Способ и аппаратура для аутентификации доступа
Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности аутентификации между абонентским терминалом и устройством для доступа в сеть несотовой связи, входящим в состав группы устройств для доступа в сеть несотовой связи. Способ аутентификации доступа содержит этапы, на которых определяют, устройством для доступа в сеть сотовой связи, ключ для осуществления аутентификации безопасности между абонентским терминалом (UE) и устройством для доступа в сеть несотовой связи и указанный ключ совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности; и передают, устройством для доступа в сеть сотовой связи, найденный ключ устройству для доступа в сеть несотовой связи. 8 н. и 16 з.п. ф-лы, 23 ил.
Область техники, к которой относится изобретение
Настоящее изобретение относится к области технологий связи и, в частности, к способу и устройству для аутентификации доступа.
Уровень техники
По причине растущей популярности интеллектуальных терминалов и развития мобильного Интернета трафик данных мобильных сервисов увеличивается взрывным образом. Вследствие этого для сетей связи согласно стандартам, разработанным группой проекта партнерства третьего поколения (3rd Generation Partnership Project (3GPP)), становится труднее соответствовать требованиям растущего трафика данных. Мобильный оператор ослабляет давление трафика на сети стандарта (3GPP-сети) посредством кооперации между 3GPP-сетью и не-3GPP-сетью, например, кооперации между 3GPP-сетью и локальной сетью радиосвязи (Wireless Local Area Network, WLAN).
В системе с кооперацией между существующей сетью WLAN и 3GPP-сетью, когда в 3GPP-сети происходит перегрузка сервисов, все или некоторые сервисы для пользователей, находящихся в зоне обслуживания сети WLAN могут быть выгружены в эту сеть WLAN. При реализации кооперации между сетью WLAN и 3GPP-сетью, по-прежнему нужно учитывать проблемы обеспечения безопасности, когда терминал UE осуществляет связь с 3GPP-сетью с использованием сети WLAN. Поэтому для удобства пользователя необходимо реализовать объединенную аутентификацию между сетью WLAN и 3GPP-сетью.
Сегодняшнее решение состоит в следующем: аутентификация в сети WLAN по-прежнему осуществляется с применением такого же способа аутентификации, который задан в протоколе 3GPP. На сегодня общий способ аутентификации состоит в использовании Расширяемого протокола аутентификации - Соглашения об аутентификации и ключах (Extensible Authentication Protocol-Authentication and Key Agreement, EAP-AKA) согласно стандарту 802.1X. Применение способа аутентификации с использованием протокола EAP-AKA требует развертывания сервера Аутентификации, авторизации и учета (Authentication, Authorization and Accounting, AAA) согласно стандарту 3GPP. После того, как абонентский терминал (User equipment, UE) получит доступ в 3GPP-сеть и с успехом пройдет аутентификацию безопасности, если нужно осуществить передачу с агрегированием нескольких потоков данных, такую как передача данных с агрегированием LTE-WLAN (LTE-WLAN Aggregation, LWA), необходимо сначала произвести аутентификацию терминала UE на сервере AAA, когда терминал UE обращается в сеть WLAN для получения доступа. После того, как аутентификация идентификатора пройдет успешно, терминал UE и точка доступа (Access Point, AP) в сеть WLAN получат ключ, который сервер AAA определит для этой точки AP. Затем терминал UE и точка AP осуществят процедуру четырехэтапной аутентификации квитирования на основе полученного ключа. Терминал UE и точка AP могут осуществлять связь один с другой только после успешной аутентификации. В соответствии с существующими решениями, при использовании протокола EAP-AKA аутентификации, если терминал UE ассоциирован с точкой AP, необходимо сначала осуществить аутентификацию терминала UE на сервере AAA, а также необходимо согласовать путем «переговоров» ключ. Затем терминал UE и точка AP выполняют процедуру четырехэтапной аутентификации квитирования на основе согласованного ключа. Сигнализационное взаимодействие необходимо осуществлять несколько раз в течение всего процесса аутентификации, так что вся процедура оказывается весьма громоздкой и обременительной. Поэтому сигнализационные издержки увеличиваются, а время аутентификации становится относительно большим.
Раскрытие сущности изобретения
Варианты настоящего изобретения предлагают способ и аппаратуру для аутентификации доступа, позволяющие решить присущую известной технике проблему относительно большого времени аутентификации и высоких сигнализационных издержек.
Согласно первому аспекту, один из вариантов настоящего изобретения предлагает способ аутентификации доступа, содержащий:
определение, устройством для доступа в сеть сотовой связи, идентификатора ключа; и
передачу по отдельности, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа абонентскому терминалу UE и устройству для доступа в сеть несотовой связи, где этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
С учетом первого аспекта, в первом возможном варианте реализации этого первого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, идентификатор ключа содержит:
определение, устройством для доступа в сеть сотовой связи, логического функционального объекта, управляющего указанным устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
осуществления, устройством для доступа в сеть сотовой связи, следующего этапа для каждого устройства для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом:
определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи; и
процедура передачи, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи содержит:
передачу, устройством для доступа в сеть сотовой связи устройству для доступа в сеть несотовой связи, соответствующему идентификатору указанного каждого устройства для доступа в сеть несотовой связи, найденного идентификатора ключа, соответствующего каждому устройству для доступа в сеть несотовой связи, и передачу списка идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого рассматриваемым логическим функциональным объектом, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
С учетом первого аспекта, во втором возможном варианте реализации этого первого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, идентификатора ключа содержит:
определение, устройством для доступа в сеть сотовой связи, логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
определение, устройством для доступа в сеть сотовой связи, идентификатора ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи; и
процедура передачи, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи содержит:
передачу по отдельности, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - первого аспекта, либо первого или второго возможных вариантов реализации первого аспекта, в третьем возможном варианте реализации этого первого аспекта, способ дополнительно содержит:
определение, устройством для доступа в сеть сотовой связи, ключа, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и
процедура передачи, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи содержит:
передачу, устройством для доступа в сеть сотовой связи, указанных ключа и идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа.
С учетом любого из объектов - первого аспекта, либо первого или второго возможных вариантов реализации первого аспекта, в четвертом возможном варианте реализации этого первого аспекта, способ дополнительно содержит:
определение, устройством для доступа в сеть сотовой связи, ключа на основе заданного правила вывода, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, и это заданное правило вывода является таким же, как правило вывода, используемое терминалом UE для определения ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи; и
процедура передачи, устройством для доступа в сеть сотовой связи, найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи содержит:
передачу, устройством для доступа в сеть сотовой связи, указанных ключа и идентификатора ключа устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа, и передачу идентификатора ключа терминалу UE.
С учетом какого-либо одного из возможных вариантов реализации первого аспекта с первого по четвертый, в пятом возможном варианте реализации этого первого аспекта, способ дополнительно содержит:
передачу, устройством для доступа в сеть сотовой связи, терминалу UE и/или устройству для доступа в сеть несотовой связи по меньшей мере одного из следующего:
срока действия или информации индикации способа аутентификации, где
срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE.
Согласно второму аспекту, один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа, содержащий:
прием, абонентским терминалом UE, идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, где этот идентификатор ключа используется для передачи терминалу UE команды осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа;
определение, терминалом UE, ключа, соответствующего указанному идентификатору ключа; и
осуществление, терминалом UE, аутентификации безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом.
С учетом второго аспекта, в первом возможном варианте реализации этого второго аспекта, процедура определения, терминалом UE, ключа, соответствующего указанному идентификатору ключа, содержит:
прием, терминалом UE, ключа, соответствующего идентификатору ключа и переданного устройством для доступа в сеть сотовой связи; или
определение, терминалом UE посредством согласования путем «переговоров» с устройством для доступа в сеть сотовой связи, ключа, соответствующего идентификатору ключа; или
определение, терминалом UE согласно заданному правилу вывода, ключа, соответствующего идентификатору ключа.
С учетом второго аспекта или первого возможного варианта реализации второго аспекта, во втором возможном варианте реализации этого второго аспекта, процедура приема, терминалом UE, идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, содержит:
прием, терминалом UE, списка идентификаторов ключей, переданного устройством для доступа в сеть сотовой связи, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, выбранного терминалом UE для ассоциирования, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи; и
процедура осуществления, терминалом UE, аутентификации безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом содержит:
выполнение, терминалом UE, аутентификации безопасности с целевым устройством для доступа в сеть несотовой связи согласно найденным ключу и идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи и входящему в список идентификаторов ключей, где это целевое устройство для доступа в сеть несотовой связи определено терминалом UE или устройством для доступа в сеть сотовой связи.
Согласно третьему аспекту, один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа, содержащий:
прием, устройством для доступа в сеть несотовой связи, идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, где этот идентификатор ключа используется в качестве команды для устройства для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи; и
при приеме запроса ассоциирования, инициированного терминалом UE, с целью ассоциирования его с рассматриваемым устройством для доступа в сеть несотовой связи, осуществление, этим устройством для доступа в сеть несотовой связи, аутентификации безопасности с указанным терминалом UE на основе ключа, соответствующего указанному идентификатору ключа.
Согласно четвертому аспекту, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа, содержащую:
модуль определения, конфигурированный для определения идентификатора ключа; и
передающий модуль, конфигурированный для передачи идентификатора ключа, найденного модулем определения, по отдельности абонентскому терминалу UE и устройству для доступа в сеть несотовой связи, где этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с указанным устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
С учетом четвертого аспекта, в первом возможном варианте реализации этого четвертого аспекта, модуль определения, в частности, конфигурирован для: определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и осуществления для каждого устройства для доступа в сеть несотовой связи, управляемого найденным логическим функциональным объектом следующего этапа: определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи; и
передающий модуль, в частности, конфигурирован для: передачи, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, идентификатора ключа, найденного модулем определения и соответствующего каждому устройству для доступа в сеть несотовой связи, и передачи списка идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
С учетом четвертого аспекта во втором возможном варианте реализации этого четвертого аспекта, модуль определения, в частности, конфигурирован для: определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и определения идентификатора ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи; и
передающий модуль, в частности, конфигурирован для передачи по отдельности идентификатора ключа, найденного модулем определения, терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - четвертого аспекта, либо первого или второго возможных вариантов реализации четвертого аспекта, в третьем возможном варианте реализации этого четвертого аспекта, модуль определения дополнительно конфигурирован для определения ключа, так что этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и
передающий модуль, в частности, конфигурирован для передачи ключа, найденного модулем определения, и идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа.
С учетом любого из объектов - четвертого аспекта, либо первого или второго возможных вариантов реализации четвертого аспекта, в четвертом возможном варианте реализации этого четвертого аспекта, модуль определения дополнительно конфигурирован для определения ключа на основе заданного правила вывода, этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, и это заданное правило вывода является таким же, как правило вывода, используемое терминалом UE для определения ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи; и
передающий модуль, в частности, конфигурирован для: передачи ключа, найденного модулем определения, и идентификатора ключа устройству для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа, и передачи этого идентификатора ключа терминалу UE.
С учетом какого-либо одного из возможных вариантов реализации четвертого аспекта с первого по четвертый, в пятом возможном варианте реализации этого четвертого аспекта, передающий модуль дополнительно конфигурирован для передачи терминалу UE и/или устройству для доступа в сеть несотовой связи по меньшей мере одного из следующего:
срока действия или информации индикации способа аутентификации, где
срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE.
Согласно пятому аспекту, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа, содержащую:
приемный модуль, модуль определения и аутентификационный модуль, где
этот приемный модуль конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, и этот идентификатор ключа используется для передачи команды аутентификационному модулю осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа;
модуль определения конфигурирован для определения ключа, соответствующего идентификатору ключа, принятому посредством приемного модуля; и
аутентификационный модуль конфигурирован для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи в соответствии с идентификатором ключа, принятым посредством приемного модуля, и ключом, найденным модулем определения.
С учетом пятого аспекта, в первом возможном варианте реализации этого пятого аспекта, модуль определения, в частности, конфигурирован для того, чтобы:
когда приемный модуль примет ключ, соответствующий идентификатору ключа и переданный устройством для доступа в сеть сотовой связи, определить ключ, соответствующий идентификатору ключа; или
определить, посредством согласования путем «переговоров» с устройством для доступа в сеть сотовой связи, ключ, соответствующий идентификатору ключа; или
определить, согласно заданному правилу вывода, ключ, соответствующий идентификатору ключа.
С учетом пятого аспекта, или первого возможного варианта реализации пятого аспекта, во втором возможном варианте реализации этого пятого аспекта, приемный модуль, в частности, конфигурирован для приема списка идентификаторов ключей, переданного устройством для доступа в сеть сотовой связи, и этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, подлежащего выбору терминалом UE для ассоциирования, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи;
модуль определения дополнительно конфигурирован для определения целевого устройства для доступа в сеть несотовой связи; и
аутентификационный модуль, в частности, конфигурирован для осуществления аутентификации безопасности с целевым устройством для доступа в сеть несотовой связи в соответствии с найденным ключом и идентификатором ключа, соответствующим идентификатору целевого устройства для доступа в сеть несотовой связи и входящим в список идентификаторов ключей, и это целевое устройство для доступа в сеть несотовой связи определено модулем определения или устройством для доступа в сеть сотовой связи.
Согласно шестому аспекту, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа, содержащую:
приемный модуль и аутентификационный модуль, где
этот приемный модуль конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, и этот идентификатор ключа используется для передачи команды аутентификационному модулю осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с аппаратурой для аутентификации доступа; и
указанный аутентификационный модуль конфигурирован для того, чтобы: когда приемный модуль примет запрос ассоциирования, инициированный терминалом UE, с целью ассоциирования с устройством для доступа в сеть несотовой связи, которому принадлежит рассматриваемый аутентификационный модуль, осуществить аутентификацию безопасности с терминалом UE на основе ключа, соответствующего указанному идентификатору ключа.
Согласно седьмому аспекту, один из вариантов настоящего изобретения далее предлагает систему аутентификации доступа, содержащую:
устройство для доступа в сеть сотовой связи, абонентский терминал UE и по меньшей мере одно устройство для доступа в сеть несотовой связи, где
это устройство для доступа в сеть сотовой связи определяет идентификатор ключа, где этот идентификатор ключа используется для передачи команды терминалу UE осуществить, на основе ключа, соответствующего указанному идентификатору ключа, аутентификацию безопасности с одним из устройств для доступа в сеть несотовой связи в совокупности по меньшей мере из одного устройства для доступа в сеть несотовой связи; и передает идентификатор ключа по отдельности терминалу UE и устройству для доступа в сеть несотовой связи;
указанный терминал UE конфигурирован для того, чтобы: принять идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, и осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего идентификатору ключа; и
указанное устройство для доступа в сеть несотовой связи конфигурировано для того, чтобы принять идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, и осуществить аутентификацию безопасности с терминалом UE на основе ключа, соответствующего идентификатору ключа.
С учетом седьмого аспекта, в первом возможном варианте реализации этого седьмого аспекта, система дополнительно содержит логический функциональный объект, конфигурированный для управления по меньшей мере одним устройством для доступа в сеть несотовой связи;
это устройство для доступа в сеть сотовой связи, в частности, конфигурировано для того, чтобы: определить логический функциональный объект, управляющий устройством для доступа в сеть несотовой связи; осуществить для каждого устройства для доступа в сеть несотовой связи, управляемого этим логическим функциональным объектом, следующий этап: определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи; и передать, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, найденный идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи, и передать список идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи; и
указанный терминал UE, в частности, конфигурирован для того, чтобы: при приеме идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, принять список идентификаторов ключей, переданный устройством для доступа в сеть сотовой связи; и при осуществлении аутентификации безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего идентификатору ключа, осуществить аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи в соответствии с найденным ключом и идентификатором ключа, который соответствует идентификатору целевого устройства для доступа в сеть несотовой связи и входит в список идентификаторов ключей, и это целевое устройство для доступа в сеть несотовой связи определено терминалом UE или устройством для доступа в сеть сотовой связи.
С учетом седьмого аспекта, во втором возможном варианте реализации этого седьмого аспекта, система дополнительно содержит логический функциональный объект, конфигурированный для управления по меньшей мере одним устройством для доступа в сеть несотовой связи;
это устройство для доступа в сеть сотовой связи, в частности, конфигурировано для: определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи; определения идентификатора ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи; и по отдельности передачи найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи; и
указанный терминал UE, в частности, конфигурирован для того, чтобы: при осуществлении аутентификации безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего идентификатору ключа, произвести аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи в соответствии с найденным ключом и идентификатором ключа, соответствующим идентификатору целевого устройства для доступа в сеть несотовой связи, так что это целевое устройство для доступа в сеть несотовой связи определено указанным терминалом UE или указанным устройством для доступа в сеть сотовой связи.
С учетом любого из объектов - седьмого аспекта, либо первого или второго возможных вариантов реализации седьмого аспекта, в третьем возможном варианте реализации этого седьмого аспекта, устройство для доступа в сеть сотовой связи дополнительно конфигурировано для того, чтобы: определить ключ, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и при передаче найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи, передать ключ и идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа; и
указанный терминал UE, в частности, конфигурирован для: приема идентификатора ключа и ключа, соответствующего этому идентификатору ключа, переданных устройством для доступа в сеть несотовой связи, и осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятыми идентификатором ключа и ключом.
С учетом любого из объектов - седьмого аспекта, либо первого или второго возможных вариантов реализации седьмого аспекта, в четвертом возможном варианте реализации этого седьмого аспекта, устройство для доступа в сеть сотовой связи дополнительно конфигурировано для того, чтобы: определить ключ на основе заданного правила вывода, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и при передаче найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи, передать этот ключ и идентификатор ключа устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа, и передачи этого идентификатора ключа терминалу UE; и
при приеме идентификатора ключа, переданного устройством для доступа в сеть несотовой связи, указанный терминал UE определяет ключ на основе заданного правила вывода и осуществляет аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе идентификатора ключа и найденного ключа.
С учетом любого из объектов - седьмого аспекта, либо возможных вариантов реализации седьмого аспекта с первого по четвертый, в пятом возможном варианте реализации этого седьмого аспекта, устройство для доступа в сеть сотовой связи дополнительно конфигурировано для передачи терминалу UE и/или устройству для доступа в сеть несотовой связи по меньшей мере одного из следующего:
срока действия или информации индикации способа аутентификации, где
срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информации индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE.
Согласно техническому решению, предлагаемому в этом варианте настоящего изобретения, устройство для доступа в сеть сотовой связи определяет идентификатор ключа, и затем это устройство для доступа в сеть сотовой связи посылает найденный идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи. И терминал UE, и устройство для доступа в сеть несотовой связи получают этот идентификатор ключа. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего указанному идентификатору ключа, так что время аутентификации мало и сигнализационные издержки низкие.
Согласно восьмому аспекту, один из вариантов настоящего изобретения предлагает способ аутентификации доступа, содержащий:
определение, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи, где этот ключ используется для осуществления аутентификации безопасности между абонентским терминалом UE и устройством для доступа в сеть несотовой связи, и при этом способ определения ключа устройством для доступа в сеть сотовой связи является таким же, как способ определения ключа терминалом UE; и
передачу, устройством для доступа в сеть сотовой связи, найденного ключа устройству для доступа в сеть несотовой связи.
С учетом восьмого аспекта, в первом возможном варианте реализации этого восьмого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи содержит:
формирование, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE, где правило вывода, используемое для формирования ключа, конфигурировано предварительно и является таким же, как правило вывода, предварительно конфигурированное в терминале UE и используемое для формирования ключа.
С учетом восьмого аспекта, во втором возможном варианте реализации этого восьмого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи содержит:
формирование, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE; и
способ дополнительно содержит:
передачу, устройством для доступа в сеть сотовой связи терминалу UE, правила вывода, используемого для формирования ключа, где это правило вывода используется этим терминалом UE для формирования ключа с целью осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
С учетом любого из объектов - восьмого аспекта, либо первого или второго возможных вариантов реализации восьмого аспекта, в третьем возможном варианте реализации этого восьмого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи содержит:
определение, устройством для доступа в сеть сотовой связи, логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
осуществление, устройством для доступа в сеть сотовой связи, для каждого устройства для доступа в сеть несотовой связи, управляемого найденным логическим функциональным объектом, следующего этапа:
определение ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи; и
процедура передачи, устройством для доступа в сеть сотовой связи, найденного ключа устройству для доступа в сеть несотовой связи содержит:
передачу, устройством для доступа в сеть сотовой связи устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, найденного ключа, соответствующего каждому устройству для доступа в сеть несотовой связи.
С учетом любого из объектов - восьмого аспекта, либо первого или второго возможных вариантов реализации восьмого аспекта, в четвертом возможном варианте реализации этого восьмого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи содержит:
определение, устройством для доступа в сеть сотовой связи, логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
определение, устройством для доступа в сеть сотовой связи, ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этом ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - восьмого аспекта, либо первого или второго возможных вариантов реализации восьмого аспекта, в пятом возможном варианте реализации этого восьмого аспекта, процедура определения, устройством для доступа в сеть сотовой связи, ключа для устройства для доступа в сеть несотовой связи содержит:
определение, устройством для доступа в сеть сотовой связи, логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи, и где это по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи; и
определение, устройством для доступа в сеть сотовой связи, ключа для каждой группы устройств для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и использование такого ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим этому идентификатору устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - восьмого аспекта, или возможных вариантов реализации восьмого аспекта с первого по пятый, в шестом возможном варианте реализации этого восьмого аспекта, способ дополнительно содержит:
после определения ключа для устройства для доступа в сеть несотовой связи, определение, устройством для доступа в сеть сотовой связи, идентификатора ключа, соответствующего этому ключу; и передачу этого идентификатора ключа указанному устройству для доступа в сеть несотовой связи.
Согласно девятому аспекту, один из вариантов настоящего изобретения предлагает способ аутентификации доступа, и этот способ содержит:
определение, абонентским терминалом UE, ключа, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи;
определение, терминалом UE, идентификатора ключа, соответствующего найденному ключу; и
осуществление, терминалом UE, аутентификации безопасности с устройством для доступа в сеть несотовой связи с использованием указанных ключа и идентификатора ключа.
С учетом девятого аспекта, в первом возможном варианте реализации этого девятого аспекта, процедура определения, терминалом UE, ключа содержит:
формирование, терминалом UE на основе ключа, совместно используемого с устройством для доступа в сеть сотовой связи, искомого ключа с применением правила вывода, где
это правило вывода передает устройство для доступа в сеть сотовой связи, или это правило вывода предварительно конфигурировано в терминале UE и оно является таким же, как правило, вывода, используемое устройством для доступа в сеть сотовой связи для формирования ключа для устройства для доступа в сеть несотовой связи.
Согласно десятому аспекту, один из вариантов настоящего изобретения предлагает способ аутентификации доступа, и этот способ содержит:
прием, устройством для доступа в сеть несотовой связи, ключа, переданного устройством для доступа в сеть сотовой связи, где этот ключ используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с рассматриваемым устройством для доступа в сеть несотовой связи;
определение этим устройством для доступа в сеть несотовой связи, идентификатора ключа, соответствующего указанному ключу; и
осуществление, устройством для доступа в сеть несотовой связи, аутентификации безопасности с терминалом UE с использованием указанных идентификатора ключа и ключа.
С учетом десятого аспекта, в первом возможном варианте реализации этого десятого аспекта, процедура определения, устройством для доступа в сеть несотовой связи, идентификатора ключа, соответствующего рассматриваемому ключу, содержит:
прием, устройством для доступа в сеть несотовой связи, идентификатора ключа, соответствующего рассматриваемому ключу и переданного устройством для доступа в сеть сотовой связи.
Согласно одиннадцатому аспекту, один из вариантов настоящего изобретения предлагает аппаратуру для аутентификации доступа, так что эта аппаратура применяется к устройству для доступа в сеть сотовой связи и содержит:
процессорный модуль, конфигурированный для определения ключа для устройства для доступа в сеть несотовой связи, где этот ключ используется для осуществления аутентификации безопасности между абонентским терминалом UE и устройством для доступа в сеть несотовой связи, и способ определения ключа процессорным модулем является таким же, как способ определения ключа терминалом UE; и
приемопередающий модуль, конфигурированный для передачи ключа, найденного процессорным модулем, рассматриваемому устройству для доступа в сеть несотовой связи.
С учетом одиннадцатого аспекта, в первом возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль, в частности, конфигурирован для формирования указанного ключа для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE, а правило вывода, используемое для формирования ключа, предварительно конфигурировано и является таким же, как правило вывода, предварительно конфигурированное в терминале UE и используемое для формирования ключа.
С учетом одиннадцатого аспекта, во втором возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль, в частности, конфигурирован для формирования ключа для устройства для доступа в сеть несотовой связи на основе ключа, используемого совместно с терминалом UE; и
приемопередающий модуль дополнительно конфигурирован для передачи, терминалу UE, правила вывода, используемого для формирования ключа, и это правило вывода используется указанным терминалом UE для формирования ключа с целью осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
С учетом любого из объектов - одиннадцатого аспекта, либо первого или второго возможных вариантов реализации одиннадцатого аспекта, в третьем возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль, в частности конфигурирован для того, чтобы:
определить логический функциональный объект, управляющий устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
осуществить для каждого устройства для доступа в сеть несотовой связи, управляемого найденным логическим функциональным объектом, следующий этап: определение ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи; и
при передаче ключа, найденного процессорным модулем, устройству для доступа в сеть несотовой связи, приемопередающий модуль, в частности, конфигурирован для:
передачи, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, ключа, найденного процессорным модулем и соответствующего каждому из устройств для доступа в сеть несотовой связи.
С учетом любого из объектов - одиннадцатого аспекта, либо первого или второго возможных вариантов реализации одиннадцатого аспекта, в четвертом возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль, в частности, конфигурирован для:
определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
определения ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи в совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - одиннадцатого аспекта, либо первого или второго возможных вариантов реализации одиннадцатого аспекта, в пятом возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль, в частности, конфигурирован для:
определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи, и это по меньшей мере одно устройство для доступа в сеть несотовой связи входит по меньшей мере в одну группу устройств для доступа в сеть несотовой связи; и
определения ключа для каждой группы устройств для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в каждую группу устройств для доступа в сеть несотовой связи, являются одинаковыми, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
С учетом любого из объектов - одиннадцатого аспекта, либо возможных вариантов реализации одиннадцатого аспекта с первого по пятый, в шестом возможном варианте реализации этого одиннадцатого аспекта, процессорный модуль дополнительно конфигурирован для того, чтобы: после определения ключа для устройства для доступа в сеть несотовой связи, определить идентификатор ключа, соответствующий этому ключу; и
приемопередающий модуль дополнительно конфигурирован для передачи идентификатора ключа, найденного процессорным модулем, устройству для доступа в сеть несотовой связи.
Согласно двенадцатому аспекту, один из вариантов настоящего изобретения предлагает аппаратуру для аутентификации доступа, так что эта аппаратура применяется к абонентскому терминалу UE и содержит:
модуль определения, конфигурированный для определения ключа, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и определения идентификатора ключа, соответствующего этому ключу; и
аутентификационный модуль, конфигурированный для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи с использованием указанного ключа и идентификатором ключа.
С учетом двенадцатого аспекта, в первом возможном варианте реализации этого двенадцатого аспекта, при определении ключа, модуль определения, в частности, конфигурирован для формирования, на основе ключа, совместно используемого с устройством для доступа в сеть сотовой связи, определяемого ключа с применением правила вывода, где
правило вывода передано устройством для доступа в сеть сотовой связи, или это правило вывода предварительно конфигурировано в терминале UE и является таким же, как правило вывода, используемое устройством для доступа в сеть сотовой связи с целью формирования ключа для устройства для доступа в сеть несотовой связи.
Согласно тринадцатому аспекту, один из вариантов настоящего изобретения предлагает аппаратуру для аутентификации доступа, так что эта аппаратура применяется в устройстве для доступа в сеть несотовой связи и содержит:
приемопередающий модуль, конфигурированный для приема ключа, переданного устройством для доступа в сеть сотовой связи, где этот ключ используется для передачи команды устройству для доступа в сеть несотовой связи с целью осуществления аутентификации безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи; и
процессорный модуль, конфигурированный для определения идентификатора ключа, соответствующего указанному ключу, и для осуществления аутентификации безопасности с терминалом UE с использованием указанным идентификатором ключа и ключа.
С учетом тринадцатого аспекта, в первом возможном варианте реализации этого тринадцатого аспекта, приемопередающий модуль дополнительно конфигурирован для приема идентификатора ключа, соответствующего ключу и переданного устройством для доступа в сеть сотовой связи.
Краткое описание чертежей
Фиг. 1 представляет логическую схему способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 2 представляет логическую схему другого способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 3 представляет логическую схему еще одного способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 4A и Фиг. 4B представляют упрощенные структурные схемы системы сети выгрузки и агрегирования согласно одному из вариантов настоящего изобретения;
Фиг. 5 представляет упрощенную диаграмму способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 6 представляет упрощенную диаграмму другого способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 7 представляет упрощенную схему аппаратуры для аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 8 представляет упрощенную схему другой аппаратуры для аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 9 представляет упрощенную схему еще одной аппаратуры для аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 10 представляет упрощенную структурную схему устройства для доступа в сеть сотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 11 представляет упрощенную структурную схему абонентского терминала согласно одному из вариантов настоящего изобретения;
Фиг. 12 представляет упрощенную структурную схему устройства для доступа в сеть несотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 13 представляет упрощенную структурную схему системы аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 14 представляет логическую схему способа аутентификации доступа, осуществляемого устройства для доступа в сеть сотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 15 представляет логическую схему способа аутентификации доступа, осуществляемого терминалом UE согласно одному из вариантов настоящего изобретения;
Фиг. 16 представляет логическую схему способа аутентификации доступа, осуществляемого устройством для доступа в сеть несотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 17 представляет упрощенную диаграмму способа аутентификации доступа согласно одному из вариантов настоящего изобретения;
Фиг. 18 представляет упрощенную схему аппаратуры для аутентификации доступа, применяемой к устройству для доступа в сеть сотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 19 представляет упрощенную схему аппаратуры для аутентификации доступа, применяемой к терминалу UE согласно одному из вариантов настоящего изобретения;
Фиг. 20 представляет упрощенную схему аппаратуры для аутентификации доступа, применяемой к устройству для доступа в сеть несотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 21 представляет упрощенную схему аппаратуры для аутентификации доступа, применяемой к устройству для доступа в сеть сотовой связи согласно одному из вариантов настоящего изобретения;
Фиг. 22 представляет упрощенную схему устройства для аутентификации доступа, применяемого к терминалу UE согласно одному из вариантов настоящего изобретения; and
Фиг. 23 представляет упрощенную схему устройства для аутентификации доступа, применяемого к устройству для доступа в сеть несотовой связи согласно одному из вариантов настоящего изобретения.
Осуществление изобретения
Для того чтобы сделать цели, технические решения и преимущества настоящего изобретения более ясными, ниже приведено дальнейшее подробное описание настоящего изобретения со ссылками на прилагаемые чертежи. Понятно, что описываемые здесь варианты представляют собой лишь часть, а не все возможные варианты реализации настоящего изобретения. Все другие варианты, которые могут быть получены даже рядовым специалистом в рассматриваемой области на основе представленных здесь вариантов настоящего изобретения без особых творческих усилий, попадут в объем защиты настоящего изобретения.
Варианты настоящего изобретения предлагают способ и устройство для аутентификации доступа с целью решения присущих известной технике проблем, связанных с относительно большим временем аутентификации и высокими сигнализационными издержками. Поскольку принципы решения проблем, применяемые рассматриваемыми способом и устройством, являются одинаковыми, здесь могут быть сделаны перекрестные ссылки между вариантами способа и вариантами аппаратуры, а повторное описание соответствующих моментов будет опущено.
Сначала, некоторые термины, используемые в настоящем описании, будут пояснены для облегчения понимания специалистами в рассматриваемой области.
(1) ''Сеть сотовой связи '' и ' устройство для доступа в сеть сотовой связи''
Понятие ''сеть сотовой связи'' может охватывать, не ограничиваясь этим, сеть сотовой связи согласно какой-либо одной из следующих систем: система согласно стандарту Долговременной эволюции (Long Term Evolution, LTE) или система согласно стандарту Глобальной системы мобильной связи (Global System for Mobile Communications, GSM), системы Многостанционного доступа с кодовым уплотнением Code Division Multiple Access (Code Division Multiple Access, CDMA), системы Многостанционного доступа с временным уплотнением Time Division Multiple Access (Time Division Multiple Access, TDMA), системы Широкополосного многостанционного доступа с кодовым уплотнением (Wideband Code Division Multiple Access, WCDMA), системы Многостанционного доступа с частотным уплотнением (Frequency Division Multiple Address, FDMA), системы Многостанционного доступа с ортогональным частотным уплотнением (Orthogonal Frequency-Division Multiple Access, OFDMA), системы FDMA с одной несущей (SC-FDMA), системы Пакетной радиосвязи общего пользователя (General Packet Radio Service, GPRS) или Универсальной мобильной телекоммуникационной системы (Universal Mobile Telecommunications System, UMTS), связанной с протоколами 3GPP.
Указанное ''устройство для доступа в сеть сотовой связи'' может представлять собой базовую станцию, такую как узел eNB в системе LTE, базовая приемопередающая система BTS (Base Transceiver Station) в системе GSM или системе CDMA, либо узел NodeB в системе WCDMA, или может представлять собой узел управления, такой как единый координатор сети радио доступа (SRC (Single RAN Coordinator)) в системе LTE или контроллер сети радиосвязи (RNC (Radio Network Controller)) в системе UMTS.
(2) ''Сеть несотовой связи '' и ''устройство для доступа в сеть несотовой связи''
Термин ''сеть несотовой связи'' может охватывать, не ограничиваясь этим, что-либо из следующего: сеть WLAN или сеть Всемирного взаимодействия для доступа в микроволновом диапазоне (Worldwide Interoperability for Microwave Access, WIMAX).
Указанное ''устройство для доступа в сеть несотовой связи'' может представлять собой точку доступа (Access Point, AP) или контроллер доступа (Access Controller, AC) в сеть WLAN, или может быть базовой станцией (Base Station, BS) в сети WIMAX.
В тех вариантах настоящего изобретения, где сеть несотовой связи представляет собой сеть WLAN, указанное ''устройство для доступа в сеть несотовой связи'' может, в частности, иметь автономную архитектуру управления (иными словами, архитектуру ''fat'' AP) или централизованную архитектуру управления (иными словами, архитектуру ''fit'' AP).
В автономной архитектуре управления точка доступа WLAN AP отвечает за такие задачи, как доступ абонентского терминала, разъединение абонентского терминала, аутентификация управления, реализацию политики безопасности, переадресацию данных, шифрование данных и управление сетью связи, а также автономно управляет операциями и функцией радиосвязи точки WLAN AP. Централизованная архитектура управления, также называется архитектурой ''fit'' AP, а управление разрешением в общем случае централизовано в контроллере доступа (Access Controller, AC). Контроллер AC управляет IP-адресом, аутентификацией, шифрованием и другими подобными функциями абонентского терминала. Точка WLAN AP имеет только такие функции, как шифрование, переадресация данных и высокочастотные функции, и не может работать независимо. Для взаимодействия между точкой WLAN AP и контроллером AC используется Протокол Управления и предоставления точек беспроводного доступа (Control And Provisioning of Wireless Access Points, CAPWAP). В качестве опции, точка WLAN AP и базовая станция могут быть развернуты интегрированным способом. Для облегчения понимания и упрощения описания далее в качестве примера использована автономная архитектура управления, иными словами, архитектура ''fat'' AP. Однако настоящее изобретение этим не ограничивается.
(3) Логический функциональный объект
В общем случае, устройство для доступа в сеть сотовой связи и устройство для доступа в сеть несотовой связи не могут осуществлять связь одно с другим напрямую, а поддерживают такую связь одно с другим с использованием логического функционального объекта. В частности, такой логический функциональный объект может представлять собой устройство в сети сотовой связи или может представлять собой устройство в сети несотовой связи.
В качестве опции, когда сеть несотовой связи представляет собой сеть WLAN, указанный логический функциональный объект может быть устройством в сети WLAN, и может быть, в частности, оконечной станцией сети WLAN (WLAN Termination, WT). В сети WLAN, оконечная станция WT и точка AP могут быть расположены вместе, либо оконечная станция WT и контроллер AC могут быть расположены вместе, либо оконечная станция WT может быть независимой от точки AP и контроллера AC.
(4) Соответствия (также называемые соотношениями соединения) между узлом eNB, оконечной станцией WT, точкой AP и терминалом UE
Один узел eNB может быть соединен с одной или несколькими оконечными станциями WT, иными словами, один узел eNB может поддерживать одну или несколько оконечных станций WT. Одна оконечная станция WT может поддерживать одну или несколько групп точек AP (AP Group). Одна группа точек AP содержит одну или несколько точек AP. В общем случае, одна оконечная станция WT соединена с одним узлом eNB. В частности, оконечная станция WT, расположенная в общей зоне обслуживания нескольких узлов eNB, может быть соединена с несколькими терминалами eNB. Одна точка AP может быть соединена с одним или несколькими терминалами UE.
В общем случае, узел eNB непосредственно осуществляет связь с оконечной станцией WT, а терминал UE непосредственно осуществляет связь с точкой AP в сети несотовой связи.
(5) Многопотоковое агрегирование
Термин ''Многопотоковое агрегирование'', используемый в настоящем описании, означает, означает, что какие-то данные для передачи в процессе осуществления связи между устройством для доступа в сеть сотовой связи и терминалом UE, иными словами, данные для осуществления многопотокового агрегирования, передают с использованием устройства для доступа в сеть несотовой связи, а другие данные для передачи в процессе осуществления связи между этим устройством для доступа в сеть сотовой связи и этим терминалом UE, иными словами, данные, не предназначенные для многопотокового агрегирования, передают напрямую между рассматриваемыми устройством для доступа в сеть сотовой связи и терминалом UE. Указанные устройство для доступа в сеть сотовой связи и устройство для доступа в сеть несотовой связи осуществляют связь одно с другим с использованием логического функционального объекта.
Термин ''многопотоковое агрегирование'' охватывает многопотоковое агрегирование в нисходящей линии и многопотоковое агрегирование в восходящей линии. Сеть сотовой связи может поддерживать только многопотоковое агрегирование в нисходящей линии, или может поддерживать только многопотоковое агрегирование в восходящей линии, или может поддерживать и многопотоковое агрегирование в нисходящей линии, и многопотоковое агрегирование в восходящей линии.
(6) Абонентский терминал UE
Терминал UE согласно настоящему изобретению может содержать ручное устройство, автомобильное устройство, носимое устройство, компьютерное устройство, имеющее функцию радиосвязи, либо другое процессорное устройство, соединенное с беспроводным модемом, или абонентский терминал в различных формах. Термин «абонентский терминал» охватывает, не исчерпываясь этим, станцию (Station, STA), мобильную станцию (Mobile Station, MS), абонентский модуль (Subscriber unit), персональный компьютер (Personal Computer, PC), портативный компьютер (Laptop Computer, LC), планшетный компьютер (Tablet Computer, TC), компьютер нетбук (Netbook), терминал (Terminal), персональный цифровой помощник (Personal Digital Assistant, PDA), мобильная точка доступа WiFi (MiFi Devices), «умные» часы, «умные» очки или другое подобное устройство. Компоненты терминала UE могут быть распределены по всей сети связи. Для простоты описания, в настоящей заявке, эти устройства называются абонентским терминалом или терминалом UE.
(7) Термин "и/или" в этом описании обозначает только соотношение ассоциирования для описания ассоциированных объектов и указывает, что могут существовать три вида соотношений. Например, выражение «A и/или B» может представлять следующие три случая: Только A существует, существуют и A, и B, и существует только B. Кроме того, символ "/" в настоящем описании обычно обозначает соотношение "или" между ассоциированными объектами.
Один из вариантов настоящего изобретения предлагает способ аутентификации доступа. Как показано на Фиг. 1, способ содержит следующие этапы.
Этап 101: Устройство для доступа в сеть сотовой связи определяет идентификатор ключа.
Этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Указанное устройство для доступа в сеть сотовой связи может определить, для терминала UE, одинаковый идентификатор ключа для всех устройств для доступа в сеть несотовой связи, управляемых логическим функциональным объектом, или может определить, для терминала UE, одинаковый идентификатор ключа для всех устройств для доступа в сеть несотовой связи в каждой группе устройств для доступа в сеть несотовой связи в логическом функциональном объекте, или может определить, для терминала UE, различные идентификаторы ключей для всех устройств для доступа в сеть несотовой связи в составе всех групп устройств для доступа в сеть несотовой связи в логическом функциональном объекте.
Указанный идентификатор ключа может быть определен устройством для доступа в сеть сотовой связи на основе идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи с использованием алгоритма хеширования (HASH). В качестве альтернативы, идентификатор ключа может быть определен только на основе идентификатора терминала UE. Безусловно, этот идентификатор ключа может быть определен с использованием другого алгоритма, и алгоритм определения идентификатора ключа в рассматриваемом варианте настоящего изобретения ничем специально не ограничен.
Этап 102: Указанное устройство для доступа в сеть сотовой связи передает найденный идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи, и этот идентификатор ключа используется для передачи команды терминалу UE для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Согласно техническому решению, предлагаемому в рассматриваемом варианте настоящего изобретения, устройство для доступа в сеть сотовой связи определяет идентификатор ключа, и затем это устройство для доступа в сеть сотовой связи передает найденный идентификатор ключа напрямую терминалу UE и устройству для доступа в сеть несотовой связи. И терминал UE, и указанное устройство для доступа в сеть несотовой связи получают этот идентификатор ключа. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего указанному идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
В качестве опции, устройство для доступа в сеть сотовой связи передает идентификатор ключа устройству для доступа в сеть несотовой связи с использованием логического функционального объекта. В частности, логический функциональный объект и устройство для доступа в сеть несотовой связи осуществляют связь один с другим с использованием частного интерфейса. В рамках настоящего изобретения этот момент ничем не ограничен.
В качестве опции, при передаче идентификатора ключа терминалу UE, устройство для доступа в сеть сотовой связи ассоциирует идентификатор устройства для доступа в сеть несотовой связи с идентификатором ключа и передает этот идентификатор устройства для доступа в сеть несотовой связи и этот идентификатор ключа. В частности, указанные идентификатор устройства для доступа в сеть несотовой связи и идентификатор ключа могут быть переданы в форме таблицы. В качестве альтернативы, идентификатор устройства для доступа в сеть несотовой связи и идентификатор ключа могут быть переданы по отдельности. Например, если идентификаторы ключей, найденные для всех устройств для доступа в сеть несотовой связи, являются одинаковыми, только один идентификатор ключа нужно передать терминалу UE.
Устройство для доступа в сеть сотовой связи передает идентификатор ключа устройству для доступа в сеть несотовой связи. Когда терминал UE ассоциирован с устройством для доступа в сеть несотовой связи, этому устройству для доступа в сеть несотовой связи нужно только определить, идентификатор ключа, передаваемый в составе запроса ассоциирования, переданного терминалом UE, является таким же, как идентификатор ключа, сохраняемого устройством для доступа в сеть несотовой связи. Когда идентификаторы ключей являются одинаковыми, терминал UE и устройство для доступа в сеть несотовой связи осуществляют четырехэтапную аутентификацию квитирования с использованием ключа, соответствующего идентификатору ключа.
Идентификатор устройства для доступа в сеть несотовой связи может представлять собой идентификатор набора услуг (Service Set Identifier, SSID), идентификатор расширенного набора услуг (Extended service set Identifier, ESSID), или идентификатор базового набора услуг (Basic Service Set Identifier, BSSID) относительно устройства для доступа в сеть несотовой связи. Идентификатор BSSID устройства для доступа в сеть несотовой связи также представляет собой адрес управления доступом к среде (Medium Access Control, MAC-адрес) устройства для доступа в сеть несотовой связи. Идентификатор терминала UE может представлять собой MAC-адрес терминала UE в сети WLAN (далее WLAN MAC-адрес).
В частности, когда устройство для доступа в сеть сотовой связи передает идентификатор ключа терминалу UE, этот идентификатор ключа может быть передан независимо или может быть включен в состав информации о защищенном соединении с парными главными ключами (Pairwise Master Key Security Association, PMKSA) для передачи, или может быть включен в состав командного сообщения агрегирования LWA для передачи. В качестве альтернативы, идентификатор ключа может быть включен в состав другого, вновь созданного сообщения для передачи, так что это сообщение используется для передачи команды терминалу UE осуществить агрегирование LWA.
Когда устройство для доступа в сеть сотовой связи передает идентификатор ключа устройству для доступа в сеть несотовой связи, этот идентификатор ключа может быть передан независимо. Когда логический функциональный объект и устройство для доступа в сеть несотовой связи представляют собой один и тот же узел, указанный идентификатор ключа может быть включен в состав сообщения установления туннеля согласно протоколу туннелирования GPRS в абонентской плоскости (User plane of GPRS Tunneling Protocol, GTP-U), переданного устройством для доступа в сеть сотовой связи логическому функциональному объекту, или может быть включен в другое, вновь определенное сообщение для передачи. Когда логический функциональный объект и устройство для доступа в сеть несотовой связи не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи добавляет идентификатор ключа к сообщению установления туннеля по протоколу GTP-U и передает это сообщение установления туннеля по протоколу GTP-U логическому функциональному объекту. Затем этот логический функциональный объект передает указанное сообщение установления туннеля по протоколу GTP-U устройству для доступа в сеть несотовой связи.
В качестве опции, устройство для доступа в сеть сотовой связи может далее передавать терминалу UE и/или устройству для доступа в сеть несотовой связи по меньшей мере одно из следующего:
срок действия или информацию индикации способа аутентификации.
Срок действия используется для индикации периодов действительности идентификатора ключа и ключа, соответствующего этому идентификатору ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, используемого терминалом UE. Этот тип аутентификации может представлять собой тип аутентификации, заданный протоколов Аутентификации и управления ключами (Authentication and Key Management Protocol, AKMP), например, способ кэширования согласно стандарту 802.1X EAP-AKA.
В частности, по меньшей мере один объект из состава указанной выше информации может быть включен в параметр PMSKA для передачи. В качестве альтернативы, идентификатор ключа и по меньшей мере один объект из состава указанной выше информации могут быть включены в одно и то же сообщение для передачи.
В качестве опции, ключ, соответствующий идентификатору ключа может быть определен каким-либо из способов, включая, но не ограничиваясь, приведенные ниже способы.
Первый вариант реализации:
Ключ, соответствующий идентификатору ключа, может быть определен устройством для доступа в сеть сотовой связи. После определения ключа устройство для доступа в сеть сотовой связи передает этот ключ и идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования ключа с идентификатором ключа. Поэтому, ключ и идентификатор ключа могут быть включены в информацию PMSKA для передачи или могут быть включены в одно и то же сообщение для передачи. Относительно конкретного сообщения обратитесь к предшествующему описанию, так что подробности в этом варианте настоящего изобретения повторно описаны не будут.
Ключ, найденный устройством для доступа в сеть сотовой связи, может представлять собой ключ, совместно используемый терминалом UE и устройством для доступа в сеть сотовой связи, например, один из ключей KeNB, KRRCint, KRRCenc, KUPenc, KUPint, или другой подобный ключ, либо может представлять собой ключ, сформированный в соответствии с одним из указанных выше ключей.
Идентификатор ключа может быть определен устройством для доступа в сеть сотовой связи на основе идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен на основе только идентификатора терминала UE, либо может быть определен с использованием, ключа, идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен с использованием ключа и идентификатора терминала UE.
Например, PMKID=HMAC-SHA1-128(PMK, ''PMK_name''|MAC_AP|MAC_UE).
Здесь параметр PMKID представляет идентификатор ключа, параметр PMK представляет ключ, параметр PMK_name представляет имя ключа, и параметр MAC_UE представляет идентификатор терминала UE, иными словами, WLAN MAC-адрес терминала UE. Параметр MAC_AP представляет идентификатор устройства для доступа в сеть несотовой связи, иными словами, MAC-адрес устройства для доступа в сеть несотовой связи. Параметр HMAC представляет собой хеш-код аутентификации сообщения (Hash-based Message Authentication Code), относящийся к рассматриваемому ключу. Алгоритм SHA1 представляет собой алгоритм безопасного хеширования (Secure Hash Algorithm).
Второй вариант реализации:
Ключ, соответствующий идентификатору ключа, может представлять собой ключ, найденный устройством для доступа в сеть сотовой связи и терминалом UE на основе заданного правила вывода и предназначенный для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи. Тогда устройство для доступа в сеть сотовой связи передает найденный ключ устройству для доступа в сеть несотовой связи. Указанное заданное правило вывода может быть задано терминалом UE и устройством для доступа в сеть сотовой связи посредством согласования путем «переговоров».
В частности, устройство для доступа в сеть сотовой связи определяет, на основе указанного заданного правила вывода, ключ для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи, и затем определяет идентификатор ключа, соответствующий этому ключу. Затем устройство для доступа в сеть сотовой связи передает этот идентификатор ключа и этот ключ устройству для доступа в сеть несотовой связи, а также передает этот идентификатор ключа терминалу UE. Прежде установления ассоциирования с устройством для доступа в сеть несотовой связи, терминал UE сначала определяет, согласно указанному заданному правилу вывода, ключ, соответствующий идентификатору ключа.
Терминал UE добавляет идентификатор ключа к запросу ассоциирования и передает этот запрос ассоциирования устройству для доступа в сеть несотовой связи. Затем, если устройство для доступа в сеть несотовой связи определяет, что принятый идентификатор ключа, переданный терминалом UE, является таким же, как идентификатор ключа, хранящийся в этом устройстве для доступа в сеть несотовой связи, терминал UE и устройство для доступа в сеть несотовой связи выполняют процедуру четырехэтапного квитирования на основе ключа, соответствующего идентификатору ключа. После успешного завершения четырехэтапной аутентификации квитирования устройство для доступа в сеть сотовой связи может осуществить передачу данных, полученных в результате многопотокового агрегирования, с терминалом UE с использованием устройства для доступа в сеть несотовой связи.
Третий вариант реализации:
Устройство для доступа в сеть сотовой связи формирует идентификатор ключа на основе правила вывода с применением ключа, совместно используемого терминалом UE и устройством для доступа в сеть сотовой связи. Затем устройство для доступа в сеть сотовой связи передает это правило вывода терминалу UE и устройству для доступа в сеть несотовой связи, а также передает, устройству для доступа в сеть несотовой связи, ключ, совместно используемый этим устройством для доступа в сеть сотовой связи и терминалом UE. После приема идентификатора ключа, терминал UE и устройство для доступа в сеть несотовой связи формируют, на основе одинакового правила вывода в соответствии с совместно используемым ключом, ключи, соответствующие рассматриваемому идентификатору ключа. Поэтому сформированные ключи являются одинаковыми.
Затем, терминал UE добавляет этот идентификатор ключа к запросу ассоциирования и передает этот запрос ассоциирования устройству для доступа в сеть несотовой связи. Далее, если устройство для доступа в сеть несотовой связи определит, что принятый идентификатор ключа, переданный терминалом UE, является таким же, как идентификатор ключа, сохраняемый этим устройством для доступа в сеть несотовой связи, терминал UE и устройство для доступа в сеть несотовой связи выполняют процедуру четырехэтапного квитирования на основе ключа, соответствующего рассматриваемому идентификатору ключа. После успешного завершения четырехэтапной аутентификации квитирования устройство для доступа в сеть сотовой связи может осуществить передачу данных, полученных в результате многопотокового агрегирования, с терминалом UE с использованием устройства для доступа в сеть несотовой связи.
В одном из вариантов, устройство для доступа в сеть несотовой связи и логический функциональный объект представляют собой один и тот же узел. Тот факт, что устройство для доступа в сеть несотовой связи и логический функциональный объект представляют собой один и тот же узел, может означать, что функции устройства для доступа в сеть несотовой связи и логического функционального объекта реализованы с использованием одного и того же устройства, либо может означать, что этот логический функциональный объект встроен в устройство для доступа в сеть несотовой связи. Если логический функциональный объект встроен в устройство для доступа в сеть несотовой связи, в этом случае имеется внутренний интерфейс между логическим функциональным объектом и устройством для доступа в сеть несотовой связи, а логический функциональный объект и устройство для доступа в сеть несотовой связи обмениваются информацией с использованием этого внутреннего интерфейса.
Устройство для доступа в сеть сотовой связи может определить, следующим образом, идентификатор ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи:
Устройство для доступа в сеть сотовой связи определяет, согласно отчету об измерениях, переданному терминалом UE, устройство для доступа в сеть несотовой связи, с которым необходимо ассоциировать терминал UE. Этот отчет об измерениях содержит информацию о качестве сигнала в сети WLAN, в которой находится терминал UE. Устройство для доступа в сеть сотовой связи выбирает для терминала UE устройство для доступа в сеть несотовой связи, находящееся в сети WLAN с относительно высоким качеством сигнала.
В частности, после приема сообщения запроса измерительной конфигурации, переданного устройством для доступа в сеть сотовой связи, терминал UE может измерить качество сигнала в сети WLAN, в которой находится этот терминал UE, и передать, устройству для доступа в сеть сотовой связи, отчет об измерениях, сформированный на основе результатов измерений.
Устройство для доступа в сеть сотовой связи определяет идентификатор ключа, соответствующий устройству для доступа в сеть несотовой связи, выбранному для терминала UE. Этот идентификатор ключа используется для передачи команды этому терминалу UE осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Относительно способа определения ключа, соответствующего идентификатору ключа, обратитесь к одному из указанных вариантов реализации с первого по третий, так что в рассматриваемом варианте настоящего изобретения подробности повторно описаны не будут.
Затем, устройство для доступа в сеть сотовой связи передает, устройству для доступа в сеть несотовой связи, найденный идентификатор ключа, соответствующий устройству для доступа в сеть несотовой связи, выбранному для терминала UE.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи может определить идентификатор ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, которому принадлежит устройство для доступа в сеть несотовой связи, подлежащее ассоциированию с терминалом UE. Это устройство для доступа в сеть сотовой связи определяет каждое устройство для доступа в сеть несотовой связи, управляемое рассматриваемым логическим функциональным объектом. Затем это устройство для доступа в сеть сотовой связи осуществляет следующие этапы для каждого устройства для доступа в сеть несотовой связи: определение идентификатора ключа, соответствующего каждому устройству для доступа в сеть несотовой связи. Этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Устройство для доступа в сеть несотовой связи, которое должно быть ассоциировано с терминалом UE выбирает для этого терминала UE устройство для доступа в сеть сотовой связи. Подлежащее ассоциированию устройство для доступа в сеть несотовой связи выбирают для определения логического функционального объекта, так что можно определить все устройства для доступа в сеть несотовой связи, управляемые этим логическим функциональным объектом. Конкретный способ выбора может быть следующим: После приема сообщения запроса измерительной конфигурации, переданного устройством для доступа в сеть сотовой связи, терминал UE может измерить качество сигнала в сети WLAN, в которой находится этот терминал UE, и передать, устройству для доступа в сеть сотовой связи, отчет об измерениях, сформированный на основе результатов измерений. Устройство для доступа в сеть сотовой связи определяет, согласно отчету об измерениях, переданному терминалом UE, устройство для доступа в сеть несотовой связи, с которым необходимо ассоциировать рассматриваемый терминал UE. Например, устройство для доступа в сеть сотовой связи выбирает устройство для доступа в сеть несотовой связи в сети WLAN, обеспечивающей относительно высокое качество сигнала для этого терминала UE.
Далее, устройство для доступа в сеть сотовой связи передает найденный идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи передает, с использованием логического функционального объекта, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, найденный идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи, и передает список идентификаторов ключей терминалу UE. Этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого рассматриваемым логическим функциональным объектом, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
Поэтому, когда терминал UE ассоциируется с устройством для доступа в сеть несотовой связи, выбирают некое устройство для доступа в сеть несотовой связи и определяют, является ли идентификатор выбранного устройства для доступа в сеть несотовой связи таким же, как идентификатор какого-либо устройства для доступа в сеть несотовой связи в списке идентификаторов ключей. Если идентификаторы одинаковы, соответствующее устройство для доступа в сеть несотовой связи используется в качестве целевого устройства для доступа в сеть несотовой связи.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи может определить идентификатор ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет устройство для доступа в сеть несотовой связи, которое необходимо ассоциировать с терминалом UE, и определяет идентификатор ключа, соответствующий этому устройству для доступа в сеть несотовой связи. Этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Устройство для доступа в сеть несотовой связи, которое должно быть ассоциировано с терминалом UE, выбирает для этого терминала UE устройство для доступа в сеть сотовой связи. Конкретный способ выбора может быть следующим: После приема сообщения запроса измерительной конфигурации, переданного устройством для доступа в сеть сотовой связи, терминал UE может измерить качество сигнала в сети WLAN, в которой находится этот терминал UE, и передать, устройству для доступа в сеть сотовой связи, отчет об измерениях, сформированный на основе результатов измерений. Устройство для доступа в сеть сотовой связи определяет, согласно отчету об измерениях, переданному терминалом UE, устройство для доступа в сеть несотовой связи, с которым необходимо ассоциировать этот терминал UE. Например, устройство для доступа в сеть сотовой связи выбирает устройство для доступа в сеть несотовой связи в сети WLAN, обеспечивающей относительно высокое качество сигнала для этого терминала UE.
Затем, это устройств для доступа в сеть сотовой связи передает найденный идентификатор ключа рассматриваемым терминалу UE и устройству для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, которому принадлежит рассматриваемое устройство для доступа в сеть несотовой связи. Затем это устройство для доступа в сеть сотовой связи передает, указанному устройству для доступа в сеть несотовой связи с использованием найденного логического функционального объекта, идентификатор ключа, соответствующий этому устройству для доступа в сеть несотовой связи, и передает, терминалу UE, идентификатор ключа, соответствующий этому устройству для доступа в сеть несотовой связи.
Поэтому, при ассоциировании с устройством для доступа в сеть несотовой связи, терминал UE ассоциируется с устройством для доступа в сеть несотовой связи, на которое указывает упомянутое устройство для доступа в сеть сотовой связи. Устройство для доступа в сеть несотовой связи, указываемое устройством для доступа в сеть сотовой связи, представляет собой устройство для доступа в сеть несотовой связи, соответствующее рассмотренному выше идентификатору ключа.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройств для доступа в сеть сотовой связи может определить идентификатор ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, которому принадлежит устройство для доступа в сеть несотовой связи, подлежащее ассоциированию с рассматриваемым терминалом UE. Логический функциональный объект управляет содержащей по меньшей мере одним устройство для доступа в сеть несотовой связи совокупностью, в которую входит подлежащее ассоциированию устройство для доступа в сеть несотовой связи.
Устройство для доступа в сеть сотовой связи определяет идентификатор ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи. Идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в совокупность по меньшей мере из одного устройства для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
Процедура передачи, устройством для доступа в сеть сотовой связи найденного идентификатора ключа терминалу UE и устройству для доступа в сеть несотовой связи содержит:
передачу, устройством для доступа в сеть сотовой связи с использованием указанного логического функционального объекта, найденного идентификатора ключа по отдельности терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи.
Один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа. Как показано на Фиг. 2, способ содержит следующие этапы.
Этап 201: Терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи.
Этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Этап 202: Терминал UE определяет ключ, соответствующий принятому идентификатору ключа.
Этап 203: Терминал UE осуществляет аутентификацию безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом.
В качестве опции, терминал UE может определить ключ, соответствующий идентификатору ключа каким-либо из следующих способов, без ограничений.
Первый вариант реализации:
Терминал UE принимает ключ, соответствующий указанному идентификатору ключа, переданному устройством для доступа в сеть сотовой связи.
В частности, в то же время, когда устройство для доступа в сеть сотовой связи передает идентификатор ключа, это устройство для доступа в сеть сотовой связи передает ключ, соответствующий указанному идентификатору ключа. Безусловно, ключ и идентификатор ключа могут быть переданы по отдельности. В рассматриваемом варианте настоящего изобретения это ничем специально не ограничивается.
Второй вариант реализации:
Терминал UE определяет, путем согласования посредством «переговоров» с устройством для доступа в сеть сотовой связи, ключ, соответствующий рассматриваемому идентификатору ключа.
В частности, при приеме идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, терминал UE может согласовать путем «переговоров» с устройством для доступа в сеть сотовой связи способ определения ключа, соответствующего идентификатору ключа. Затем, этот терминал UE определяет, на основе найденного способа, ключ, соответствующий идентификатору ключа. В качестве альтернативы, терминал UE получает правило вывода для определения ключа, соответствующего идентификатору ключа. Затем, терминал UE определяет, на основе правила вывода, ключ, соответствующий идентификатору ключа.
Третий вариант реализации:
Терминал UE определяет, согласно заданному правилу вывода, ключ, соответствующий рассматриваемому идентификатору ключа.
Это заданное правило вывода может быть передано устройством для доступа в сеть сотовой связи заранее. В качестве альтернативы, терминал UE заранее проводит «переговоры» с устройством для доступа в сеть сотовой связи с целью получения согласованного правила вывода и затем этот терминал UE сохраняет полученное правило вывода. Это заданное правило вывода является таким же, как правило вывода, используемое устройством для доступа в сеть сотовой связи для определения ключа, соответствующего идентификатору ключа для терминала UE. После формирования ключа согласно заданному правилу вывода устройство для доступа в сеть сотовой связи передает полученный ключ устройству для доступа в сеть несотовой связи.
Поэтому, когда терминал UE передает, устройству для доступа в сеть несотовой связи, запрос ассоциирования, содержащий идентификатор ключа, это устройство для доступа в сеть несотовой связи определяет, является ли принятый идентификатор ключа таким же, как идентификатор ключа, сохраняемый этим устройством для доступа в сеть несотовой связи. Если эти идентификаторы ключа одинаковы, терминал UE и устройство для доступа в сеть несотовой связи осуществляют четырехэтапную аутентификацию квитирования на основе ключа, соответствующего такому идентификатору ключа.
В качестве опции, процедура приема терминалом UE идентификатора ключа, переданного устройством для доступа в сеть сотовой связи и используемого этим терминалом UE для ассоциирования с устройством для доступа в сеть несотовой связи, содержит:
прием, терминалом UE, списка идентификаторов ключей, переданного устройством для доступа в сеть сотовой связи, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, выбранного терминалом UE для ассоциирования, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
Идентификатор каждого устройства для доступа в сеть несотовой связи представляет собой идентификатор устройства для доступа в сеть несотовой связи, входящего в группу устройств для доступа в сеть несотовой связи и указываемого устройством для доступа в сеть сотовой связи.
Процедура осуществления терминалом UE аутентификации безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего принятому идентификатору ключа, содержит:
определение, указанным терминалом UE, что список идентификаторов ключей содержит идентификатор целевого устройства для доступа в сеть несотовой связи; и
осуществление, этим терминалом UE, аутентификации безопасности с целевым устройством для доступа в сеть несотовой связи согласно идентификатору ключа, соответствующему идентификатору, относящемуся к целевому устройству для доступа в сеть несотовой связи и входящему в список идентификаторов ключей, и ключу, соответствующему этому идентификатору ключа.
В качестве опции, терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, так что этот идентификатор ключа соответствует идентификаторам нескольких устройств для доступа в сеть несотовой связи. Идентификатор каждого устройства для доступа в сеть несотовой связи представляет собой идентификатор устройства для доступа в сеть несотовой связи, входящего в группу устройств для доступа в сеть несотовой связи и указанного устройством для доступа в сеть сотовой связи.
Терминал UE определяет, что совокупность идентификаторов нескольких устройств для доступа в сеть несотовой связи содержит идентификатор целевого устройства для доступа в сеть несотовой связи.
Этот терминал UE осуществляет аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи согласно идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи, и ключу, соответствующему этому идентификатору ключа.
В качестве опции, терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, так что этот идентификатор ключа соответствует идентификатору одного из устройств для доступа в сеть несотовой связи. Терминал UE определяет, что это устройство для доступа в сеть несотовой связи является целевым устройством для доступа в сеть несотовой связи.
Терминал UE осуществляет аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи согласно идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи, и ключу, соответствующему этому идентификатору ключа.
Согласно техническому решению, предлагаемому рассматриваемым вариантом настоящего изобретения, терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи. Затем, этот терминал UE определяет ключ, соответствующий принятому идентификатору ключа. Терминал UE осуществляет аутентификацию безопасности напрямую с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
Один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа. Как показано на Фиг. 3, способ содержит следующие этапы.
Этап 301: Устройство для доступа в сеть несотовой связи принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, и этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Этап 302: При приеме запроса ассоциирования, инициированного терминалом UE, для ассоциирования с устройством для доступа в сеть несотовой связи, это устройство для доступа в сеть несотовой связи осуществляет аутентификацию безопасности с этим терминалом UE на основе ключа, соответствующего указанному идентификатору ключа.
В частности, терминал UE добавляет идентификатор ключа к запросу ассоциирования и передает этот запрос ассоциирования устройству для доступа в сеть несотовой связи. Затем, если это устройство для доступа в сеть несотовой связи определит, что принятый им идентификатор ключа, переданный терминалом UE, является таким же, как идентификатор ключа, сохраняемый этим устройством для доступа в сеть несотовой связи, этот терминал UE и рассматриваемое устройств для доступа в сеть несотовой связи выполняют процедуру четырехэтапного квитирования procedure на основе ключа, соответствующего указанному идентификатору ключа. После успешного завершения четырехэтапной аутентификации квитирования устройство для доступа в сеть сотовой связи может осуществить передачу данных, полученных в результате многопотокового агрегирования, с терминалом UE с использованием устройства для доступа в сеть несотовой связи.
Согласно техническому решению, предлагаемому рассматриваемым вариантом настоящего изобретения, устройство для доступа в сеть несотовой связи принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, так что этот идентификатор ключа используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с указанным устройством для доступа в сеть несотовой связи, и этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа. И терминал UE, и устройство для доступа в сеть несотовой связи получают этот идентификатор ключа. Поэтому рассматриваемые терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
Далее конкретно описаны варианты настоящего изобретения со ссылками на некоторые примеры. В следующем примере рассмотрен случай, когда сеть сотовой связи представляет собой сеть LTE, устройство для доступа в сеть сотовой связи представляет собой узел eNB, сеть несотовой связи представляет собой сеть WLAN, устройство для доступа в сеть несотовой связи является точкой AP, а логический функциональный объект представляет собой оконечную станцию WT.
Обратимся к Фиг. 4A и Фиг. 4B. На Фиг. 4A и Фиг. 4B представлены упрощенные структурные схемы системы сети выгрузки и агрегирования согласно одному из вариантов настоящего изобретения. В этом варианте точка AP поддерживает и способствует передаче данных системы LTE. Кроме того, система сети в этом варианте настоящего изобретения может дополнительно содержать оконечную станцию WT, используемую для управления точкой AP. Как показано на Фиг. 4A, оконечная станция WT и точка AP могут представлять собой один и тот же узел. В качестве альтернативы, как показано на Фиг. 4B, оконечная станция WT и точка AP могут быть разными узлами. Терминал UE, узел eNB и оконечная станция WT могут быть соединены беспроводным способом, например, могут осуществлять связь с использованием радио интерфейса. Если оконечная станция WT и точка AP представляют собой разные узлы, эти оконечная станция WT и точка AP соединены проводным способом.
На Фиг. 5 представлена упрощенная диаграмма способа аутентификации доступа согласно одному из вариантов настоящего изобретения. Этапы-опции на Фиг. 5 обозначены с использованием штриховых линий.
Этап 501: Узел eNB определяет идентификатор PMKID для терминала UE.
Этот идентификатор PMKID представляет собой идентификатор ключа. Идентификатор PMKID используется терминалом UE и точкой AP для осуществления аутентификации безопасности согласно ключу PMK, соответствующему идентификатору PMKID.
Этап 502: Узел eNB передает идентификатор PMKID терминалу UE.
Идентификатор PMKID может быть передан независимо или может быть включен в состав информации PMKSA для передачи. В качестве альтернативы, идентификатор PMKID может быть включен для передачи в командное сообщение агрегирования LWA, передаваемое узлом eNB терминалу UE, или может быть включен в другое, вновь определенное сообщение для передачи. Это сообщение может быть передано в составе сообщения реконфигурирования соединения управления радио ресурсами (Radio Resource Control, RRC) и использовано для передачи команды терминалу UE осуществить агрегирование LWA. После завершения реконфигурирования соединения RRC узлу eNB передают сообщение завершения реконфигурирования соединения RRC.
В дополнение к идентификатору PMKID, командное сообщение агрегирования LWA может далее содержать идентификатор точки WLAN AP или идентификатор группы точек WLAN AP. Идентификатор точки AP может представлять собой какой-либо из идентификаторов BSSID/ESSID/SSID. Идентификатор группы точек AP содержит список идентификаторов точек WLAN AP.
Информация PMKSA может быть включена в командное сообщение агрегирования LWA для передачи или может быть включена в другое вновь определенное сообщение для передачи.
В этом варианте настоящего изобретения для описания использован пример, в котором идентификатор PMKID включен в состав информации PMKSA, а эта информация PMKSA включена в командное сообщение агрегирования LWA для передачи.
Информация PMKSA содержит идентификатор PMKID и может далее содержать следующее.
(1) MAC-адрес точки AP/группы точек AP.
(2) Ключ PMK. Этот ключ PMK представляет собой ключ, используемый узлом eNB для помощи в аутентификации сети WLAN. Этот ключ PMK может представлять собой ключ, совместно используемый узлом eNB и терминалом UE, например, это может быть один из ключей KeNB, KRRCint, KRRCenc, KUPenc, KUPint, или другой подобный ключ, либо это может быть ключ, сформированный в соответствии с одним или несколькими из перечисленных выше ключей. Ключ PMK является опцией.
Если информация PMKSA не содержит ключ PMK, узел eNB может передать, терминалу UE, заранее правило вывода с целью формирования ключа, либо узел eNB и терминал UE соглашаются применить совместно используемый ключ в качестве ключа PMK.
(3) Срок действия, используемый для указания периода действительности идентификатора PMKID и периода действительности ключа PMK. Срок действия является опцией.
(4) Информация индикации способа аутентификации. Эта информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE. Этот тип аутентификации может представлять собой тип аутентификации, заданный протоколом AKMP, например, способ кэширования согласно стандарту 802.1X EAP-AKA.
(5) WLAN MAC-адрес терминала UE.
Идентификатор PMKID может быть определен узлом eNB на основе идентификатора терминала UE. Этот идентификатор терминала UE может представлять собой WLAN MAC-адрес терминала UE. Идентификатор PMKID может быть определен на основе идентификатора точки AP и идентификатора терминала UE, либо может быть определен только на основе идентификатора терминала UE, либо может быть определен с использованием ключа PMK, идентификатора терминала UE и идентификатора точки AP, либо может быть определен с использованием ключа PMK и идентификатора терминала UE. Когда идентификатор PMKID определен на основе идентификатора терминала UE, узел eNB поддерживает счетчик для каждого терминала UE, чтобы обеспечить, что идентификаторы PMKID для всех терминалов UE отличаются один от другого.
Например, PMKID=HMAC-SHA1-128(PMK, ''PMK_name''|MAC_AP|MAC_UE).
Параметр PMK_name представляет имя ключа, а параметр MAC_UE представляет идентификатор терминала UE, иными словами, WLAN MAC-адрес этого терминала UE. Параметр MAC_AP представляет идентификатор точки AP, иными словами, MAC-адрес этой точки AP. Параметр HMAC представляет собой хеш-код аутентификации сообщения (Hash-based Message Authentication Code), относящийся к ключу. Алгоритм SHA1 представляет собой алгоритм безопасного хеширования (Secure Hash Algorithm).
В качестве опции, прежде этапа 501, способ может далее содержать: получение, узлом eNB, идентификатора терминала UE, например, WLAN MAC-адреса этого терминала UE. В частности, узел eNB может активно потребовать от терминала UE сообщить свой идентификатор, либо этот идентификатор содержится в сообщении отчета о возможностях терминала UE.
В качестве опции, прежде этапа 501, способ может далее содержать следующие этапы.
Этап 501a: Узел eNB передает сообщение запроса измерительной конфигурации терминалу UE.
Это сообщение запроса измерительной конфигурации используется, чтобы потребовать от терминала UE измерить качество сигнала в сети WLAN, в которой находится этот терминал UE. Терминал UE измеряет качество сигнала в сети WLAN и получает результат измерений.
Этап 501b: Терминал UE сообщает результат измерений узлу eNB.
Этот результат измерений содержит идентификатор точки AP в сети WLAN и величину показателя качества сигнала, соответствующего указанному идентификатору точки AP.
Поэтому, узел eNB определяет, в соответствии с результатом измерений, оконечную станцию WT для осуществления передачи данных с агрегированием LWA. В частности, в соответствии с результатом измерений, точка AP, предоставляющая самый сильный сигнал, может быть выбрана в качестве точки AP для ассоциирования с терминалом UE. Затем определяют оконечную станцию WT, которой принадлежит точка AP, и используют эту оконечную станцию WT в качестве оконечной станции WT для осуществления передачи данных с агрегированием LWA.
На этапе 501, узел eNB может определить, для терминала UE, один и тот же идентификатор ключа для всех точек AP в рассматриваемой оконечной станции WT, или может определить, для терминала UE, один и тот же идентификатор ключа для всех точек AP в каждой группе точек AP в рассматриваемой оконечной станции WT, может определить, для терминала UE, различные идентификаторы ключей для всех точек AP во всех группах точек AP в рассматриваемой оконечной станции WT. Кроме того, когда идентификаторы ключей являются одинаковыми, ключи также одинаковы. Когда идентификаторы ключей разные, ключи также различны.
Этап 503: Узел eNB передает идентификатор PMKID в адрес оконечной станции WT.
Эта оконечная станция WT может передать идентификатор PMKID точке AP с использованием частного интерфейса между этой оконечной станцией WT и соответствующей точкой AP.
Идентификатор PMKID может быть передан независимо или может быть включен в состав сообщения установления туннеля по протоколу GTP-U и передан в адрес оконечной станции WT. Если идентификатор PMKID передают с использованием сообщения установления туннеля по протоколу GTP-U, этап 503 необходимо выполнить прежде этапа 502. Если идентификатор PMKID передают другим способом, последовательность выполнения этапа 501 и этапа 502 ничем не ограничивается.
Кроме того, ключ PMK, соответствующий идентификатору PMKID, может быть далее передан в адрес оконечной станции WT. Этот ключ также может быть включен в сообщение установления туннеля по протоколу GTP-U и передан в адрес оконечной станции WT.
Ключ PMK представляет собой ключ, используемый узлом eNB для помощи в аутентификации сети WLAN. Этот ключ PMK может представлять собой ключ, совместно используемый узлом eNB и терминалом UE, например, это может быть один из ключей KeNB, KRRCint, KRRCenc, KUPenc, KUPint, или другой подобный ключ, либо это может быть ключ, сформированный в соответствии с одним или несколькими из перечисленных выше ключей.
В качестве опции, прежде этапа 503, способ может далее содержать следующий этап.
Этап 503a: Оконечная станция WT передает сообщение запроса ключа узлу eNB, так что это сообщение запроса ключа используется с целью запросить получение ключа и идентификатора PMKID.
Последовательность выполнения во времени этапа 503a и каждого из этапов - этапа 501 и этапа 502, здесь ничем не ограничивается. Фиг. 5 здесь служит только в качестве примера и не имеет целью как-то ограничить эту последовательность во времени.
Затем, на этапе 503, узел eNB может добавить идентификатор PMKID и правило вывода ключа или идентификатор PMKID и ключ PMK к сообщению ответа на запрос ключа и передать это сообщение ответа на запрос ключа в адрес оконечной станции WT.
Безусловно, узел eNB может активно передать идентификатор PMKID и правило вывода ключа, либо идентификатор PMKID и ключ PMK в адрес оконечной станции WT.
Этап 504: Терминал UE передает сообщение запроса ассоциирования точке WLAN AP, так что это сообщение запроса ассоциирования передает идентификатор PMKID.
В частности, если узел eNB указывает список идентификаторов для группы точек AP терминалу UE, этот терминал UE автономно выбирает точку AP из группы точек AP для доступа. Если узел eNB указывает терминалу UE идентификатор одной точки AP, этот терминал UE напрямую обращается и получает доступ к указанной точке AP.
Прежде ассоциирования с точкой WLAN AP, терминал UE сначала проверяет, имеется ли ключ PMK для действительной целевой точки AP, иными словами, проверяет, совпадает ли идентификатор BSSID точки AP в составе информации PMKSA с идентификатором BSSID подлежащей ассоциированию точки AP. Если идентификаторы BSSID совпали, используется ключ PMK, соответствующий идентификатору BSSID указанной точки AP. После того, как идентификатор PMKID будет включен в сообщение запроса ассоциирования, и точка WLAN AP примет этот идентификатор PMKID, включенный в сообщение запроса ассоциирования, рассматриваемая точка AP проверяет, присутствует ли идентификатор PMKID, такой же, как идентификатор PMKID, включенный в сообщение запроса ассоциирования, в составе информации PMKSA. Если такой идентификатор PMKID присутствует, терминал UE и точка AP используют указанный ключ PMK для осуществления четырехэтапной аутентификации квитирования.
В качестве опции, способ может далее содержать следующий этап.
Этап 505: Терминал UE передает, узлу eNB, сообщение, используемое для индикации успеха или неудачи агрегирования LWA.
Когда узел eNB принимает сообщение успеха агрегирования LWA, переданное терминалом UE, способ дополнительно содержит следующий этап.
Этап 506: Узел eNB осуществляет передачу данных с агрегированием LWA при обмене с терминалом UE с использованием точки AP.
В соответствии с техническим решением, предлагаемым в этом варианте настоящего изобретения, узел eNB определяет идентификатор ключа. Затем этот узел eNB напрямую передает найденный идентификатор ключа терминалу UE и точке AP. И терминал UE, и точка AP получают этот идентификатор ключа. Поэтому, терминал UE и точка AP напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего указанному идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
На Фиг. 6 представлена упрощенная диаграмма другого способа аутентификации доступа согласно одному из вариантов настоящего изобретения.
Этап 601: Узел eNB передает командное сообщение начала агрегирования LWA терминалу UE.
Например, это командное сообщение начала агрегирования LWA может быть активным сообщением точки AP, используемым для передачи команды терминалу UE обратиться и получить доступ к точке AP. Такое командное сообщение начала агрегирования LWA может содержать идентификатор BSSID точки WLAN AP. Это командное сообщение начала агрегирования LWA может далее содержать политику безопасности терминала UE. Эта политика безопасности представляет собой политику типа LWA, так что эта политика типа LWA является вновь добавленным типом аутентификации.
Прежде этапа 601, узел eNB может передать терминалу UE команду измерить и сообщить качество сигнала в сети WLAN. Узел eNB определяет, согласно отчету о результате измерений, переданному терминалом UE, что нужно добавить подходящую сеть WLAN для осуществления передачи данных с агрегированием LWA. В общем случае, узел eNB определяет, согласно нагрузке сети сотовой связи и/или абонентской информации терминала UE, нужно ли передать терминалу UE команду измерить и сообщить качество сигнала в сети WLAN.
Этап 602: Терминал UE обнаруживает назначенную точку AP путем прослушивания кадра маяка или передачи зондирующего кадра.
Точка AP добавляет информационный элемент сети с высокой защитой (Robust Security Network, RSN) к кадру квитирования (Acknowledgement, ACK) маяка или зондирования. Этот информационный элемент сети RSN указывает политику безопасности, поддерживаемую назначенной точкой AP, так что эта политика безопасности представляет собой вновь добавленный тип аутентификации: тип LWA.
Информационный элемент сети RSN содержит информационный элемент автоматического управления ключом (Automatic Key Management, AKM), а этот информационный элемент AKM используется для индикации типа аутентификации.
Прежде этапа 602, узел eNB может дополнительно передать индикационную информацию точке AP с использованием интерфейса Xw между узлом eNB и сетью WLAN, так что эта индикационная информация используется для индикации типа аутентификации MSA, применяемого в качестве единственного типа аутентификации.
Этап 603: Терминал UE и точка AP начинают процедуру аутентификации (открытие аутентификации).
Этап 604: Терминал UE инициирует сообщение запроса ассоциирования (Association request) в адрес точки AP.
Это сообщение запроса ассоциирования содержит указание политики безопасности, ожидаемой терминалом UE. Например, тип аутентификации представляет собой типа LWA. При таком подходе, терминал UE и точка AP завершают согласование политики безопасности путем «переговоров».
Этап 605: Точка AP передает сообщение запроса ключа узлу eNB.
После приема сообщения запроса ключа узел eNB формирует новый ключ в соответствии с ключом на стороне сети доступа и заданным правилом вывода и передает сформированный ключ точке AP с использованием ответного сообщения e.
Этап 606: Точка AP возвращает ответное сообщение ассоциирования терминалу UE.
Терминал UE и точка AP завершают ассоциирование.
Этап 607: Терминал UE формирует ключ в соответствии с заданным правилом вывода после приема ответного сообщения ассоциирования от точки AP.
Затем терминал UE и точка AP завершают четырехэтапное квитирование аутентификации безопасности сети WLAN в соответствии со сформированным ключом.
Этап 608: Терминал UE передает сообщение квитирования агрегирования LWA узлу eNB.
Этап 609: Узел eNB и терминал UE осуществляют связь с передачей данных с агрегированием LWA с использованием точки AP.
На основе такой же концепции, как в варианте способа, показанном на Фиг. 1, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа. Эта аппаратура может быть расположена в устройстве для доступа в сеть сотовой связи, или может представлять собой устройство для доступа в сеть сотовой связи, или может быт независимой аппаратурой, отличной от устройства для доступа в сеть сотовой связи, но способной осуществлять связь с этим устройством для доступа в сеть сотовой связи. Как показано на Фиг. 7, такая аппаратура для аутентификации доступа содержит:
модуль определения 701, конфигурированный для определения идентификатора ключа; и
передающий модуль 702, конфигурированный для передачи по отдельности идентификатора ключа, найденного модулем определения 701, терминалу UE и устройству для доступа в сеть несотовой связи, где этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с указанным устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
В качестве опции, модуль определения 701 может определить идентификатор ключа следующим образом:
определение логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и выполнение для каждого устройства для доступа в сеть несотовой связи, управляемого найденным логическим функциональным объектом, следующего этапа: определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи.
Передающий модуль 702 может, в частности, по отдельности передавать идентификатор ключа, найденный модулем определения 701, терминалу UE и устройству для доступа в сеть несотовой связи следующим образом. Способ передачи содержит: передачу, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, идентификатора ключа, найденного модулем определения 701 и соответствующего каждому устройству для доступа в сеть несотовой связи, и передачу списка идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом, и идентификатор ключа, соответствующего каждому устройству для доступа в сеть несотовой связи.
В качестве опции, модуль определения 701 может определить идентификатор ключа следующим образом:
определение логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и определение идентификатора ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройств для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
Передающий модуль 702 передает идентификатор ключа, найденный модулем определения 701, по отдельности терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи.
В качестве опции, модуль определения 701 дополнительно конфигурирован для определения ключа, так что этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи.
Передающий модуль 702 осуществляет передачу ключа, найденного модулем определения 701, и идентификатора этого ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа.
В качестве опции, модуль определения 701 определяет ключ на основе заданного правила вывода, этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, и это заданное правило вывода является таким же, как правило вывода, используемое терминалом UE для определения ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи.
Передающий модуль 702, в частности, конфигурирован для передачи ключа, найденного модулем определения 701, и идентификатора этого ключа устройству для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа, и передачи этого идентификатора ключа терминалу UE.
В качестве опции, передающий модуль 702 дополнительно конфигурирован для передачи по меньшей мере одного из следующего терминалу UE и/или устройству для доступа в сеть несотовой связи:
срока действия или информации индикации способа аутентификации.
Срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE. Этот тип аутентификации может представлять собой тип аутентификации, заданный протоколом AKMP, например, способ кэширования согласно стандарту 802.1X EAP-AKA.
Следует отметить, что аппаратура для аутентификации доступа и способ аутентификации доступа, предлагаемый вариантом, показанным на Фиг. 1, основаны на одной и той же концепции изобретения. Принципы решения проблем, применяемые этим способом и этой аппаратурой, аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации аппаратуры и способа, а повторное описание не приводится.
Согласно техническому решению, предлагаемому в этом варианте настоящего изобретения, устройство для доступа в сеть сотовой связи определяет идентификатор ключа, а затем устройство для доступа в сеть сотовой связи напрямую передает найденный идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи. И терминал UE, и устройство для доступа в сеть несотовой связи получают этот идентификатор ключа. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
На основе такой же концепции, как в варианте способа, показанном на Фиг. 2, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа. Эта аппаратура может быть расположена в абонентском терминале или может сама представлять собой абонентский терминал. Как показано на Фиг. 8, аппаратура содержит:
приемный модуль 801, модуль определения 802 и аутентификационный модуль 803.
Приемный модуль 801 конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, так что этот идентификатор ключа используется для передачи команды аутентификационному модулю осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Модуль определения 802 конфигурирован для определения ключа, соответствующего идентификатору ключа, принятому посредством приемного модуля 801.
Аутентификационный модуль 803 конфигурирован для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи согласно идентификатору ключа, принятому посредством приемного модуля 801, и ключу, найденному модулем определения 802.
В качестве опции, модуль определения 802, в частности, конфигурирован для того, чтобы: когда приемный модуль 801 принимает ключ, соответствующий идентификатору ключа и переданный устройством для доступа в сеть сотовой связи, определять посредством согласования с устройством для доступа в сеть сотовой связи, ключ, соответствующий идентификатору ключа; или определять, согласно заданному правилу вывода, ключ, соответствующий идентификатору ключа.
В качестве опции, приемный модуль 801, в частности, конфигурирован для приема списка идентификаторов ключей, переданного устройством для доступа в сеть сотовой связи, так что этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, которое должно быть выбрано терминалом UE для ассоциирования, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
Модуль определения 802 дополнительно конфигурирован для определения целевого устройства для доступа в сеть несотовой связи.
Аутентификационный модуль 803, в частности, конфигурирован для осуществления аутентификации безопасности с целевым устройством для доступа в сеть несотовой связи согласно найденному ключу и идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи и входящему в состав списка идентификаторов ключей, и это целевое устройство для доступа в сеть несотовой связи найдено модулем определения или устройством для доступа в сеть сотовой связи.
Следует отметить, что аппаратура для аутентификации доступа и способ аутентификации доступа, предлагаемые в варианте, показанном на Фиг. 2, основаны на одной и той же концепции изобретения. Принципы решения проблем, применяемые этим способом и этой аппаратурой, аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации аппаратуры и способа, а повторное описание не приводится.
Согласно техническому решению, предлагаемому этим вариантом настоящего изобретения, терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи. Затем терминал UE определяет ключ, соответствующий идентификатору ключа. Терминал UE напрямую осуществляет аутентификацию безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 3, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа. Аппаратура может быть расположена в устройстве для доступа в сеть несотовой связи, или может представлять собой устройство для доступа в сеть несотовой связи, или может быть независимым устройством, способным осуществлять связь с этим устройством для доступа в сеть несотовой связи. Как показано на Фиг. 9, аппаратура содержит:
приемный модуль 901 и аутентификационный модуль 902.
Приемный модуль 901 конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, а также этот идентификатор ключа используется для передачи команды аутентификационному модулю осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с аппаратурой для аутентификации доступа.
Аутентификационный модуль 902 конфигурирован для того, чтобы: когда приемный модуль 901 принимает запрос ассоциирования, инициированный терминалом UE, для ассоциирования с устройством для доступа в сеть несотовой связи, которой принадлежит этот аутентификационный модуль, осуществлять аутентификацию безопасности с терминалом UE на основе ключа, соответствующего указанному идентификатору ключа.
Следует отметить, что аппаратура для аутентификации доступа и способ аутентификации доступа, предлагаемые в варианте, показанном на Фиг. 3, основаны на одной и той же концепции изобретения. Принципы решения проблем, применяемые этим способом и этой аппаратурой, аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации аппаратуры и способа, а повторное описание не приводится.
Согласно техническому решению, предлагаемому этим вариантом настоящего изобретения, приемный модуль принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, этот идентификатор ключа используется для передачи команды аутентификационному модулю осуществить аутентификацию безопасности с терминалом UE, ассоциированным с аппаратурой для аутентификации доступа, а также этот идентификатор ключа используется для передачи команды терминалу UE осуществить, на основе ключа, соответствующего указанному идентификатору ключа, аутентификацию безопасности с аппаратурой для аутентификации доступа, которой принадлежит этот аутентификационный модуль. И терминал UE, и аппаратура для аутентификации доступа получают этот идентификатор ключа. Поэтому, терминал UE и эта аппаратура для аутентификации доступа напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего полученному идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 1, один из вариантов настоящего изобретения далее предлагает устройство для доступа в сеть сотовой связи. Как показано на Фиг. 10, это устройство содержит приемопередатчик 1001, процессор 1002 и запоминающее устройство 1003. Приемопередатчик 1001, процессор 1002 и запоминающее устройство 1003 соединены одно с другим. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 10, запоминающее устройство 1003, процессор 1002 приемопередатчик 1001 соединены одно с другим с использованием шины 1004. Эта шина представлена жирной линией на Фиг. 10. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 10 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 1003 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 1002, и может представлять собой энергозависимое запоминающее устройство, такое как запоминающее устройство с произвольной выборкой (ЗУПВ) (random-access memory, RAM). В качестве альтернативы, запоминающее устройство 1003 может представлять собой энергонезависимое запоминающее устройство, такое как постоянное запоминающее устройство (ПЗУ) (read-only memory, ROM), устройство флеш-памяти, накопитель на жестком диске (hard disk drive, HDD) или твердотельный диск (solid-state drive, SSD). В качестве альтернативы, запоминающее устройство 1003 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 1003 может представлять собой сочетание перечисленных выше запоминающих устройств.
Процессор 1002 в этом варианте настоящего изобретения может представлять собой центральный процессор (central processing unit, CPU).
Процессор 1002 определяет идентификатор ключа. Далее, приемопередатчик 1001 конфигурирован для передачи идентификатора ключа, найденного процессором 1002, по отдельности терминалу UE и устройству для доступа в сеть несотовой связи. Этот идентификатор ключа используется для передачи команды терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
В качестве опции, процессор 1002 может определить идентификатор ключа следующим образом:
определение логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и осуществление следующего этапа для каждого устройства для доступа в сеть несотовой связи, управляемого логическим функциональным объектом: определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи.
Приемопередатчик 1001 может, в частности, передать идентификатор ключа, найденный процессором 1002, по отдельности терминалу UE и устройству для доступа в сеть несотовой связи следующим образом. Способ содержит: передачу, устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, идентификатора ключа, найденного процессором 1002, и соответствующего каждому устройству для доступа в сеть несотовой связи, и передачу списка идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, управляемого рассматриваемым логическим функциональным объектом, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
В качестве опции, процессор 1002 может определить идентификатор ключа следующим образом:
определение логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и определение идентификатора ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройств для доступа в сеть несотовой связи, являются одинаковыми, и этот идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
Приемопередатчик 1001 передает идентификатор ключа, найденный процессором 1002, по отдельности терминалу UE и устройству для доступа в сеть несотовой связи, соответствующему каждому идентификатору каждого устройства для доступа в сеть несотовой связи.
В качестве опции, процессор 1002 дополнительно конфигурирован для определения ключа, так что этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи.
Приемопередатчик 1001 передает ключ, найденный процессором 1002, и указанный идентификатор ключа терминалу UE и устройству для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа.
В качестве опции, процессор 1002 определяет ключ на основе заданного правила вывода, этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, и это заданное правило вывода является таким же, как правило вывода, используемое терминалом UE для определения ключа для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи.
Приемопередатчик 1001, в частности, конфигурирован для: передачи ключа, найденного процессором 1002, и идентификатора этого ключа устройству для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа, и передачи этого идентификатора ключа терминалу UE.
В качестве опции, процессор 1002 дополнительно конфигурирован для передачи терминалу UE и/или устройству для доступа в сеть несотовой связи по меньшей мере одного из следующего:
срока действия или информации индикации способа аутентификации.
Указанный срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE. Этот тип аутентификации может представлять собой тип аутентификации, заданный протоколом Аутентификации и управления ключами, например, способ кэширования согласно стандарту 802.1X EAP-AKA.
Следует отметить, что устройство для доступа в сеть сотовой связи, способ аутентификации доступа, предлагаемый в варианте, показанном на Фиг. 1, и аппаратура для аутентификации доступа, показанная на Фиг. 7, основаны на одной и той же концепции изобретения. Принципы решения проблем, применяемые этим способом, этой аппаратурой и этим устройством, аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации, способа, аппаратуры и устройства, а повторное описание не приводится.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 2, один из вариантов настоящего изобретения далее предлагает абонентский терминал. Как показано на Фиг. 11, абонентский терминал содержит приемопередатчик 1101, процессор 1102 и запоминающее устройство 1103. Приемопередатчик 1101, процессор 1102 и запоминающее устройство 1103 соединены одно с другим. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 11, запоминающее устройство 1103, процессор 1102 приемопередатчик 1101 соединены одно с другим с использованием шины 1104. Эта шина представлена жирной линией на Фиг. 11. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 11 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 1103 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 1102, и может представлять собой энергозависимое запоминающее устройство, такое как запоминающее устройство с произвольной выборкой. В качестве альтернативы, запоминающее устройство 1103 может представлять собой энергонезависимое запоминающее устройство, такое как постоянное запоминающее устройство, устройство флеш-памяти, накопитель на жестком диске или твердотельный диск. В качестве альтернативы, запоминающее устройство 1103 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 1103 может представлять собой сочетание перечисленных выше запоминающих устройств
Процессор 1102 в этом варианте настоящего изобретения может представлять собой центральный процессор (CPU).
Приемопередатчик 1101 конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, а также этот идентификатор ключа используется для передачи команды процессору 1102 осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Процессор 1102 конфигурирован для: определения ключа, соответствующего идентификатору ключа, принятому приемопередатчиком 1101, и осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи в соответствии с идентификатором ключа, принятым приемопередатчиком 1101, и ключом, найденным процессором 1102.
В качестве опции, процессор 1102, в частности, конфигурирован для того, чтобы: когда приемопередатчик 1101 примет ключ, соответствующий указанному идентификатору ключа и переданный устройством для доступа в сеть сотовой связи, определить ключ, соответствующий этому идентификатору ключа; или определить, путем согласования посредством «переговоров» с устройством для доступа в сеть сотовой связи, ключ, соответствующий рассматриваемому идентификатору ключа; или определить, согласно заданному правилу вывода, ключ, соответствующий указанному идентификатору ключа.
В качестве опции, приемопередатчик 1101, в частности, конфигурирован для приема списка идентификаторов ключей, переданного устройством для доступа в сеть сотовой связи, где этот список идентификаторов ключей содержит идентификатор каждого устройства для доступа в сеть несотовой связи, которое должен выбрать терминал UE для ассоциирования, и идентификатор ключа, соответствующий каждому устройству для доступа в сеть несотовой связи.
Процессор 1102 дополнительно конфигурирован для: определения целевого устройства для доступа в сеть несотовой связи и осуществления аутентификации безопасности с этим целевым устройством для доступа в сеть несотовой связи согласно найденному ключу и идентификатору ключа, соответствующему идентификатору указанного целевого устройства для доступа в сеть несотовой связи и находящемуся в списке идентификаторов ключей, так что целевое устройство для доступа в сеть несотовой связи определено процессором 1102 или устройством для доступа в сеть сотовой связи.
Следует отметить, что абонентский терминал, способ аутентификации доступа, предлагаемые в варианте, показанном на Фиг. 2, и аппаратура для аутентификации доступа, показанная на Фиг. 8, основаны на той же самой концепции изобретения. Принципы решения проблем, применяемые этим способом, этой аппаратурой и абонентским терминалом аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации абонентского терминала, аппаратуры и способа, а повторное описание не приводится.
Согласно техническому решению, предлагаемому этим вариантом настоящего изобретения, терминал UE принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи. Затем, этот терминал UE определяет ключ, соответствующий принятому идентификатору ключа. Терминал UE напрямую осуществляет аутентификацию безопасности с устройством для доступа в сеть несотовой связи в соответствии с принятым идентификатором ключа и найденным ключом, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 3, один из вариантов настоящего изобретения далее предлагает устройство для доступа в сеть несотовой связи. Как показано на Фиг. 12, устройство содержит приемопередатчик 1201, процессор 1202 и запоминающее устройство 1203. Эти приемопередатчик 1201, процессор 1202 и запоминающее устройство 1203 соединены одно с другим. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 12, запоминающее устройство 1203, процессор 1202 приемопередатчик 1201 соединены одно с другим с использованием шины 1204. Эта шина представлена жирной линией на Фиг. 12. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 12 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 1203 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 1202, и может представлять собой энергозависимое запоминающее устройство, такое как ЗУПВ (RAM). В качестве альтернативы, запоминающее устройство 1203 может представлять собой энергонезависимое запоминающее устройство, такое как ПЗУ (ROM), устройство флеш-памяти, накопитель HDD или твердотельный диск SSD. В качестве альтернативы, запоминающее устройство 1203 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 1203 может представлять собой сочетание перечисленных выше запоминающих устройств.
Процессор 1202 в этом варианте настоящего изобретения может представлять собой центральный процессор (CPU).
Приемопередатчик 1201 конфигурирован для приема идентификатора ключа, переданного устройством для доступа в сеть сотовой связи, а также этот идентификатор ключа используется для передачи команды процессору 1202 осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи.
Процессор 1202 конфигурирован для того, чтобы: когда приемопередатчик 1201 примет запрос ассоциирования, инициированный терминалом UE, для ассоциирования с устройством для доступа в сеть несотовой связи, которому принадлежит процессор 1202, осуществить аутентификацию безопасности с терминалом UE на основе ключа, соответствующего указанному идентификатору ключа.
Следует отметить, что устройство для доступа в сеть несотовой связи, способ аутентификации доступа, предлагаемый в варианте, показанном на Фиг. 3, и аппаратура для аутентификации доступа, показанная на Фиг. 9, основаны на одной и той же концепции изобретения. Принципы решения проблем, применяемые этим способом, этой аппаратурой и этим устройством, аналогичны. Поэтому здесь могут быть сделаны взаимные ссылки на варианты реализации устройства, аппаратуры и способа, а повторное описание не приводится.
Согласно техническому решению, предлагаемому этим вариантом настоящего изобретения, устройство для доступа в сеть несотовой связи принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, этот идентификатор ключа используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи, а также этот идентификатор ключа используется для передачи команды абонентскому терминалу UE осуществить аутентификацию безопасности с рассматриваемым устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа. И терминал UE, и устройство для доступа в сеть несотовой связи получают идентификатор ключа. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляют аутентификацию безопасности с использованием ключа, соответствующего указанному идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
Как показано на Фиг. 13, один из вариантов настоящего изобретения предлагает систему аутентификации доступа. Эта система содержит:
устройство 1301 для доступа в сеть сотовой связи, терминал UE 1302 и по меньшей мере одно устройство 1303 для доступа в сеть несотовой связи. Эти устройство 1301 для доступа в сеть сотовой связи, терминал UE 1302 и по меньшей мере одно устройство 1303 для доступа в сеть несотовой связи могут быть соединены одно с другим беспроводным способом. Для описания используется пример, в котором система, показанная на Фиг. 13, содержит два устройства для доступа в сеть несотовой связи, а число устройств, структур этих устройств и других подобных объектов ничем конкретно не ограничено.
Устройство 1301 для доступа в сеть сотовой связи определяет идентификатор ключа. Этот идентификатор ключа используется для передачи команды терминалу UE осуществить, на основе ключа, соответствующего указанному идентификатору ключа, аутентификацию безопасности с одним устройством 1303 для доступа в сеть несотовой связи из совокупности, содержащей по мере одно устройство для доступа в сеть несотовой связи. Устройство 1301 для доступа в сеть сотовой связи по отдельности передает указанный идентификатор ключа терминалу UE и устройству 1303 для доступа в сеть несотовой связи.
Терминал UE 1302 конфигурирован для: приема идентификатора ключа, переданного устройством 1301 для доступа в сеть сотовой связи, и осуществления аутентификации безопасности с устройством 1303 для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа.
Устройство 1303 для доступа в сеть несотовой связи конфигурировано для: приема идентификатора ключа, переданного устройством 1301 для доступа в сеть сотовой связи, и осуществления аутентификации безопасности с терминалом UE 1302 на основе ключа, соответствующего указанному идентификатору ключа.
В одном из вариантов в качестве опции, как показано на Фиг. 13, система может далее содержать логический функциональный объект 1304, конфигурированный для управления по меньшей мере одним устройством для доступа в сеть несотовой связи, например, двумя устройствами 1303 для доступа в сеть несотовой связи, показанными на Фиг. 13.
Устройство 1301 для доступа в сеть сотовой связи, в частности, конфигурировано для того, чтобы: определить логический функциональный объект 1304, управляющий устройством 1303 для доступа в сеть несотовой связи; выполнить для каждого устройства 1303 для доступа в сеть несотовой связи, управляемого логическим функциональным объектом 1304, следующий этап: определение идентификатора ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи 1303; и передачу, устройству 1303 для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства 1303 для доступа в сеть несотовой связи, найденного идентификатора ключа, соответствующего каждому устройству 1303 для доступа в сеть несотовой связи, и передачу списка идентификаторов ключей терминалу UE, где этот список идентификаторов ключей содержит идентификатор каждого устройства 1303 для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом 1304, и идентификатор ключа, соответствующего каждому устройству 1303 для доступа в сеть несотовой связи.
Терминал UE 1302, в частности, конфигурирован для того, чтобы: при приеме идентификатора ключа, переданного устройством 1301 для доступа в сеть сотовой связи, принять список идентификаторов ключей, переданный устройством 1301 для доступа в сеть сотовой связи; и при осуществлении аутентификации безопасности с устройством 1303 для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа, выполнить аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи согласно найденному ключу и идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи и входящему в список идентификаторов ключей, так что это целевое устройство для доступа в сеть несотовой связи определено терминалом UE 1302 или устройством 1301 для доступа в сеть сотовой связи.
В другом варианте, являющемся опцией, как показано на Фиг. 13, система может далее содержать логический функциональный объект 1304, конфигурированный для управления по меньшей мере одним устройством для доступа в сеть несотовой связи.
Устройство 1301 для доступа в сеть сотовой связи, в частности, конфигурировано для: определения логического функционального объекта 1304, управляющего устройством 1303 для доступа в сеть несотовой связи; определения идентификатора ключа по меньшей мере для одного устройства 1303 для доступа в сеть несотовой связи, где идентификаторы ключей, соответствующие идентификаторам всех устройств 1303 для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство 1303 для доступа в сеть несотовой связи, являются одинаковыми, так что найденный идентификатор ключа используется для осуществления аутентификации безопасности между терминалом UE 1302 и устройством 1303 для доступа в сеть несотовой связи, соответствующим идентификатору устройства 1303 для доступа в сеть несотовой связи; и передачи найденного идентификатора ключа по отдельности терминалу UE 1302 и устройству 1303 для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства 1303 для доступа в сеть несотовой связи.
Терминал UE 1302, в частности, конфигурирован для того, чтобы: при осуществлении аутентификации безопасности с устройством 1303 для доступа в сеть несотовой связи на основе ключа, соответствующего идентификатору ключа, выполнить аутентификацию безопасности с целевым устройством для доступа в сеть несотовой связи согласно найденному ключу и идентификатору ключа, соответствующему идентификатору целевого устройства для доступа в сеть несотовой связи, так что это целевое устройство для доступа в сеть несотовой связи определено терминалом UE 1302 или устройством 1301 для доступа в сеть сотовой связи.
В качестве опции, устройство 1301 для доступа в сеть сотовой связи дополнительно конфигурировано для того, чтобы: определить ключ, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE 1302 и устройством 1303 для доступа в сеть несотовой связи; и при передаче найденного идентификатора ключа терминалу UE 1302 и устройству 1303 для доступа в сеть несотовой связи, передать эти ключ и идентификатор ключа терминалу UE 1302 и устройству 1303 для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа.
Терминал UE 1302, в частности, конфигурирован для: приема идентификатора ключа и ключа, соответствующего этому идентификатору ключа, переданных устройством 1303 для доступа в сеть несотовой связи, и осуществления аутентификации безопасности с устройством 1303 для доступа в сеть несотовой связи в соответствии с принятыми идентификатором ключа и ключом.
В качестве опции, устройство 1301 для доступа в сеть сотовой связи дополнительно конфигурировано для того, чтобы: определить ключ на основе заданного правила вывода, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE 1302 и устройством 1303 для доступа в сеть несотовой связи; и при передаче найденного идентификатора ключа терминалу UE 1302 и устройству 1303 для доступа в сеть несотовой связи, передать эти ключ и идентификатор ключа устройству 1303 для доступа в сеть несотовой связи после ассоциирования этого ключа с идентификатором ключа, и передачи этого идентификатора ключа терминалу UE 1302.
При приеме идентификатора ключа, переданного устройством 1303 для доступа в сеть несотовой связи, терминал UE 1302 определяет ключ на основе заданного правила вывода и осуществляет аутентификацию безопасности с устройством 1303 для доступа в сеть несотовой связи на основе идентификатора ключа и найденного ключа.
Устройство 1301 для доступа в сеть сотовой связи дополнительно конфигурировано для передачи терминалу UE 1302 и/или устройству 1303 для доступа в сеть несотовой связи по меньшей мере одного из следующего:
срока действия или информации индикации способа аутентификации.
Указанный срок действия используется для индикации периода действительности ключа и идентификатора ключа, и информация индикации способа аутентификации используется для указания типа аутентификации, применяемого терминалом UE 1302. Этот тип аутентификации может представлять собой тип аутентификации, заданный протоколом Аутентификации и управления ключами, например, способ кэширования согласно стандарту 802.1X EAP-AKA.
Устройство для доступа в сеть несотовой связи принимает идентификатор ключа, переданный устройством для доступа в сеть сотовой связи, этот идентификатор ключа используется для передачи команды устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности с абонентским терминалом UE, ассоциированным с этим устройством для доступа в сеть несотовой связи, а также этот идентификатор ключа используется для передачи команды абонентскому терминалу UE осуществить аутентификацию безопасности с устройством для доступа в сеть несотовой связи на основе ключа, соответствующего указанному идентификатору ключа. И терминал UE, и устройство для доступа в сеть несотовой связи получают идентификатор ключа. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи напрямую осуществляет аутентификацию безопасности с использованием ключа, соответствующего идентификатору ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
Устройство 1301 для доступа в сеть сотовой связи, входящее в состав системы аутентификации доступа, предлагаемой в этом варианте настоящего изобретения, может представлять собой устройство для доступа в сеть сотовой связи, рассмотренное в варианте, соответствующем Фиг. 7 или Фиг. 10. Терминал UE 1302 может представлять собой терминал UE, предлагаемый в варианте, соответствующем Фиг. 8 или Фиг. 11. Устройство 1303 для доступа в сеть несотовой связи может представлять собой устройство для доступа в сеть несотовой связи, рассмотренное в варианте, соответствующем Фиг. 9 или Фиг. 12. Поэтому, для получения описания функции, соответствующей устройству 1301 для доступа в сеть сотовой связи в системе аутентификации доступа, следует обратиться к варианту, соответствующему Фиг. 7 или Фиг. 10. Для получения описания функции, соответствующей терминалу UE 1302 в системе аутентификации доступа, следует обратиться к варианту, соответствующему Фиг. 8 или Фиг. 11. Для получения описания функции, соответствующей устройству 1303 для доступа в сеть несотовой связи в системе аутентификации доступа, следует обратиться к варианту, соответствующему Фиг. 9 или Фиг. 12. Повторное описание не приводится.
Один из вариантов настоящего изобретения далее предлагает an способ аутентификации доступа. Как показано на Фиг. 14, способ содержит следующие этапы.
Этап 1401: Устройство для доступа в сеть сотовой связи определяет ключ для устройства для доступа в сеть несотовой связи, этот ключ используется для осуществления аутентификации безопасности между абонентским терминалом UE и устройством для доступа в сеть несотовой связи, а способ определения ключа устройством для доступа в сеть сотовой связи является таким же, как способ определения ключа терминалом UE.
Устройство для доступа в сеть сотовой связи может определить, для терминала UE, одинаковый ключ для всех устройств для доступа в сеть несотовой связи в рамках одного логического функционального объекта, или может определить, для терминала UE, одинаковый ключ для всех устройств для доступа в сеть несотовой связи в каждой группе устройств для доступа в сеть несотовой связи в рамках одного логического функционального объекта, или может определить, для терминала UE, разные ключи для всех устройств для доступа в сеть несотовой связи во все группах устройств для доступа в сеть несотовой связи в рамках одного логического функционального объекта.
Ключ, найденный устройством для доступа в сеть сотовой связи, может представлять собой ключ, совместно используемый терминалом UE и устройством для доступа в сеть сотовой связи, например, это может быть один из ключей KeNB, KRRCint, KRRCenc, KUPenc, KUPint, или другой подобный ключ, либо это может быть ключ, сформированный на основе правила вывода в соответствии с одним или несколькими из перечисленных выше ключей.
В частности, устройство для доступа в сеть сотовой связи может определить ключ для устройства для доступа в сеть несотовой связи следующим образом.
Первый вариант реализации:
Устройство для доступа в сеть сотовой связи формирует ключ для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE.
Правило вывода, используемое для формирования ключа предварительно конфигурировано и является таким же, как правило вывода, предварительно конфигурированное в терминале UE и используемое для формирования ключа.
Второй вариант реализации:
Устройство для доступа в сеть сотовой связи формирует ключ для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE.
Во втором варианте реализации способ может далее содержать:
передачу, устройством для доступа в сеть сотовой связи терминалу UE, правила вывода, используемого для формирования ключа, где это правило вывода используется терминалом UE для формирования ключа для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи. Поэтому, после приема правила вывода, терминал UE формирует, в соответствии с ключом, совместно используемым с устройством для доступа в сеть сотовой связи, ключ, используемый для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
В частности, устройство для доступа в сеть сотовой связи может передать правило вывода терминалу UE с использованием командного сообщения агрегирования LWA или другого вновь определенного сообщения, и это сообщение используется для передачи терминалу UE команды осуществить агрегирование LWA.
Этап 1402: Устройство для доступа в сеть сотовой связи передает найденный ключ устройству для доступа в сеть несотовой связи.
В качестве опции, устройство для доступа в сеть сотовой связи передает ключ устройству для доступа в сеть несотовой связи с использованием логического функционального объекта. В частности, указанный логический функциональный объект и устройство для доступа в сеть несотовой связи осуществляют связь один с другим с использованием частного интерфейса. Это не ограничивает настоящее изобретение.
Когда устройство для доступа в сеть сотовой связи передает указанный ключ устройству для доступа в сеть несотовой связи, этот ключ может быть передан независимо. Когда устройство для доступа в сеть несотовой связи и логический функциональный объект представляют собой один и тот же узел, этот ключ может быть включен, для передачи, в состав сообщения установления туннеля согласно протоколу туннелирования GPRS в абонентской плоскости (User plane of GPRS Tunneling Protocol, GTP-U), переданного устройством для доступа в сеть сотовой связи логическому функциональному объекту, или может быть включен в другое, вновь определенное сообщение для передачи. Когда логический функциональный объект и устройство для доступа в сеть несотовой связи не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи добавляет ключ к сообщению установления туннеля по протоколу GTP-U и передает это сообщение установления туннеля по протоколу GTP-U указанному логическому функциональному объекту. Затем этот логический функциональный объект передает указанное сообщение установления туннеля по протоколу GTP-U устройству для доступа в сеть несотовой связи.
Согласно техническому решению, предлагаемому этим вариантом настоящего изобретения, устройство для доступа в сеть сотовой связи определяет ключ, после чего это устройство для доступа в сеть сотовой связи передает найденный ключ устройству для доступа в сеть несотовой связи. Способ определения ключа терминалом UE является таким же, как способ определения ключа устройством для доступа в сеть сотовой связи. Поэтому, терминал UE и устройство для доступа в сеть несотовой связи может напрямую осуществлять аутентификацию безопасности с использованием этого ключа, так что время аутентификации становится мало и сигнализационные издержки оказываются низкими.
В одном из вариантов, устройство для доступа в сеть несотовой связи и логический функциональный объект представляют собой один и тот же узел. Тот факт, что устройство для доступа в сеть несотовой связи и логический функциональный объект представляют собой один и тот же узел может означать, что функции устройства для доступа в сеть несотовой связи и логического функционального объекта реализованы с использованием одного устройства, или может означать, что рассматриваемый логический функциональный объект встроен в устройство для доступа в сеть несотовой связи. Если логический функциональный объект встроен в устройство для доступа в сеть несотовой связи, в этом случае имеется внутренний интерфейс между логическим функциональным объектом и устройством для доступа в сеть несотовой связи, так что этот логический функциональный объект и устройство для доступа в сеть несотовой связи обмениваются информацией с использованием внутреннего интерфейса.
Устройство для доступа в сеть сотовой связи может определить, следующим образом, ключ для ассоциирования терминала UE с устройством для доступа в сеть несотовой связи:
Устройство для доступа в сеть сотовой связи определяет, согласно отчету об измерениях, переданному терминалом UE, устройство для доступа в сеть несотовой связи, с которым необходимо ассоциировать терминал UE. Отчет об измерениях содержит указание качества сигнала в сети WLAN, в которой находится терминал UE. Устройство для доступа в сеть сотовой связи выбирает устройство для доступа в сеть несотовой связи в сети WLAN, обеспечивающей относительно высокое качество сигнала для этого терминала UE.
В частности, после приема сообщения запроса измерительной конфигурации, переданного устройством для доступа в сеть сотовой связи, терминал UE может измерить качество сигнала в сети WLAN, в которой находится этот терминал UE, и передать, устройству для доступа в сеть сотовой связи, отчет об измерениях, сформированный на основе результатов измерений.
Устройство для доступа в сеть сотовой связи определяет ключ, соответствующий устройству для доступа в сеть несотовой связи, выбранному для терминала UE, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи.
Устройство для доступа в сеть сотовой связи передает, устройству для доступа в сеть несотовой связи, найденный ключ, соответствующий устройству для доступа в сеть несотовой связи, выбранному для терминала UE.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи может определить ключ для устройства для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, которому принадлежит устройство для доступа в сеть несотовой связи, подлежащее ассоциированию с терминалом UE. Устройство для доступа в сеть сотовой связи определяет каждое устройство для доступа в сеть несотовой связи, управляемое рассматриваемым логическим функциональным объектом. Затем, это устройство для доступа в сеть сотовой связи осуществляет для каждого устройства для доступа в сеть несотовой связи следующий этап: определение ключа, соответствующего каждому устройству для доступа в сеть несотовой связи. Этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи.
Устройство для доступа в сеть несотовой связи, подлежащее ассоциированию с терминалом UE, выбирается устройством для доступа в сеть сотовой связи для терминала UE. Подлежащее ассоциированию устройство для доступа в сеть несотовой связи выбирают для определения логического функционального объекта, так что можно определить все устройства для доступа в сеть несотовой связи, управляемые указанным логическим функциональным объектом. Конкретный способ выбора может быть следующим: После приема сообщения запроса измерительной конфигурации, переданного устройством для доступа в сеть сотовой связи, терминал UE может измерить качество сигнала в сети WLAN, в которой находится этот терминал UE, и передать, устройству для доступа в сеть сотовой связи, отчет об измерениях, сформированный на основе результатов измерений. Устройство для доступа в сеть сотовой связи определяет, согласно отчету об измерениях, переданному терминалом UE, устройство для доступа в сеть несотовой связи, с которым необходимо ассоциировать терминал UE. needs to be associated. Например, устройство для доступа в сеть сотовой связи выбирает устройство для доступа в сеть несотовой связи в сети WLAN, обеспечивающей относительно высокое качество сигнала для этого терминала UE.
Затем, устройство для доступа в сеть сотовой связи может передать найденный ключ устройству для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи передает устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, найденный ключ, соответствующий каждому устройству для доступа в сеть несотовой связи.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи может определить ключ для устройства для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, управляющий устройством для доступа в сеть несотовой связи. Этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи.
Устройство для доступа в сеть сотовой связи определяет ключ, по меньшей мере для одного устройства для доступа в сеть несотовой связи. Ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи из совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
Затем, устройство для доступа в сеть сотовой связи передает найденный ключ устройству для доступа в сеть несотовой связи.
В одном из вариантов, если устройство для доступа в сеть несотовой связи и логический функциональный объект не являются одним и тем же узлом, устройство для доступа в сеть сотовой связи может определить ключ для устройства для доступа в сеть несотовой связи следующим образом:
Устройство для доступа в сеть сотовой связи определяет логический функциональный объект, управляющий устройством для доступа в сеть несотовой связи. Этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи, так что это по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи. Иными словами, все устройства для доступа в сеть несотовой связи, управляемые указанным логическим функциональным объектом, классифицируют по нескольким группам устройств для доступа в сеть несотовой связи и каждая группа содержит по меньшей мере одно устройство для доступа в сеть несотовой связи.
Устройство для доступа в сеть сотовой связи определяет ключ для каждой группы устройств для доступа в сеть несотовой связи. Ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в каждую группу устройств для доступа в сеть несотовой связи, являются одинаковыми, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим указанному идентификатору устройства для доступа в сеть несотовой связи. Разные группы устройств для доступа в сеть несотовой связи соответствуют различным ключам.
В качестве опции, после определения ключа для устройства для доступа в сеть несотовой связи, устройство для доступа в сеть сотовой связи определяет идентификатор ключа, соответствующий найденному ключу, и затем передает найденный идентификатор ключа устройству для доступа в сеть несотовой связи.
Эти идентификатор ключа и ключ могут быть переданы одновременно или могут быть переданы по отдельности. Способ определения, устройством для доступа в сеть сотовой связи, идентификатора ключа, соответствующего полученному ключу, является таким же, как способ определения, терминалом UE, идентификатора ключа, соответствующего этому ключу.
В частности, идентификатор ключа может быть определен на основе собственно ключа, идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен на основе ключа и идентификатора терминала UE, либо может быть определен с использованием идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен с использованием идентификатора устройства для доступа в сеть несотовой связи и указанного ключа, либо может быть определен с использованием только идентификатора терминала UE.
Идентификатор ключа в этом варианте настоящего изобретения используется для агрегирования LWA. Поэтому, идентификатор ключа можно отличить от идентификатора ключа, используемого для связи в обычной сети WLAN. В частности, если сервис обычной сети WLAN аутентифицирован на сервере AAA, можно также сформировать идентификатор ключа, так что этот идентификатор ключа отличается от идентификатора ключа, используемого для агрегирования LWA. Этот идентификатор ключа может быть маркирован для отличения от других.
Один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа. Как показано на Фиг. 15, способ содержит следующие этапы.
Этап 1501: Терминал UE определяет ключ, так что этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи.
В качестве опции, терминал UE может определить ключ следующим образом:
Терминал UE формирует, на основе ключа, совместно используемого с устройством для доступа в сеть сотовой связи, рассматриваемый ключ с использованием правила вывода.
Это правило вывода может быть передано устройством для доступа в сеть сотовой связи. В частности, устройство для доступа в сеть сотовой связи может передать правило вывода терминалу UE с использованием командного сообщения агрегирования LWA.
Это правило вывода может быть предварительно конфигурировано в терминале UE и является таким же, как правило вывода, используемое устройством для доступа в сеть сотовой связи для формирования ключа для устройства для доступа в сеть несотовой связи. Иными словами, правило вывода может быть предварительно конфигурировано в терминале UE и в устройстве для доступа в сеть сотовой связи.
Этап 1502: Терминал UE определяет идентификатор ключа, соответствующий указанному ключу.
Идентификатор ключа может быть определен терминалом UE на основе собственно ключа, идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен на основе ключа и идентификатора терминала UE, либо может быть определен с использованием идентификатора терминала UE и идентификатора устройства для доступа в сеть несотовой связи, либо может быть определен с использованием идентификатора устройства для доступа в сеть несотовой связи и указанного ключа, либо может быть определен с использованием только идентификатора терминала UE.
Например, PMKID=HMAC-SHA1-128(PMK, ''PMK_name''|MAC_AP|MAC_UE).
Здесь параметр PMKID представляет идентификатор ключа, параметр PMK представляет ключ, параметр PMK_name представляет имя ключа, и параметр MAC_UE представляет идентификатор терминала UE, иными словами, WLAN MAC-адрес терминала UE. Параметр MAC_AP представляет идентификатор устройства для доступа в сеть несотовой связи, иными словами, MAC-адрес устройства для доступа в сеть несотовой связи. Параметр HMAC представляет собой хеш-код аутентификации сообщения, относящийся к рассматриваемому ключу. Алгоритм SHA1 представляет собой алгоритм безопасного хеширования.
Этап 1503: Терминал UE осуществляет аутентификацию безопасности с устройством для доступа в сеть несотовой связи с использованием указанных ключа и идентификатора ключа.
В частности, терминал UE инициирует запрос ассоциирования устройству для доступа в сеть несотовой связи, так что этот запрос ассоциирования содержит идентификатор терминала UE и идентификатор ключа. После приема запроса ассоциирования устройство для доступа в сеть несотовой связи может определить, согласно идентификатору терминала UE, идентификатор ключа, соответствующий ключу, принятому заранее и переданному устройством для доступа в сеть сотовой связи, или может определить, согласно идентификатору терминала UE и указанному ключу, идентификатор ключа, соответствующий этому ключу. Если устройство для доступа в сеть сотовой связи определит, что идентификатор ключа, передаваемый в запросе ассоциирования, является таким же, как найденный идентификатор ключа, осуществляют четырехэтапное квитирование аутентификации безопасности с терминалом UE с использованием ключа, соответствующего найденному идентификатору ключа.
Идентификатор ключа в этом варианте настоящего изобретения используется для агрегирования LWA. Поэтому, рассматриваемый идентификатор ключа можно отличить от идентификатора ключа, используемого для сервиса обычной сети WLAN. В частности, если сервис обычной сети WLAN аутентифицирован на сервере AAA, идентификатор ключа может быть также сформирован, и этот идентификатор ключа отличается от идентификатора ключа, используемого для агрегирования LWA. Этот идентификатор ключа может быть маркирован для отличения от других.
Один из вариантов настоящего изобретения далее предлагает способ аутентификации доступа. Как показано на Фиг. 16, способ содержит следующие этапы.
Этап 1601: Устройство для доступа в сеть несотовой связи принимает ключ, переданный устройством для доступа в сеть сотовой связи, и этот ключ используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи.
Этап 1602: Устройство для доступа в сеть несотовой связи определяет идентификатор ключа, соответствующий указанному ключу.
В качестве опции, устройство для доступа в сеть несотовой связи может определить, согласно ключу и идентификатору устройства для доступа в сеть сотовой связи, идентификатор ключа, соответствующий этому ключу, или может определить, согласно идентификатору терминала UE и ключу после приема запроса ассоциирования, переданного терминалом UE и содержащего идентификатор этого терминала UE, идентификатор ключа, соответствующего этому ключу, или может определить, согласно идентификатору терминала UE, идентификатору устройства для доступа в сеть сотовой связи и указанному ключу, идентификатор ключа, соответствующий этому ключу.
В качестве опции, устройство для доступа в сеть несотовой связи может определить, следующим образом, идентификатор ключа, соответствующий указанному ключу: Устройство для доступа в сеть несотовой связи принимает идентификатор ключа, соответствующий рассматриваемому ключу и переданный устройством для доступа в сеть сотовой связи.
Этап 1603: Устройство для доступа в сеть несотовой связи осуществляет аутентификацию безопасности с терминалом UE с использованием указанных идентификатора ключа и ключа.
В частности, терминал UE передает запрос ассоциирования устройству для доступа в сеть несотовой связи. Затем, если это устройство для доступа в сеть несотовой связи определяет, что принятый идентификатор ключа, переданный терминалом UE, является таким же, как идентификатор ключа, сохраняемый в этом устройстве для доступа в сеть несотовой связи, указанные терминал UE и устройство для доступа в сеть несотовой связи выполняют процедуру четырехэтапного квитирования на основе ключа, соответствующего указанному идентификатору ключа. После успешного завершения четырехэтапной аутентификации квитирования устройство для доступа в сеть сотовой связи может осуществить передачу данных, полученных в результате многопотокового агрегирования, с терминалом UE с использованием устройства для доступа в сеть несотовой связи.
Указанный идентификатор ключа в этом варианте настоящего изобретения используется для агрегирования LWA. Поэтому, такой идентификатор ключа можно отличить от идентификатора ключа, применяемого для сервиса в обычной сети WLAN. В частности, если сервис обычной сети WLAN аутентифицируется на сервере AAA, может быть также сформирован идентификатор ключа, причем этот идентификатор ключа отличается от идентификатора ключа, используемого для агрегирования LWA. Этот идентификатор ключа может быть маркирован для отличения от других.
В дальнейшем конкретно описаны варианты настоящего изобретения со ссылками на примеры. В следующем примере сеть сотовой связи представляет собой сеть LTE, устройство для доступа в сеть сотовой связи представляет собой узел eNB, сеть несотовой связи представляет собой сеть WLAN, устройство для доступа в сеть несотовой связи представляет собой точку AP, и логический функциональный объект представляет собой оконечную станцию WT, используемую для описания.
Эти варианты настоящего изобретения конкретно описаны с использованием системы сети выгрузки и агрегирования, показанной на Фиг. 4A и Фиг. 4B, в качестве примера.
На Фиг. 17 представлена упрощенная диаграмма способа аутентификации доступа согласно одному из вариантов настоящего изобретения.
Этап 1701: Узел eNB определяет параметр PMK для точки AP.
Этот параметр PMK представляет ключ, так что этот ключ PMK используется для осуществления аутентификации безопасности между терминалом UE и точкой AP.
Узел eNB может определить одинаковый ключ для всех точек AP в рамках оконечной станции WT, или может определить одинаковый ключ для всех точек AP в каждой группе точек AP в составе оконечной станции WT, или может определить разные ключи для всех точек AP во всех группах точек AP в составе оконечной станции WT.
В частности, ключ PMK может представлять собой ключ, совместно используемый узлом eNB и терминалом UE, например, один из ключей KeNB, KRRCint, KRRCenc, KUPenc, KUPint, или другой подобный ключ, либо может представлять собой ключ, сформированный на основе правила вывода в соответствии с одним или несколькими из указанных выше ключей
Этап 1702: Узел eNB передает найденный им ключ PMK в адрес оконечной станции WT.
Оконечная станция WT может передать, для каждой точки AP с использованием частного интерфейса между оконечной станцией WT и точкой AP, ключ PMK, соответствующий каждой точке AP.
Этот ключ PMK может быть передан независимо, или может быть добавлен к сообщению установления туннеля по протоколу GTP-U (такому как сообщение запроса добавления оконечной станции WT) и передан этой оконечной станции WT, или может быть добавлен к определяемому пользователем сообщению для передачи, или к какому-то другому сообщению.
В качестве опции, прежде этапа 1701, способ может дополнительно содержать следующий этап.
Оконечная станция WT передает сообщение запроса ключа узлу eNB, и это сообщение запроса ключа используется для передачи команды узлу eNB определить ключ для каждой точки AP, управляемой оконечной станцией WT.
В качестве опции, узел eNB может дополнительно определять идентификатор PMKID, соответствующий ключу PMK, и затем передавать этот найденный идентификатор PMKID в адрес оконечной станции WT. Здесь способ определения узлом eNB, идентификатора PMKID, соответствующего ключу PMK, является таким же, как способ определения терминалом UE, идентификатора PMKID, соответствующего ключу PMK, на этапе 1704. Оконечная станция WT может передать идентификатор PMKID точке AP с использованием частного интерфейса между этой оконечной станцией WT и точкой AP.
Этап 1703: терминал UE принимает командное сообщение агрегирования LWA, переданное узлом eNB.
Это командное сообщение агрегирования LWA используется терминалом UE для создания конфигурации, относящейся к агрегированию LWA. -Такое командное сообщение агрегирования LWA может нести информацию относительно группы точек AP. Это командное сообщение агрегирования LWA может содержать правило вывода, используемое узлом eNB для инструктирования терминала UE с целью вывести ключ.
После приема командного сообщения агрегирования LWA, терминал UE может определить, на основе правила вывода, ключ для каждой точки AP, входящей в рассматриваемую группу точек AP. Поэтому указанный ключ является таким же, как ключ, переданный узлом eNB для каждой точки AP.
После приема командного сообщения агрегирования LWA, терминал UE может выбрать, из всех точек AP, входящих в рассматриваемую группу точек AP, одну точку AP в качестве целевой точки AP. Эта точка AP может быть точкой AP, предоставляющей самый сильный сигнал. Затем терминал UE определяет ключ на основе правила вывода с целью осуществления аутентификации безопасности с точкой AP.
Этап 1704: Терминал UE определяет идентификатор PMKID, соответствующий ключу PMK.
Этот идентификатор PMKID может быть определен терминалом UE на основе идентификатора этого терминала UE. Идентификатор терминала UE может представлять собой WLAN MAC-адрес этого терминала UE. Идентификатор PMKID может быть определен терминалом UE на основе идентификатора точки AP, или может быть определен с использованием ключа PMK, идентификатора терминала UE и идентификатора точки AP, или может быть определен с использованием ключа PMK и идентификатора терминала UE, или может быть определен с использованием ключа PMK и идентификатора точки AP. Этот идентификатор точки AP может представлять собой какой-либо идентификатор BSSID/ESSID/SSID.
Например, PMKID=HMAC-SHA1-128(PMK, ''PMK_name''|MAC_AP|MAC_UE).
Параметр PMK_name представляет имя ключа, и параметр MAC_UE представляет идентификатор терминала UE, иными словами, WLAN MAC-адрес терминала UE. Параметр MAC_AP представляет идентификатор устройства для доступа в сеть несотовой связи, иными словами, MAC-адрес устройства для доступа в сеть несотовой связи. Параметр HMAC представляет собой хеш-код аутентификации сообщения, относящийся к рассматриваемому ключу. Алгоритм SHA1 представляет собой алгоритм безопасного хеширования.
Этап 1705: Терминал UE передает сообщение запроса ассоциирования точке WLAN AP.
Это сообщение запроса ассоциирования несет идентификатор PMKID.
Этап 1706: Точка AP определяет идентификатор PMKID, соответствующий ключу PMK.
В частности, идентификатор PMKID может быть определен точкой AP на основе идентификатора терминала UE. Идентификатор терминала UE может представлять собой WLAN MAC-адрес терминала UE. Этот идентификатор PMKID может быть определен точкой AP на основе идентификатора этой точки AP, или может быть определен с использованием ключа PMK, идентификатора терминала UE и идентификатора этой точки AP, или может быть определен с использованием ключа PMK и идентификатора терминала UE, или может быть определен с использованием ключа PMK и идентификатора этой точки AP. Способ определения, точкой AP, идентификатора PMKID, соответствующего ключу PMK, является таким же, как способ определения такого идентификатора PMKID, соответствующего ключу PMK, терминалом UE.
Идентификатор PMKID, найденный точкой AP и соответствующий ключу PMK, является таким же, как принятый идентификатор PMKID, переданный терминалом UE, и поэтому, ключ PMK, соответствующий идентификатору PMKID, используется для осуществления четырехэтапного квитирования аутентификации безопасности. Если идентификатор PMKID, найденный точкой AP и соответствующий ключу PMK, отличается от принятого идентификатора PMKID, переданного терминалом UE, аутентификация заканчивается неудачей.
В качестве опции, точка AP может определить идентификатор PMKID, соответствующий ключу PMK, следующим образом: Точка AP принимает идентификатор PMKID, соответствующий ключу PMK и переданный узлом eNB, с использованием оконечной станции WT, управляющей этой точкой AP.
В качестве опции, способ может далее содержать следующий этап.
Этап 1707: Терминал UE передает сообщение квитирования агрегирования LWA узлу eNB, и это сообщение используется для индикации, закончилось ли агрегирование LWA успехом или неудачей.
В качестве альтернативы, такое сообщение квитирования агрегирования LWA (или сообщение квитирования добавления оконечной станции WT) передают узлу eNB с использованием оконечной станции WT, и используют указанное сообщение для индикации успеха или неудачи агрегирования LWA. Оконечная станция WT может быть извещена с использованием точки AP, была ли эта оконечная станция WT добавлена успешно, так что конкретная реализация в рамках настоящего изобретения ничем не ограничивается.
Когда узел eNB принимает сообщение успеха агрегирования LWA, переданное терминалом UE или оконечной станцией WT, способ дополнительно содержит следующий этап.
Этап 1708: Узел eNB осуществляет обмен данными с агрегированием LWA с терминалом UE с использованием точки AP.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 14, как показано на Фиг. 18, один из вариантов настоящего изобретения предлагает аппаратуру для аутентификации доступа. Эта аппаратура применяется к устройству для доступа в сеть сотовой связи и может представлять собой аппаратуру, независимую от устройства для доступа в сеть сотовой связи, или может представлять собой аппаратуру, расположенную в устройстве для доступа в сеть сотовой связи, или может быть реализована устройством для доступа в сеть сотовой связи. Аппаратура для аутентификации доступа содержит:
процессорный модуль 1801, конфигурированный для определения ключа для устройства для доступа в сеть несотовой связи, где этот ключ используется для осуществления аутентификации безопасности между абонентским терминалом UE и устройством для доступа в сеть несотовой связи, а способ определения ключа этим процессорным модулем является таким же, как способ определения ключа терминалом UE; и
приемопередающий модуль 1802, конфигурированный для передачи ключа, найденного процессорным модулем 1801, устройству для доступа в сеть несотовой связи.
В качестве опции, при определении ключа для устройства для доступа в сеть несотовой связи, процессорный модуль 1801, в частности, конфигурирован для формирования ключа для устройства для доступа в сеть несотовой связи на основе ключа, используемого совместно с терминалом UE. Правило вывода, используемое для формирования этого ключа, предварительно конфигурировано и является таким же, как правило вывода, предварительно конфигурированное в терминале UE и используемое для формирования ключа.
В качестве опции, при определении ключа для устройства для доступа в сеть несотовой связи, процессорный модуль 1801, в частности, конфигурирован для формирования ключа для устройства для доступа в сеть несотовой связи на основе ключа, используемого совместно с терминалом UE.
Приемопередающий модуль 1802 дополнительно конфигурирован для передачи, терминалу UE, правила вывода, используемого для формирования ключа, так что это правило вывода используется терминалом UE для формирования ключа с целью осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
В качестве опции, при определении ключа для устройства для доступа в сеть несотовой связи процессорный модуль 1801, в частности, конфигурирован для:
определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
осуществления для каждого устройства для доступа в сеть несотовой связи, управляемого указанным логическим функциональным объектом следующего этапа: определения ключа, соответствующего идентификатору каждого устройства для доступа в сеть несотовой связи.
При передаче ключа, найденного процессорным модулем 1801, устройству для доступа в сеть несотовой связи приемопередающий модуль 1802, в частности, конфигурирован для передачи устройству для доступа в сеть несотовой связи, соответствующему идентификатору каждого устройства для доступа в сеть несотовой связи, ключа, найденного процессорным модулем 1801 и соответствующего каждому устройству для доступа в сеть несотовой связи.
В качестве опции, при определении ключа для устройства для доступа в сеть несотовой связи процессорный модуль 1801 в частности конфигурирован для: определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи; и
определения ключа по меньшей мере для одного устройства для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи в совокупности, содержащей по меньшей мере одно устройство для доступа в сеть несотовой связи, являются одинаковыми, так что этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройству для доступа в сеть несотовой связи.
В качестве опции, при определении ключа для устройства для доступа в сеть несотовой связи процессорный модуль 1801 в частности конфигурирован для:
определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, где этот логический функциональный объект управляет совокупностью по меньшей мере из одного устройства для доступа в сеть несотовой связи, содержащей указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи; и
определения ключа для каждой группы устройств для доступа в сеть несотовой связи, где ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в каждую группу устройств для доступа в сеть несотовой связи, являются одинаковыми, и этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
Процессорный модуль 1801 дополнительно конфигурирован для того, чтобы: после определения ключа для устройства для доступа в сеть несотовой связи, определить идентификатор ключа, соответствующий указанному ключу.
Приемопередающий модуль 1802 дополнительно конфигурирован для передачи идентификатора ключа, найденного процессорным модулем, устройству для доступа в сеть несотовой связи.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 15, как показано на Фиг. 19, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа. Эта аппаратура применима к терминалу UE и может, в частности, представлять собой аппаратуру, независимую от терминала UE, или может представлять собой аппаратуру для аутентификации доступа, расположенную в терминале UE, или может быть реализована терминалом UE. Эта аппаратура для аутентификации доступа содержит:
модуль определения 1901, конфигурированный для: определения ключа, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и определения идентификатора ключа, соответствующего указанному ключу; и
аутентификационный модуль 1902, конфигурированный для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи с использованием указанных ключа и идентификатора ключа.
При определении ключа модуль определения 1901, в частности, конфигурирован для формирования, на основе ключа, используемого совместно с устройством для доступа в сеть сотовой связи, ключа с использованием правила вывода. Это правило вывода передают от устройства для доступа в сеть сотовой связи, или это правило вывода предварительно конфигурировано в терминале UE и является таким же, как правило вывода, используемое устройством для доступа в сеть сотовой связи с целью формирования ключа для устройства для доступа в сеть несотовой связи.
На основе такой же концепции изобретения, как и в варианте способа, показанном на Фиг. 16, как представлено на Фиг. 20, один из вариантов настоящего изобретения далее предлагает аппаратуру для аутентификации доступа. Эта аппаратура применима к устройству для доступа в сеть несотовой связи, и может представлять собой, в частности, аппаратуру для аутентификации доступа, независимую от устройства для доступа в сеть несотовой связи, или может быть расположена в устройстве для доступа в сеть несотовой связи, или может быть реализована устройством для доступа в сеть несотовой связи. Эта аппаратура для аутентификации доступа содержит:
приемопередающий модуль 2001, конфигурированный для приема ключа, переданного устройством для доступа в сеть сотовой связи, где этот ключ используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификации безопасности с абонентским терминалом UE, ассоциированным с устройством для доступа в сеть несотовой связи; и
процессорный модуль 2002, конфигурированный для: определения идентификатора ключа, соответствующего указанному ключу, и осуществления аутентификации безопасности с терминалом UE с использованием указанных идентификатора ключа и ключа.
Приемопередающий модуль 2001 дополнительно конфигурирован для приема идентификатора ключа, соответствующего указанному ключу и переданного устройством для доступа в сеть сотовой связи.
На основе такой же концепции изобретения, как и в варианте аппаратуры, показанном на Фиг. 18, один из вариантов настоящего изобретения далее предлагает устройство для аутентификации доступа. Это устройство может представлять собой устройство, независимое от устройства для доступа в сеть сотовой связи, или может быть устройством, расположенным в устройстве для доступа в сеть сотовой связи, или может быть реализовано устройством для доступа в сеть сотовой связи. Как показано на Фиг. 21, устройство содержит приемопередатчик 2101, процессор 2102 и запоминающее устройство 2103. Эти приемопередатчик 2101, процессор 2102 и запоминающее устройство 2103 соединены одно с другими. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 21, запоминающее устройство 2103, процессор 2102 и приемопередатчик 2101 соединены одно с другим с использованием шины 2104. Эта шина представлена жирной линией на Фиг. 21. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 21 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 2103 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 2102, и может представлять собой энергозависимое запоминающее устройство, такое как запоминающее устройство с произвольной выборкой (ЗУПВ) (random-access memory, RAM). В качестве альтернативы, запоминающее устройство 2103 может представлять собой энергонезависимое запоминающее устройство, такое как постоянное запоминающее устройство (ПЗУ) (read-only memory, ROM), устройство флеш-памяти, накопитель на жестком диске (hard disk drive, HDD) или твердотельный диск (solid-state drive, SSD). В качестве альтернативы, запоминающее устройство 2103 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 2103 может представлять собой сочетание перечисленных выше запоминающих устройств.
Процессор 2102 в этом варианте настоящего изобретения может представлять собой центральный процессор (central processing unit, CPU).
Процессор 2102 конфигурирован для определения ключа для устройства для доступа в сеть несотовой связи, этот ключ используется для осуществления аутентификации безопасности между абонентским терминалом UE и устройством для доступа в сеть несотовой связи, а способ определения ключа процессором 2102 является таким же, как способ определения ключа терминалом UE.
Приемопередатчик 2101 конфигурирован для передачи ключа, найденного процессором 2102, устройству для доступа в сеть несотовой связи.
Следует отметить, что процессор 2102 может также выполнять другие операции, осуществляемые процессорным модулем 1801, показанным на Фиг. 18, и приемопередатчик 2101 может также выполнять другие операции, осуществляемые приемопередающим модуле 1802, показанным на Фиг. 18.
На основе такой же концепции изобретения, как и в варианте аппаратуры, показанном на Фиг. 19, один из вариантов настоящего изобретения далее предлагает устройство для аутентификации доступа. Это устройство может представлять собой устройство, независимое от терминала UE, или может представлять собой устройство, расположенное в терминале UE, или может быть реализовано терминалом UE. Как показано на Фиг. 22, это устройство содержит приемопередатчик 2201, процессор 2202 и запоминающее устройство 2203. Эти приемопередатчик 2201, процессор 2202 и запоминающее устройство 2203 соединены одно с другим. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 22, запоминающее устройство 2203, процессор 2202 и приемопередатчик 2201 соединены одно с другим с использованием шины 2204. Эта шина представлена жирной линией на Фиг. 22. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 22 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 2203 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 2202, и может представлять собой энергозависимое запоминающее устройство, такое как запоминающее устройство с произвольной выборкой. В качестве альтернативы, запоминающее устройство 2203 может представлять собой энергонезависимое запоминающее устройство, такое как ПЗУ (ROM), устройство флеш-памяти, накопитель HDD или твердотельный диск (SSD). В качестве альтернативы, запоминающее устройство 2203 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 2203 может представлять собой сочетание перечисленных выше запоминающих устройств.
Процессор 2202 в этом варианте настоящего изобретения может представлять собой процессор CPU.
Процессор 2202 конфигурирован для: определения ключа, где этот ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; определения идентификатора ключа, соответствующего найденному ключу; и осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи с использованием найденных ключа и идентификатора ключа.
Следует отметить, что процессор 2202 может также выполнять другие операции, осуществляемые модулем определения 1901 и аутентификационным модулем 1902, показанными на Фиг. 19.
На основе такой же концепции изобретения, как и в варианте аппаратуры, показанном на Фиг. 20, один из вариантов настоящего изобретения далее предлагает устройство для аутентификации доступа. Это устройство может представлять собой устройство, независимое от устройства для доступа в сеть несотовой связи, или может представлять собой устройство, расположенное в устройстве для доступа в сеть несотовой связи, или может быть реализовано устройством для доступа в сеть несотовой связи. Как показано на Фиг. 23, устройство содержит приемопередатчик 2301, процессор 2302 и запоминающее устройство 2303. Эти приемопередатчик 2301, процессор 2302 и запоминающее устройство 2303 соединены одно с другим. Конкретный вид соединений между перечисленными выше компонентами в рассматриваемом варианте ничем специально не ограничен. В этом варианте настоящего изобретения, показанном на Фиг. 23, запоминающее устройство 2303, процессор 2302 и приемопередатчик 2301 соединены одно с другим с использованием шины 2304. Эта шина представлена жирной линией на Фиг. 23. Способ соединения между другими компонентами показан здесь только в качестве примера и ничем специально не ограничен. Шина может подразделяться на адресную шину, шину данных, шину управления или другую подобную шину. Для простоты представления на Фиг. 23 использована только одна жирная линия, однако это не означает, что имеется только одна шина или один тип шин.
Запоминающее устройство 2303 в этом варианте настоящего изобретения конфигурировано для сохранения программного кода, исполняемого процессором 2302, и может представлять собой энергозависимое запоминающее устройство, такое как запоминающее устройство с произвольной выборкой. В качестве альтернативы, запоминающее устройство 2303 может представлять собой энергонезависимое запоминающее устройство, такое как ПЗУ (ROM), устройство флеш-памяти, накопитель HDD или твердотельный диск (SSD). В качестве альтернативы, запоминающее устройство 2303 может представлять собой какой-либо другой носитель данных, который может быть использован для передачи или хранения ожидаемого программного кода в форме команд или структур данных и может быть доступен для компьютера. Однако возможные варианты этим не ограничиваются. Запоминающее устройство 2303 может представлять собой сочетание перечисленных выше запоминающих устройств.
Процессор 2302 в этом варианте настоящего изобретения может представлять собой процессор CPU.
Приемопередатчик 2301 конфигурирован для приема ключа, переданного устройством для доступа в сеть сотовой связи, где этот ключ используется для передачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом UE, ассоциированным с этим устройством для доступа в сеть несотовой связи.
Процессор 2302 конфигурирован для: определения идентификатора ключа, соответствующего найденному ключу, и осуществления аутентификации безопасности с терминалом UE с использованием указанных идентификатора ключа и ключа.
Следует отметить, что процессор 2302 может также выполнять другие операции, осуществляемые процессорным модулем 2002, показанным на Фиг. 20, и приемопередатчик 2301 может также выполнять другие операции, осуществляемые приемопередающим модулем 2001, показанным на Фиг. 20.
Один из вариантов настоящего изобретения далее предлагает систему аутентификации доступа. Эта система содержит устройство для доступа в сеть сотовой связи, устройство для доступа в сеть несотовой связи и терминал UE. Устройство для доступа в сеть сотовой связи может представлять устройство для доступа в сеть сотовой связи, предлагаемое в варианте, соответствующем Фиг. 18 или Фиг. 21. Терминал UE может представлять собой терминал UE, предлагаемый в варианте, соответствующем Фиг. 19 или Фиг. 22. Устройств для доступа в сеть несотовой связи может представлять собой устройство для доступа в сеть несотовой связи, предлагаемое в варианте, соответствующем Фиг. 20 или Фиг. 23.
Следует отметить, что количество устройств, входящих в состав системы аутентификации доступа, в этом варианте настоящего изобретения ничем специально не ограничено.
Специалисты в рассматриваемой области должны понимать, что варианты настоящего изобретения могут быть реализованы в виде способа, системы или компьютерного программного продукта. Поэтому настоящее изобретение может использовать форму чисто аппаратных вариантов, чисто программных вариантов или вариантов с сочетанием программного обеспечения и аппаратуры. Кроме того, настоящее изобретение может использовать форму компьютерного продукта, записанного на одном или нескольких компьютерных носителей данных (включая, не ограничиваясь этим, дисковое запоминающее устройство, запоминающее устройство CD-ROM, оптическое запоминающее устройство или другое подобное устройство), содержащих используемых компьютером программный код.
Настоящее изобретение описано со ссылками на логические схемы и/или блок-схемы и диаграммы способа, устройства (системы) и компьютерного программного продукта согласно вариантам настоящего изобретения. Следует понимать, что команды компьютерной программы могут быть использованы для осуществления каждого процесса и/или каждого блока на логических схемах и/или блок-схемах, а также сочетаний процесса и/или блока на логических схемах и/или блок-схемах. Эти команды компьютерной программы могут быть разработаны для компьютера общего назначения, специализированного компьютера, встроенного процессора или процессора какого-либо другого программируемого устройства обработки данных с целью генерации машины, так что при выполнении этих команд компьютер или процессор какого-либо другого программируемого устройства обработки данных генерирует аппаратуру для осуществления какой-либо конкретной функции в ходе одного или нескольких процессов логических схем и/или в одном или нескольких блоках, показанных на блок-схемах.
Эти команды компьютерной программы могут быть сохранены в компьютерном запоминающем устройстве, которое может передавать эти команды компьютеру или какому-либо другому программируемому устройству обработки данных для обеспечения работы конкретным образом, так что выполнение команд, хранящихся в компьютерном запоминающем устройстве, порождает артефакт, содержащий аппаратуру согласно этим командам. Аппаратура согласно командам осуществляет некую конкретную функцию в ходе одного или нескольких процессов логических схем и/или в одном или нескольких блоках, показанных на блок-схемах.
Эти команды компьютерной программы могут быть загружены в компьютер или какое-либо другое программируемое устройство обработки данных, так что этот компьютер или какое-либо другое программируемое устройство обработки данных выполняют в соответствии с этими командами ряд операций, осуществляя компьютерную обработку данных. Поэтому при выполнении таких команд компьютер или какое-либо другое программируемое устройство обработки данных выполняют этапы для осуществления некой конкретной функции в ходе одного или нескольких процессов логических схем и/или в одном или нескольких блоках, показанных на блок-схемах.
Тогда как выше были описаны некоторые варианты настоящего изобретения, специалисты в рассматриваемой области могут внести в эти варианты разнообразные изменения и модификации после изучения основной концепции изобретения. Поэтому прилагаемую далее Формулу изобретения следует толковать, как охватывающую эти варианты и все изменения и модификации, попадающие в объем настоящего изобретения.
Очевидно, что специалисты в рассматриваемой области могут произвести самые разнообразные модификации и изменения в вариантах настоящего изобретения, не отклоняясь от смысла и объема вариантов этого изобретения. Настоящее изобретение должно охватывать все эти модификации и изменения, предполагая, что они попадают в объем защиты, определяемый следующей далее Формулой изобретения и эквивалентными ей технологиями.
1. Способ аутентификации доступа, содержащий этапы, на которых:
определяют, устройством для доступа в сеть сотовой связи, ключ для осуществления аутентификации безопасности между абонентским терминалом (UE) и устройством для доступа в сеть несотовой связи и указанный ключ совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности; и
передают, устройством для доступа в сеть сотовой связи, найденный ключ устройству для доступа в сеть несотовой связи;
при этом на этапе определения, устройством для доступа в сеть сотовой связи, ключа для осуществления аутентификации безопасности между абонентским терминалом (UE) и устройством для доступа в сеть несотовой связи:
определяют, устройством для доступа в сеть сотовой связи, логический функциональный объект, управляющий устройством для доступа в сеть несотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи; и
определяют, устройством для доступа в сеть сотовой связи, ключ для каждой группы устройств для доступа в сеть несотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
2. Способ по п. 1, в котором на этапе определения, устройством для доступа в сеть сотовой связи, ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, причем ключ совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности:
определяют, устройством для доступа в сеть сотовой связи, ключ для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи согласно способу, совпадающему со способом определения ключа терминалом UE.
3. Способ по п. 1, в котором на этапе определения, устройством для доступа в сеть сотовой связи, ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи:
выводят, устройством для доступа в сеть сотовой связи, ключ для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE, причем правило вывода, используемое для вывода ключа, предварительно конфигурировано и совпадает с правилом вывода, предварительно конфигурированным в терминале UE и используемым для вывода ключа.
4. Способ по п. 1, в котором на этапе определения, устройством для доступа в сеть сотовой связи, ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи:
выводят, устройством для доступа в сеть сотовой связи, ключ для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE;
при этом способ дополнительно содержит этап, на котором:
передают, устройством для доступа в сеть сотовой связи терминалу UE, правило вывода, используемое для вывода ключа, причем правило вывода используется терминалом UE для вывода ключа для осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
5. Способ по п. 1, дополнительно содержащий этапы, на которых:
после определения ключа для устройства для доступа в сеть несотовой связи определяют, устройством для доступа в сеть сотовой связи, идентификатор ключа, соответствующий указанному ключу, и передают идентификатор ключа устройству для доступа в сеть несотовой связи.
6. Способ аутентификации доступа, содержащий этапы, на которых:
определяют, абонентским терминалом (UE), ключ для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи;
определяют, терминалом UE, идентификатор ключа, соответствующий указанному ключу; и
осуществляют, терминалом UE, аутентификацию безопасности с устройством для доступа в сеть несотовой связи с использованием указанного ключа и указанного идентификатора ключа;
причем указанный ключ, определенный терминалом UE, совпадает с ключом, определенным устройством для доступа в сеть сотовой связи и переданным устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности;
при этом устройство для доступа в сеть несотовой связи управляется логическим функциональным объектом, определяемым устройством для доступа в сеть сотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи;
при этом ключ для каждой группы устройств для доступа в сеть несотовой связи определяется устройством для доступа в сеть сотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ передается устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности с терминалом UE.
7. Способ по п. 6, в котором на этапе определения, терминалом UE, ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи:
определяют, терминалом UE, ключ для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи согласно способу, совпадающему со способом определения ключа устройством для доступа в сеть сотовой связи.
8. Способ по п. 6, в котором на этапе определения, терминалом UE, ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи:
выводят, терминалом UE на основе ключа, совместно используемого с устройством для доступа в сеть сотовой связи, ключ с использованием правила вывода, причем
правило вывода передано устройством для доступа в сеть сотовой связи или правило вывода предварительно конфигурировано в терминале UE и совпадает с правилом вывода, используемым устройством для доступа в сеть сотовой связи для вывода ключа для устройства для доступа в сеть несотовой связи.
9. Способ аутентификации доступа, содержащий этапы, на которых:
принимают, устройством для доступа в сеть несотовой связи, ключ от устройства для доступа в сеть сотовой связи, причем ключ используется для подачи команды устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности с абонентским терминалом (UE), ассоциированным с указанным устройством для доступа в сеть несотовой связи;
определяют, устройством для доступа в сеть несотовой связи, идентификатор ключа, соответствующий указанному ключу; и
осуществляют, устройством для доступа в сеть несотовой связи, аутентификацию безопасности с терминалом UE с использованием указанного идентификатора ключа и указанного ключа;
при этом устройство для доступа в сеть несотовой связи управляется логическим функциональным объектом, определяемым устройством для доступа в сеть сотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи;
при этом ключ для каждой группы устройств для доступа в сеть несотовой связи определяется устройством для доступа в сеть сотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ передается устройству для осуществления аутентификации безопасности с терминалом UE.
10. Способ по п. 9, в котором на этапе определения, устройством для доступа в сеть несотовой связи, идентификатора ключа, соответствующего указанному ключу:
принимают, устройством для доступа в сеть несотовой связи, идентификатор ключа, соответствующий указанному ключу, от устройства для доступа в сеть сотовой связи.
11. Способ по п. 9, в котором ключ, принятый от устройства для доступа в сеть сотовой связи, совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности.
12. Устройство аутентификации доступа, применяемое к устройству для доступа в сеть сотовой связи и содержащее:
процессорный модуль, выполненный с возможностью определения ключа для осуществления аутентификации безопасности между абонентским терминалом (UE) и устройством для доступа в сеть несотовой связи, причем ключ совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности; и
приемопередающий модуль, выполненный с возможностью передачи ключа, определенного процессорным модулем, устройству для доступа в сеть несотовой связи;
при этом процессорный модуль выполнен с возможностью:
определения логического функционального объекта, управляющего устройством для доступа в сеть несотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи; и
определения ключа для каждой группы устройств для доступа в сеть несотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи, соответствующим идентификатору устройства для доступа в сеть несотовой связи.
13. Устройство по п. 12, в котором процессорный модуль выполнен с возможностью:
определения ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи согласно способу, совпадающему со способом определения ключа терминалом UE.
14. Устройство по п. 12, в котором процессорный модуль, в частности, выполнен с возможностью вывода ключа для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE, и правило вывода, используемое для вывода ключа, предварительно конфигурировано и совпадает с правилом вывода, предварительно конфигурированным в терминале UE и используемым для вывода ключа.
15. Устройство по п. 12, в котором процессорный модуль, в частности, выполнен с возможностью вывода ключа для устройства для доступа в сеть несотовой связи на основе ключа, совместно используемого с терминалом UE, а
приемопередающий модуль дополнительно выполнен с возможностью передачи, терминалу UE, правила вывода, используемого для вывода ключа, и правило вывода используется терминалом UE для вывода ключа с целью осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи.
16. Устройство по п. 12, в котором процессорный модуль дополнительно выполнен с возможностью, после определения ключа для устройства для доступа в сеть несотовой связи, определения идентификатора ключа, соответствующего указанному ключу; а
приемопередающий модуль дополнительно выполнен с возможностью передачи идентификатора ключа, определенного процессорным модулем, устройству для доступа в сеть несотовой связи.
17. Устройство аутентификации доступа, применяемое к абонентскому терминалу (UE) и содержащее:
модуль определения, выполненный с возможностью определения ключа, причем ключ используется для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи; и определения идентификатора ключа, соответствующего указанному ключу; и
аутентификационный модуль, выполненный с возможностью осуществления аутентификации безопасности с устройством для доступа в сеть несотовой связи с использованием указанного ключа и указанного идентификатора ключа;
причем ключ, определенный терминалом UE, совпадает с ключом, определенным устройством для доступа в сеть сотовой связи и переданным устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности;
при этом устройство для доступа в сеть несотовой связи управляется логическим функциональным объектом, определяемым для доступа в сеть сотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи;
при этом ключ для каждой группы устройств для доступа в сеть несотовой связи определяется устройством для доступа в сеть сотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ передается устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности с терминалом UE.
18. Устройство по п. 17, в котором модуль определения выполнен с возможностью:
определения ключа для осуществления аутентификации безопасности между терминалом UE и устройством для доступа в сеть несотовой связи согласно способу, совпадающему со способом определения ключа устройством для доступа в сеть сотовой связи.
19. Устройство по п. 17, в котором модуль определения, в частности, выполнен с возможностью вывода, на основе ключа, совместно используемого с устройством для доступа в сеть сотовой связи, указанного ключа с использованием правила вывода, причем указанное правило вывода передается устройством для доступа в сеть сотовой связи, или правило вывода предварительно конфигурировано в терминале UE и совпадает с правилом вывода, используемым устройством для доступа в сеть сотовой связи для вывода ключа для устройства для доступа в сеть несотовой связи.
20. Устройство аутентификации доступа, применимое к устройству для доступа в сеть несотовой связи и содержащее:
приемопередающий модуль, выполненный с возможностью приема ключа от устройства для доступа в сеть сотовой связи, причем ключ используется для подачи команды устройству для доступа в сеть несотовой связи осуществить аутентификацию безопасности с абонентским терминалом (UE), ассоциированным с устройством для доступа в сеть несотовой связи; и
процессорный модуль, выполненный с возможностью определения идентификатора ключа, соответствующего принятому ключу, и осуществления аутентификации безопасности с терминалом UE с использованием указанного идентификатора ключа и указанного ключа;
при этом устройство для доступа в сеть несотовой связи управляется логическим функциональным объектом, определяемым устройством для доступа в сеть сотовой связи, причем логический функциональный объект управляет по меньшей мере одним устройством для доступа в сеть несотовой связи, содержащим указанное устройство для доступа в сеть несотовой связи, и указанное по меньшей мере одно устройство для доступа в сеть несотовой связи входит в состав по меньшей мере одной группы устройств для доступа в сеть несотовой связи;
при этом ключ для каждой группы устройств для доступа в сеть несотовой связи определяется устройством для доступа в сеть сотовой связи, причем ключи, соответствующие идентификаторам всех устройств для доступа в сеть несотовой связи, входящих в состав каждой группы устройств для доступа в сеть несотовой связи, являются одинаковыми, и ключ передается устройству для доступа в сеть несотовой связи для осуществления аутентификации безопасности с терминалом UE.
21. Устройство по п. 20, в котором приемопередающий модуль дополнительно выполнен с возможностью приема идентификатора ключа, соответствующего ключу, полученному от устройства для доступа в сеть сотовой связи.
22. Устройство по п. 20, в котором ключ, принятый от устройства для доступа в сеть сотовой связи, совпадает с ключом, определенным терминалом UE для осуществления аутентификации безопасности.
23. Машиночитаемый носитель данных, содержащий команды, которые при исполнении компьютером вызывают выполнение компьютером способа по любому из пп. 1-11.
24. Система связи, содержащая устройство для доступа в сеть сотовой связи и устройство для доступа в сеть несотовой связи, при этом
устройство для доступа в сеть сотовой связи выполнено с возможностью осуществления способа по любому из пп. 1-5;
устройство для доступа в сеть несотовой связи выполнено с возможностью осуществления способа по любому из пп. 9-11.
