MME或者LTE系统中的eNB。
[0261] 上述实施例的网元设备,通过采用上述模块实现WLAN的安全建立与上述相关方法实施例的实现机制相同,详细可以参考上述相关方法实施例的记载,在此不再赘述,[0262] 上述实施例的网元设备,通过采用上述模块能够获取UE的认证用户名和认证信任状,并根据认证用户名和认证密码与UE进行EAP认证,并在认证完成后,使得UE与WLAN节点之间建立安全连接;其中认证用户名和认证信任状为根据UE的身份标识符和第一密钥推演生成的;第一密钥为UE与网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据UE与网元设备或者第二网元设备的共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0263] 图15为本发明一实施例提供的WLAN的安全建立系统的结构示意图。如图15所示,本实施例的WLAN的安全建立系统包括:UE60、WLAN节点设备61和网元设备62。UE60、WLAN节点设备61和网元设备62两两互相通信。
[0264] UE60用于获取第一密钥;该第一密钥为UE60与接入的移动通信网络中的网元设备62在执行空口安全时的共享密钥或者根据UE60与网元设备62在执行空口安全时的共享密钥推演得出的。UE60根据第一密钥和推演参数进行推演得到推演密钥。推演参数为UE60和网元设备62协商确定的。UE60还用于向WLAN节点设备61发送UE的身份标识符。
[0265] WLAN节点设备61接收UE60发送UE的身份标识符;向网元设备62发送携带UE的身份标识符的密钥请求消息。
[0266] 网元设备62接收WLAN节点设备61发送的携带UE的身份标识符的密钥请求消息;根据密钥请求消息中的UE的身份标识符,获取对应的推演密钥;该推演密钥为网元设备62根据第一密钥和推演参数进行推演得到;网元设备62向WLAN节点设备61发送获取的推演密钥。
[0267] WLAN节点设备61接收网元设备62发送的UE的身份标识符对应的推演密钥,这样,UE60和WLAN节点设备61都获取到推演密钥,则UE60和WLAN节点设备61根据推演密钥建立安全连接。
[0268] 可选地,本实施例中的UE60具体可以采用上述图8或者图9所示实施例的UE,本实施例中的WLAN节点设备61具体可以采用图8及后续可选实施例中的WLAN节点设备,本实施例中的网元设备62具体可以采用上述图11或者图12所示实施例的网元设备,并可以采用上述图1-图3所示实施例及相应的后续可选实施例的技术方案实现WLAN的安全建立,详细可以参考上述相关实施例的记载,在此不再赘述。
[0269] 本实施例的WLAN的安全建立系统,通过采用上述UE、WLAN节点设备和网元设备,UE与WLAN节点之间能够基于推演密钥建立安全连接,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0270] 图16为本发明另一实施例提供的WLAN的安全建立系统的结构示意图。如图16所示,本实施例的WLAN的安全建立系统包括:UE70和第一网元设备71和WLAN节点设备72。UE70和第一网元设备71和WLAN节点设备72两两互相通信。
[0271] UE70用于获取第一密钥;该第一密钥为UE70与接入的移动通信网络中的第一网元设备71或者第二网元设备(图中未示出)在执行空口安全时的共享密钥,或者根据UE70与第一网元设备71或者第二网元设备在执行空口安全时的共享密钥推演得出的;UE根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状;第一网元设备71也获取UE的认证用户名和认证信任状。
[0272] 例如当第一密钥为UE70与接入的移动通信网络中的第一网元设备71在执行空口安全时的共享密钥或者根据共享密钥推演得出的,第一网元设备71也获取第一密钥;并根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。
[0273] 当第一密钥为UE70与接入的移动通信网络中的第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。此时,第一网元设备71也从第二网元设备处获取认证用户名和认证信任状;认证用户名和认证信任状为第二网元设备根据UE的身份标识符和第一密钥推演生成。或者第一网元设备71也从第二网元设备处获取UE的身份标识符和第一密钥,而由第一网元设备根据UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。第一网元设备71和第二网元设备互相通信。
[0274] 由上述方案,UE70和第一网元设备71都获取到认证用户名和认证信任状,然后由UE70和第一网元设备71根据认证用户名和认证信任状进行EAP认证,并在认证完成后,第一网元设备71向WLAN节点设备72发送认证完成,以指示UE70与WLAN节点设备72之间建立安全连接。其中UE70和第一网元设备71在进行EAP认证的时候,由WLAN节点设备72转发认证消息,具体地在EAP认证时涉及到的认证消息可以参考相关现有技术,
[0275] 可选地,本实施例中的UE70具体可以采用上述图11所示实施例的UE,本实施例中的第一网元设备71具体可以采用上述图14所示实施例的网元设备,并可以采用上述图6-图7所示实施例及相应的后续可选实施例的技术方案实现WLAN的安全建立,详细可以参考上述相关实施例的记载,在此不再赘述。
[0276] 本实施例的WLAN的安全建立系统,通过采用上述UE、WLAN节点设备和网元设备,UE能够根据UE的身份标识符和第一密钥推演生成认证用户名和认证密码;并由UE根据认证用户名和认证密码与UE接入的移动通信网络中的网元设备进行EAP认证,并在认证完成后UE与WLAN节点之间建立安全连接;其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案,能够克服现有技术中WLAN工作在open模式下,UE和WLAN节点之间不建立安全连接,UE和WLAN节点之间的数据以明文方式传输,导致UE与WLAN节点之间通信的安全性能较差的缺陷,采用本发明实施例的技术方案,能够在UE和WLAN节点之间建立安全连接,提高UE与WLAN节点之间通信的安全性。
[0277] 以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0278] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行
修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
