本发明专利技术实施例提供了一种无线局域网接入鉴权方法、设备及系统,涉及通信领域,在3GPP接入网和WLAN接入网为同一个运营商,共享同一份签约数据的场景下,能够实现UE从3GPP和WLAN先后接入到3GPP核心网时的快速鉴权认证。该无线局域网接入鉴权方法,包括:接入点设备通过无线局域网WLAN获取用户设备的用户标识;所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥;所述接入点设备通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息,以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN。发明专利技术实施例用于无线局域网接入。
【技术实现步骤摘要】
【国外来华专利技术】一种无线局域网接入鉴权方法、设备及系统
本专利技术涉及通信领域,尤其涉及一种无线局域网接入鉴权方法、设备及系统。
技术介绍
第三代伙伴计划(The3rdGenerationPartnershipProject,简称3GPP)接入网和无线局域网(WirelessWirelessLocalAreaNetwork,简称WLAN)接入网融合——即3GPP接入网与WLAN接入网在功能上是独立的,但物理上是一体的情况下,现有用户设备(UserEquipment,简称UE)从3GPP网络和WLAN网络先后接入的鉴权过程如图1所示,一般包括:S101、UE接入3GPP网络,发送AttachRequest接入请求到移动性管理网元(MobilityManagementEntity,简称MME)。S102、3GPP网络鉴权与建立NAS(NetworkAccessServer,网络接入服务器)安全过程——即激活完整性保护和NAS加密。在此过程中,UE与MME由主密钥KASME派生出用于NAS加密的密钥KNASint,KNASenc,以及用于UE与eNodeB(evolvedNodeB,基站)之间空口加密的密钥KeNodeB。鉴权成功之后,UE完成3GPP侧的PDN(PacketDataNetwork,分组数据网)连接建立过程。在此过程中,KeNodeB被传送给eNodeB,并由此派生出空口加密所需的密钥KUPenc,KRRCint,KRRCenc。S103、随后,UE从WLAN网络接入,完成层二连接建立。S104、WLAN网络发送扩展认证协议(ExtensibleAuthenticationProtocol,简称EAP)请求消息给UE,触发UE发起鉴权认证。S105、UE发送扩展认证协议响应消息EAP-RSP,其中包括自己的标识。S106、WLAN网络将UE发送的EAP响应消息发送到AAA(AuthenticationAuthorizationAccounting,鉴权,授权和计费)服务器。S107、AAA服务器从归属网络服务器(HomeSubscriberServer,简称HSS)取回鉴权向量。S108、AAA服务器从HSS(HomeSubscriberServer,归属网络服务器)取回签约数据。S109、AAA服务器发送EAP-REQ到WLAN接入网络,其中携带鉴权参数RAND,AUTN。S110、WLAN接入网络将EAP-REQ消息转发给UE。S111、UE检查EAP-REQ消息中的参数,验证网络。并发送EAP-RSP消息给WLAN接入网络。S112、WLAN接入网络将此EAP-RSP消息发送到AAA服务器。S113、AAA服务器发送鉴权认证响应消息EAPSuccess到WLAN接入网络,其中携带密钥MSK(MasterSessionKey,主会话密钥)。S114、WLAN接入网络存储密钥MSK,并通知UE鉴权认证成功。至此UE与WLAN接入网络共享此鉴权认证过程中产生的密钥。由上述过程可以看出,UE从3GPP接入到3GPP核心网时所使用的鉴权认证方式,与UE从WLAN接入到3GPP核心网时所使用的鉴权认证方式不同。换句话说,UE从3GPP和WLAN先后接入到3GPP核心网时,即使3GPP接入网与WLAN接入网为同一个运营商,且共享同一份签约数据,该鉴权认证过程也需要经过两套,这将给连接建立带来较长的时延。
技术实现思路
本专利技术的实施例提供一种无线局域网接入鉴权方法、设备及系统,在3GPP接入网和WLAN接入网为同一个运营商,共享同一份签约数据的场景下,能够实现UE从3GPP和WLAN先后接入到3GPP核心网时的快速鉴权认证。为达到上述目的,本专利技术的实施例采用如下技术方案:一方面,提供一种无线局域网接入鉴权方法,包括:接入点设备通过无线局域网WLAN获取用户设备的用户标识;所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥;所述接入点设备通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息,以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN。一方面,提供一种基站和接入点设备融合实体,包括:第一接收单元,用于通过第三代伙伴计划3GPP网络接收用户设备发送的包含所述用户设备的用户标识的第一消息,提取并保存所述用户标识;密钥获得单元,用于获得用于所述用户设备与所述3GPP网络进行空口加密的密钥,保存所述密钥以及所述密钥和所述用户标识的对应关系;第二接收单元,用于通过无线局域网WLAN获取所述用户设备的所述用户标识;查找单元,用于根据所述用户标识和所述对应关系,查找到所述密钥;发送单元,用于通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息,以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN。一方面,提供一种基站,包括:第一接收单元,用于通过第三代伙伴计划3GPP网络接收用户设备发送的包含所述用户设备的用户标识的第一消息,提取并保存所述用户标识;密钥获得单元,用于获得用于所述用户设备与所述3GPP网络进行空口加密的密钥,保存所述密钥以及所述密钥和所述用户标识的对应关系;第二接收单元,用于接收无线局域网WLAN的接入点设备发送的包含所述用户标识的密钥查询消息;第一发送单元,用于向所述接入点设备发送包含所述密钥的密钥应答消息,以便所述接入点设备从所述密钥应答消息中提取所述密钥并允许所述用户设备使用所述密钥接入所述WLAN。一方面,提供一种接入点设备,包括:第一接收单元,用于通过无线局域网WLAN获取用户设备的用户标识;第一发送单元,用于向预先配置的第三代伙伴计划3GPP网络的基站发送包含所述用户标识的密钥查询消息;第二接收单元,用于从所述基站接收包含所述密钥的密钥应答消息,并从所述密钥应答消息中提取所述密钥;第二发送单元,用于通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息,以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN。一方面,提供一种通信系统,包括:用户设备和上述的基站和接入点设备融合实体。一方面,提供一种通信系统,包括:用户设备、上述的基站、和上述的接入点设备。本专利技术实施例提供的无线局域网接入鉴权方法、设备及系统,在用户设备从WLAN的接入点设备接入3GPP核心网的过程中重用了该用户设备与3GPP网络进行空口加密的密钥。因此,相对现有技术而言,在3GPP接入网和WLAN接入网为同一个运营商,共享同一份签约数据的场景下,用户设备从3GPP和WLAN先后接入到3GPP核心网时不在需要进行两套鉴权认证过程,而是共用了一组密钥,也即只需进行一次鉴权认证即可,大大提高了用户设备从3GPP和WLAN先后接入到3GPP核心网时的鉴权认证速度,降低了连接建立时延。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为现有技术中UE从3GPP网络和WLAN本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种无线局域网接入鉴权方法,其特征在于,包括:接入点设备通过无线局域网WLAN获取用户设备的用户标识;所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥;在所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥之前,所述方法进一步包括:所述3GPP网络的基站通过所述3GPP网络接收所述用户设备发送的包含所述用户标识的第一消息,提取并保存所述用户标识;所述基站获得所述密钥,保存所述密钥以及所述密钥和所述用户标识的对应关系;所述接入点设备通过所述WLAN向所述用户设备发送携带所述密钥或所述密钥的派生密钥的鉴权成功消息,以指示允许所述用户设备使用所述密钥或所述派生密钥接入所述WLAN;其中,所述基站和所述接入点设备为同一实体;所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥,包括:所述接入点设备根据所述用户标识和所述对应关系,查找到所述密钥;或者,所述基站和所述接入点设备为可互通的不同实体;所述接入点设备根据所述用户标识,查找到用于所述用户设备与3GPP网络进行空口加密的密钥,包括:根据预先配置的所述接入点设备和所述基站的对应关系,所述接入点设备向所述基站发送包含所述用户标识的密钥查询消息;所述接入点设备从所述基站接收包含所述密钥的密钥应答消息,并从所述密钥应答消息中提取所述密钥。2.根据权利要求1所述的方法,其特征在于,所述基站获得所述密钥包括:所述基站接收所述用户设备发送的包含所述密钥的初始上下文建立请求消息,提取所述密钥;或者,所述基站接收所述用户设备发送的包含第一密钥的初始上下文建立请求消息,提取所述第一密钥,根据所述第一密钥,派生所述密钥。3.根据权利要求1所述的方法,其特征在于,所述用户标识为所述用户设备的介质访问控制MAC地址,所述第一消息为无线资源控制协议RRC消息;所述接入点设备通过无线局域网WLAN获取所述用户标识包括:所述接入点设备在建立与所述用户设备在所述WLAN中的层二连接过程中,接收所述用户设备发送的包含所述MAC地址的第二消息,并从所述第二消息中提取所述MAC地址。4.根据权利要求1所述的方法,其特征在于,所述用户标识为所述用户设备的国际移动用户识别码IMSI或网络接入识别符NAI,所述第一消息为附着请求消息;所述接入点设备通过无线局域网WLAN获取所述用户标识包括:在所述接入点设备建立与所述用户设备在所述WLAN中的层二连接之后,接收所述用户设备发送的包含所述用户设备的IMSI或NAI的鉴权认证请求消息,从所述鉴权认证请求消息中提取所述IMSI或所述NAI。5.根据权利要求1所述的方法,其特征在于,所述用户标识为所述用户设备的MAC地址,所述第一消息为RRC消息;所述接入点设备通过无线局域网WLAN获取所述用户标识包括:所述接入点设备在建立与所述用户设备在所述WLAN中的层二连接过程中,接收所述用户设备发送的包含所述MAC地址的第二消息,并从所述第二消息中提取所述MAC地址。6.根据权利要求1所述的方法,其特征在于,所述用户标识为所述用户设备的IMSI或NAI,所述第一消息为附着请求消息;所述接入点设备通过无线局域网WLAN获取所述用户标识包括:在所述接入点设备建立与所述用户设备在所述WLAN中的层二连接之后,接收所述用户设备发送的包含所述用户设备的IMSI或NAI的鉴权认证请求消息,从所述鉴权认证请求消息中提取所述IMSI或所述NAI。7.根据权利要求1所述方法,其特征在于,还包括:所述接入点设备...
【专利技术属性】
技术研发人员:李欢,蔡慧,
申请(专利权)人:华为技术有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。