無線局域網絡的安全建立方法及系統、設備的制作方法

無線局域網絡的安全建立方法及系統、設備的制作方法
【專利摘要】本發明實施例提供一種無線局域網絡的安全建立方法及系統、設備。其方法包括：UE獲取第一密鑰；該第一密鑰為UE與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的；UE根據第一密鑰和推演參數進行推演得到推演密鑰；UE根據推演密鑰與獲取到推演密鑰的WLAN節點之間建立安全連接，WLAN節點獲取到的推演密鑰與UE獲取的推演密鑰相同。采用本發明實施例的技術方案，能夠在UE和WLAN之間建立安全連接，提高UE與WLAN之間通信的安全性。
【專利說明】無線局域網絡的安全建立方法及系統、設備
【技術領域】
[0001]本發明實施例涉及通信【技術領域】，尤其涉及一種無線局域網絡的安全建立方法及系統、設備。
【背景技術】
[0002]隨著支持上網功能的智能終端之類的用戶設備(User Equipment ;UE)的廣泛普及，人們開始使用UE進行大量的數據業務。近幾年來，運營商網絡的數據業務流量增長很快。為了適應這種趨勢，運營商和設備廠商開始積極考慮各種各樣的減輕運營商網絡負擔的方法。無線局域網絡(Wireless Local Area Network ;WLAN)是一種無線接入技術，WLAN技術能夠提供較高的傳輸速率，被認為是運營商部署的廣域無域網的有益補充。在機場、廠商等熱點地區，WLAN技術能夠使得用戶通過WLAN進行數據業務，從而減輕運營商核心網絡的負擔。
[0003]目前許多運營商已經部署了WLAN網絡用在如機場、車站、酒店等熱點地區以分流(offload) UE的數據流量。在這些已有的部署方案中，運營商一般將WLAN部署成open模式，任何UE均可接入WLAN節點。當UE要連入因特網(internet)時，WLAN節點將UE重定向至一個特定的web網頁，UE對應的用戶在網頁上輸入正確的用戶名/密碼后，UE便可以接入 internet ο
[0004]由于WLAN節點工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差。

【發明內容】

[0005]本發明實施例提供一種無線局域網絡的安全建立方法及系統、設備，用以彌補現有技術中UE與WLAN之間通信的安全性能較差的缺陷，用于提高UE與WLAN之間的安全性倉泛。
[0006]一方面，本發明實施例提供一種無線局域網絡的安全建立方法，包括:
[0007]用戶設備獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的；
[0008]所述用戶設備根據所述第一密鑰和推演參數進行推演得到推演密鑰；所述推演參數為所述用戶設備與所述網元設備協商確定的；
[0009]所述用戶設備根據所述推演密鑰與獲取到推演密鑰的無線局域網絡節點之間建立安全連接，所述無線局域網絡節點獲取到的推演密鑰與所述用戶設備獲取的所述推演密鑰相同。
[0010]另一方面，本發明實施例還提供一種無線局域網絡的安全建立方法，包括:
[0011]無線局域網絡節點接收用戶設備發送的所述用戶設備的身份標識符；
[0012]所述無線局域網絡節點向所述用戶設備接入的移動通信網絡中的網元設備發送攜帶所述用戶設備的身份標識符的密鑰請求消息；
[0013]所述無線局域網絡節點接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到，所述第一密鑰為所述用戶設備與所述網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述網元設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述用戶設備與所述網元設備協商確定的；
[0014]所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局域網絡節點獲取的所述推演密鑰相同。
[0015]再一方面，本發明實施例還提供一種無線局域網絡的安全建立方法，包括:
[0016]用戶設備接入的移動通信網絡中的網元設備接收無線局域網絡節點發送的密鑰請求消息；所述密鑰請求消息中攜帶有所述用戶設備的身份標識符；
[0017]所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到；所述第一密鑰為所述網元設備與所述用戶設備在執行空口安全時的共享密鑰或者根據所述網元設備與所述用戶設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述網元設備與所述用戶設備協商確定的；
[0018]所述網元設備向所述無線局域網絡節點發送所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局域網絡節點接收所述網元設備發送的所述推演密鑰相同。
[0019]又一方面，本發明實施例還提供一種無線局域網絡的安全建立方法，包括:
[0020]用戶設備獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰推演得出的；
[0021]所述用戶設備根據所述用戶設備的身份標識符和所述第一密鑰推演生成認證用戶名和認證信任狀；
[0022]所述用戶設備根據所述認證用戶名和所述認證信任狀與第一網元設備或者第二網元設備進行擴展認證協議認證；所述第二網元設備為所述移動通信網絡中的所述第一網元設備之外的其他網元設備；所述第二網元設備從所述第一網元設備處獲取所述認證用戶名和所述認證信任狀；或者所述第二網元設備從所述第一網元設備處獲取所述用戶設備的身份標識符和所述第一密鑰，并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀；
[0023]所述用戶設備在認證完成后與所述無線局域網絡節點之間建立安全連接。
[0024]再另一方面，本發明實施例還提供一種無線局域網絡的安全建立方法，包括:
[0025]用戶設備接入的移動通信網絡中的第一網元設備獲取所述用戶設備的認證用戶名和認證信任狀；所述認證用戶名和所述認證信任狀為根據所述用戶設備的身份標識符和第一密鑰推演生成的；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的所述第一網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述第一網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的；
[0026]所述第一網元設備根據所述認證用戶名和所述認證信任狀與用戶設備進行擴展認證協議認證；
[0027]所述第一網元設備在所述擴展認證協議認證成功后，向所述無線局域網絡節點發送認證完成，以指示所述無線局域網絡節點與所述用戶設備之間建立安全連接。
[0028]再另一方面，本發明實施例還提供一種用戶設備，包括:
[0029]獲取模塊，用于獲取第一密鑰；所述第一密鑰為與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的；
[0030]推演模塊，用于根據所述獲取模塊獲取的所述第一密鑰和推演參數進行推演得到推演密鑰；所述推演參數為所述用戶設備與所述網元設備協商確定的；
[0031]建立模塊，用于根據所推演模塊推演得到的所述述推演密鑰與獲取到推演密鑰的無線局域網絡節點之間建立安全連接，所述無線局域網絡節點獲取到的推演密鑰與所述用戶設備獲取的所述推演密鑰相同。
[0032]再另一方面，本發明實施例還提供一種無線局域網絡節點設備，其特征在于，包括:
[0033]接收模塊，用于接收用戶設備發送的所述用戶設備的身份標識符；
[0034]發送模塊，用于向所述用戶設備接入的移動通信網絡中的網元設備發送攜帶所述接收模塊接收的所述用戶設備的身份標識符的密鑰請求消息；
[0035]所述接收模塊，還用于接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到，所述第一密鑰為所述用戶設備與所述網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述用戶設備與所述網元設備協商確定的；
[0036]建立模塊，用于基于所述接收模塊接收的所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與無線局域網絡節點獲取的所述推演密鑰相同。
[0037]再另一方面，本發明實施例還提供一種網元設備，位于用戶設備接入的移動通信網絡中，所述網元設備包括:
[0038]接收模塊，用于接收無線局域網絡節點發送的密鑰請求消息；所述密鑰請求消息中攜帶有所述用戶設備的身份標識符；
[0039]獲取模塊，用于根據所述接收模塊接收的所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰；所述推演密鑰為根據第一密鑰和推演參數進行推演得到；所述第一密鑰為與所述用戶設備在執行空口安全時的共享密鑰或者根據與所述用戶設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為與所述用戶設備協商確定的；發送模塊，用于向所述無線局域網絡節點發送所述獲取模塊獲取到的所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局域網絡節點接收所述網元設備發送的所述推演密鑰相同。[0040]再另一方面，本發明實施例還提供一種無線局域網絡的安全建立系統，包括:如上所述的用戶設備、所述的無線局域網絡節點設備和所述的網元設備。
[0041]再另一方面，本發明實施例還提供一種用戶設備，包括:
[0042]獲取模塊，用于獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰推演得出的；
[0043]生成模塊，用于根據所述用戶設備的身份標識符和所述獲取模塊的所述第一密鑰推演生成認證用戶名和認證信任狀；
[0044]認證模塊，用于根據所述生成模塊生成的所述認證用戶名和所述認證信任狀與第一網元設備或者第二網元設備進行擴展認證協議認證，所述第二網元設備為所述移動通信網絡中的所述第一網元設備之外的其他網元設備；所述第二網元設備從所述第一網元設備處獲取所述認證用戶名和所述認證信任狀；或者所述第二網元設備從所述第一網元設備處獲取所述用戶設備的身份標識符和所述第一密鑰，并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀；
[0045]建立模塊，用于在所述認證模塊進行擴展認證協議認證完成后與所述無線局域網絡節點之間建立安全連接。
[0046]再另一方面，本發明實施例還提供一種網元設備，位于用戶設備接入的移動通信網絡中，所述網元設備包括:
[0047]獲取模塊，用于獲取所述用戶設備的認證用戶名和認證信任狀；所述認證用戶名和所述認證信任狀為根據所述用戶設備的身份標識符和第一密鑰推演生成的；所述第一密鑰為所述用戶設備所述網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的；
[0048]認證模塊，用于根據所述認證用戶名和所述認證信任狀與用戶設備進行擴展認證協議認證；
[0049]發送模塊，用于在所述擴展認證協議認證成功后，向所述無線局域網絡節點發送認證完成，以指示所述無線局域網絡節點與所述用戶設備之間建立安全連接。
[0050]再另一方面，本發明實施例還提供一種無線局域網絡的安全建立系統，包括:如上所述的用戶設備和所述的網元設備。
[0051]本發明實施例的無線局域網絡的安全建立方法及系統、設備，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，推演密鑰根據第一密鑰和推演參數進行推演得到，第一密鑰為用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的；或者UE根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證密碼；并由UE根據認證用戶名和認證密碼與UE接入的移動通信網絡中的網元設備進行EAP認證，并在認證完成后UE與WLAN節點之間建立安全連接。采用本發明實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。【專利附圖】

【附圖說明】
[0052]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。
[0053]圖1為本發明提供的一種WLAN的安全建立方法的流程圖。
[0054]圖2為本發明另一實施例提供的WLAN的安全建立方法的流程圖。
[0055]圖3為本發明再一實施例提供的WLAN的安全建立方法的流程圖。
[0056]圖4為本發明一實施例提供的WLAN的安全建立方法的信令圖。
[0057]圖5為本發明另一實施例提供的WLAN的安全建立方法的信令圖。
[0058]圖6為本發明又一實施例提供的WLAN的安全建立方法的流程圖。
[0059]圖7為本發明再另一實施例提供的WLAN的安全建立方法的流程圖。
[0060]圖8為本發明一實施例提供的UE的結構示意圖。
[0061]圖9為本發明另一實施例提供的UE的結構示意圖。
[0062]圖10為本發明實施例提供的WLAN節點設備的結構示意圖。
[0063]圖11為本發明一實施例提供的網元設備的結構示意圖。
[0064]圖12為本發明另一實施例提供的網元設備的結構示意圖。
[0065]圖13為本發明再一實施例提供的UE的結構示意圖。
[0066]圖14為本發明再一實施例提供的網元設備的結構示意圖。
[0067]圖15為本發明一實施例提供的WLAN的安全建立系統的結構示意圖。
[0068]圖16為本發明另一實施例提供的WLAN的安全建立系統的結構示意圖。
【具體實施方式】
[0069]為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0070]圖1為本發明提供的一種WLAN的安全建立方法的流程圖。如圖1所示，本實施例的WLAN的安全建立方法的執行主體為UE。本實施例的WLAN的安全建立方法，具體可以包括如下步驟:
[0071]100、UE獲取第一密鑰；
[0072]本實施例中的第一密鑰為UE與UE接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據UE與UE接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的。
[0073]101、UE根據第一密鑰和推演參數進行推演得到推演密鑰；
[0074]其中該推演參數為UE和網元設備確定的。
[0075]102、UE根據推演密鑰與獲取到推演密鑰的WLAN節點之間建立安全連接。
[0076]WLAN節點獲取到的推演密鑰與UE獲取的推演密鑰相同。亦即本實施例的技術方案在實施時需要WLAN節點亦能夠獲取到該推演密鑰，例如WLAN節點可以向網元設備中請求獲取推演密鑰，而網元設備是根據第一密鑰和推演參數推演得到推演密鑰，這樣UE和WLAN節點均可以得知該推演密鑰，并基于該推演密鑰，UE與WLAN節點之間建立安全連接。
[0077]本實施例中，UE與網元設備均可以獲知推演參數，可以認為推演參數是兩者協商確定的。推演參數具體可以為一個或者多個。例如推演參數可以為UE和網元設備事先約定好的，或者在推演推演密鑰時在線協商的。例如可以由UE提供一些參數作為推演參數，然后告知網元設備。或者由網元設備提供一些參數作為推演參數，然后告知網元設備。或者可以由UE提供一些參數或者由網元設備提供一些參數，然后UE和網元設備交換各自提供的參數，此時對應的推演參數由UE提供給參數和網元設備提供的參數共同組成。
[0078]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0079]可選地，在上述圖1所示實施例的技術方案的基礎上，還可以包括如下可選技術方案，構成圖1所示實施例的可選實施例。
[0080]在圖1所示實施例的可選實施例中，在步驟102之前，所述實施例還包括:UE向WLAN節點發送UE的身份標識符，以供WLAN節點根據UE的身份標識符，向網元設備請求獲取UE對應的推演密鑰。
[0081]可選地，在圖1所示實施例的可選實施例中，步驟101，具體可以包括:UE根據第一密鑰和推演參數進行推演得到第二密鑰，即此時的推演密鑰即為第二密鑰。例如UE具體可以采用如下方式=Kw=KDF (K，推演參數)推演得到第二密鑰；其中Kw為第二密鑰，K為第一密鑰，推演參數為UE和網元設備協商確定好的，KDF (，)為一個密鑰推演功能(keyderivation function; KDF)函數,K和推演參數作為該函數的輸入,Kw作為該函數的輸出。
[0082]例如在本發明實施例中可以取第二密鑰Kw=HMAC_SHA256 (K, “WPA/WPA2Personal”)；哈希消息認證碼(Hashed Message Authentication Code ；HMAC)是一類密碼算法，HMAC-SHA256 (，)表示一個密碼算法函數，“WPA/WPA2 Personal”為約定好的用于推演第二密鑰Kw的推演參數，用于標識第二密鑰Kw被UE和WLAN網絡用于通過WPA/WPA2personal的方式建立WLAN安全連接。通過WPA/WPA2 personal的方式建立WLAN安全連接是UE和WLAN節點基于預共享密鑰的方式，建立WLAN安全連接的方法，詳細可以參考相關現有技術，在此不再贅述。本實施例中UE和WLAN網絡之間的預共享密鑰，即為第二密鑰Kw。本實施例中K仍為第一密鑰。
[0083]此時對應的步驟102，具體可以為UE根據第二密鑰與WLAN節點之間建立安全連接。采用該技術方案，該第二密鑰是UE根據第一密鑰和與UE協商確定的推演參數進行推演得到，可以保證不同的UE具有不同的第二密鑰，每一 UE可以基于其對應的第二密鑰與WLAN節點之間建立安全連接，從而能夠有效地保證UE和WLAN節點之間的安全連接。
[0084]可選地，在圖1所示實施例的可選實施例中，步驟101，具體可以包括:UE根據第一密鑰和推演參數進行推演得到第二密鑰；UE再根據第二密鑰和WLAN節點的身份標識符推演得到第三密鑰，其中UE在開始接入WLAN節點的時候，可以獲取到WLAN節點的身份標識符。而本實施例中，在網元設備一側，網元設備也可以獲取到該WLAN節點的身份標識符，并根據第二密鑰和WLAN節點的身份標識符進行推演得到第三密鑰。例如WLAN節點在向網元設備請求密鑰時，可以向網元設備發送攜帶UE的身份標識符和WLAN節點的身份標識符的密鑰請求消息。這樣網元設備便可以知道需要根據第二密鑰和WLAN節點的身份標識符推演第三密鑰，并將該第三密鑰發送給WLAN節點。這樣UE側和WLAN節點側均可以獲知該第三密鑰。例如當WLAN節點的身份標識符為WLAN節點的服務集標識(Service Set Identifier ;SSID),該第三密鑰可以采用如下方式推演得到:第三密鑰=HMAC-SHA256(Kw, WLAN 節點的 SSID)。HMAC-SHA256 (,)表示一個密碼算法函數，Kw 表示第二密鑰。此時對應的步驟102，具體可以為UE根據第三密鑰與WLAN節點之間建立安全連接。采用該技術方案，可以保證同一 UE在從不同的WLAN節點接入WLAN時，采用不同的第三密鑰，與上述每一 UE可以基于其對應的第二密鑰與WLAN節點之間建立安全連接相比，能夠進一步增強UE與WLAN節點之間建立的連接的安全性。當然，在推演第三密鑰的過程中，WLAN節點可以將身份標識符發給網元設備，但這不是網元設備唯一獲取WLAN節點身份標識符的方法。網元設備可以通過其他方法來獲取WLAN節點的身份標識符，例如網元設備可以接收WLAN節點發送的攜帶UE的身份標識符的密鑰請求消息，可以獲取該WLAN節點的IP地址，再根據該WLAN節點的IP地址獲取該WLAN節點的身份標識符，實際應用中還網元設備還可以采用其他方法獲取WLAN節點的身份標識符。此外，WLAN節點也可以是WLAN節點的MAC地址或者其他的能夠唯一標識WLAN節點的身份信息。
[0085]可選地，在圖1所示實施例的可選實施例中，UE的身份標識符為UE的媒體訪問控制(Media Access Control ;MAC)地址、UE的國際移動用戶識別碼(InternationalMobile Subscriber Identification Number ;IMSI)、UE 的臨時移動用戶識別石馬(Temperate Mobile Subscription Identity ;TMSI )、UE 的分組臨時移動用戶識別碼(Packet Temperate Mobile Subscription Identity ;P_TMSI)、UE 的全球唯一臨時身份(Globally Unique Temporary Identity ;GUTI)、UE的系統架構演進臨時移動客戶身份(System Architecture Evolution Temporary Mobile Subscriber Identity;S-TMSI)>UE的無線網絡臨時標識(Radio Network Temporary Identifier ;RNTI)或者UE的移動臺國際電話綜合業務數字網號碼(Mobile Station international Integrated ServicesDigital Network Number ;MSISDN)。
[0086]進一步可選地，當UE的身份標識符為上述除MAC地址之外的其他的時候，網元設備自身能夠獲取該UE的身份標識符，此時UE不需要向網元設備發送該UE的身份標識符。而當UE的身份標識符為UE的WLAN接口的MAC地址(或者為網元設備無法從自身獲知的UE的其他身份標識符)時，上述方法中的“UE再根據第二密鑰和接收網元設備發送的WLAN節點的身份標識符推演得到第三密鑰”之前，還包括UE向網元設備發送UE的身份標識符。具體地，UE可以采用加密的方式向網元設備發送UE的身份標識符。
[0087]可選地，在圖1所示實施例的可選實施例中，移動通信網絡可以為全球移動通信(Global System For Mobile Communication ；GSM)網絡、通用移動通訊系統(UniversalMobile Telecommunications System ;UMTS)、長期演進(Long Term Evolution ;LTE)系統、碼分多址(Code Division Multiple Access ;CDMA)網絡或通用分組無線服務(GeneralPacket Radio Service ；GPRS)網絡；網元設備可以為GSM網絡的基站控制器(BaseStation Controller ;BSC)、UMTS 的無線網絡控制器(Radio Network Controller ;RNC)、GPRS網絡的服務GPRS支持節點(Serving GPRS Support Node ;SGSN)、LTE系統的移動管理實體(Mobility Management Entity ；MME)或者基站(如 LTE 系統中的 eNB)。
[0088]可選地，在圖1所示實施例的可選實施例中，對于上述實施例中的步驟100的第一密鑰，例如當移動通信網絡為GSM網絡，對應的網元設備為BSC，UE與BSC之間的共享密鑰為Kc。第一密鑰K可以為Kc，或根據Kc，使用密鑰推演功能推演得到的密鑰，如K=KDF(Kc，“K for WLAN”)。
[0089]當移動通信網絡為GPRS網絡，對應的網元設備為核心網節點中的SGSN，UE與SGSN之間的共享密鑰為Kc，第一密鑰K可以為Kc，或根據Kc推演得到的密鑰。
[0090]當移動通信網絡為UMTS，對應的網元設備為RNC，UE與SGSN之間進行共享密鑰為CK/IK。第一密鑰K可以為CK/IK中的任何一個密鑰，或根據CK，或IK，或兩者推演得到一個密鑰，例如可以取第一密鑰K=CKl IIK。
[0091]當移動通信網絡為LTE，對應的網元設備為核心網節點中的MME，UE與MME之間的共享密鑰為Kasme、Knas.1nt或者Knas.enc。第一密鑰K可以為此三個密鑰中的任何一個密鑰，或根據此三個密鑰中的一個或數個密鑰推演得到的密鑰。例如可以取第一密鑰K=Knas.1nt XOR Knas.enc。
[0092]當移動通信網絡為LTE網絡時，對應的網元設備還可以為eNB，UE和eNB之間的共享密鑰 Kenb> Krrc.1nt、Krrc.enc、Kup.enc、Kup.1nt,第一密鑰 K 可以是 Kenb> Krrc.1nt、Krrc.enc>Kup.enc>Kup.1nt等中的一個密鑰，也可以是根據這些密鑰中的一個或多個推演得到的密鑰。例如在本實施例中，可以取第一密鑰K=Kenb。
[0093]當移動通信網絡為LTE網絡時，對應的網元設備還可以為eNB時，對應上述實施例中的“UE向網元設備送UE的身份標識符”具體可以采用如下兩種方法:
[0094]方法一:UE 在非接入層(Non-Access Stratum ;NAS)安全模式結束(Securitymode complete ；SMP)消息中將UE的身份標識符發給MME，MME將UE的身份標識符通過SI消息轉發給eNB ；
[0095]方法二:UE在RRC消息中將UE的身份標識符發給eNB。
[0096]可選地，在圖1所示實施例的可選實施例中，其中101中UE向網元設備和WLAN節點發送UE的身份標識符(如MAC地址);UE的身份標識符(如MAC地址)可能會暴露用戶的隱私，因此需要通過一些方式對UE的身份標識符(如MAC地址)的傳輸進行安全保護。UE的身份標識符(如MAC地址)的傳輸可通過如下幾種方式進行保護:
[0097]第一種情況、在加密的消息中傳輸UE的身份標識符(如MAC地址)，例如一些無線資源控制協議(Radio Resource Control ;RRC)消息，或者非接入層(Non-Access Stratum ；NAS)消息可以進行加密保護，因此可以在這些加密的RRC消息或者NAS消息中傳輸UE的身份標識符，從而可以保護UE的身份標識符傳輸的機密性，防止攻擊者利用UE的身份標識符對用戶的隱私造成危害，如位置追蹤等。
[0098]其中可加密的RRC消息或者NAS消息可以包括如下消息:附著完成(AttachComplete)消息、路由區域更新(Routing Area Update ;RAU)消息完成(Complete)、跟蹤區域更新(Tracking Area Update ；)完成(Complete)消息、非接入層安全模式結束(Non-access Stratum Security Mode Complete;NAS SMC)消息或者 UE 的容量遷移(capability transfer)消息等等。
[0099]但是，在某些網絡中，運營商可能沒有開啟加密功能。因此所有的RRC/NAS信令都無法進行保護。在這種情況下，UE和控制器/核心網節點可根據第一密鑰K推演得到第四密鑰Ka。利用第四密鑰Ka對UE的身份標識符進行異或操作，從而保證了 UE的身份標識符傳輸的安全性。第四密鑰Ka的推演可能也需要一些推演參數的參與。這些推演參數可能需要在UE和網絡側進行交互。本實施例中，推演第四密鑰Ka的一個例子是Ka=HMAC-SHA256 (K, “MAC anonymity”)。MAC anonymity 為一個字符串，用于表不本實施例中密鑰推演的目的是用于實現MAC地址隱藏功能。
[0100]上述實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0101]圖2為本發明另一實施例提供的WLAN的安全建立方法的流程圖。如圖2所示，本實施例的WALN的安全建立方法的執行主體為WLAN節點。本實施例的WALN的安全建立方法，具體可以包括如下步驟:
[0102]200、WLAN節點接收UE發送的UE的身份標識符；
[0103]201、WLAN節點向UE接入的移動通信網絡中的網元設備發送攜帶UE的身份標識符的密鑰請求消息；
[0104]202、WLAN節點接收網元設備發送的UE的身份標識符對應的推演密鑰；
[0105]本實施例中該推演密鑰為網元設備根據第一密鑰和推演參數進行推演得到，第一密鑰為UE與網元設備在執行空口安全時的共享密鑰或者根據UE與網元設備在執行空口安全時的共享密鑰推演得出的；推演參數為UE與網元設備協商確定的。
[0106]203、WLAN節點基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接。
[0107]其中UE獲取到的推演密鑰與WLAN節點獲取的推演密鑰相同，亦即本實施例的技術方案在實現時，UE亦能夠獲取到該推演密鑰，例如UE可以根據第一密鑰和推演參數推演得到推演密鑰，詳細可以參考上述圖1所示實施例的記載。這樣，采用本實施例的技術方案，UE和WLAN節點均可以獲取到推演密鑰，便能夠基于該推演密鑰建立安全連接，保證UE與WLAN節點之間通信的安全性。
[0108]本實施例與上述圖1所示實施例的區別僅在于:上述圖1所示實施例在UE側描述本發明的技術方案，而本實施例在WLAN節點側描述本發明的技術方案，其余實施過程完全相同，詳細可以參考上述圖1所示實施例的記載，在此不再贅述。
[0109]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0110]可選地，在上述圖2所示實施例的技術方案的基礎上，還可以包括如下可選技術方案，構成圖2所示實施例的可選實施例。[0111]在圖2所示實施例的可選實施例中，上述實施例的步驟202中“WLAN節點接收網元設備發送的UE的身份標識符對應的推演密鑰”，具體可以包括:WLAN節點接收網元設備發送的UE的身份標識符對應的第二密鑰，第二密鑰為網元設備根據UE的身份標識符以及網元設備中存儲的UE的身份標識符與第二密鑰之間的對應關系獲取的；第二密鑰為網元設備根據第一密鑰和推演參數進行推演得到；在該技術方案中，推演密鑰為第二密鑰。此時對應的步驟203“WLAN節點基于推演密鑰與UE之間建立安全連接”，具體可以包括:WLAN節點基于第二密鑰與UE之間建立安全連接。采用該技術方案，第二密鑰采用第一密鑰和與UE協商確定的推演參數進行推演得到，可以保證不同的UE具有不同的第二密鑰，每一 UE可以基于其對應的第二密鑰與WLAN節點之間建立安全連接，從而能夠有效地保證UE和WLAN節點之間的安全連接。
[0112]采用上述方案，不同的UE具有不同的第二密鑰，能夠增強UE和WLAN節點之間的安全連接；但是當同一 UE采用不同的WLAN節點接入WLAN的時候，還是采用相同的第二密鑰與WLAN節點建立安全連接，因此還是給UE接入WLAN帶來一定的安全隱患，為了解決該問題，可選地，在圖2所示實施例的可選實施例中，還可以包括下述方案:
[0113]上述實施例中的步驟202 “WLAN節點接收網元設備發送的UE的身份標識符對應的推演密鑰”，具體可以包括:WLAN節點接收網元設備發送的第三密鑰，該第三密鑰為網元設備根據第二密鑰與WLAN節點的身份標識符推演得到的；第二密鑰為網元設備根據UE的身份標識符以及網元設備中存儲的UE的身份標識符與第二密鑰之間的對應關系獲取的；第二密鑰為網元設備根據第一密鑰和與UE協商確定的推演參數進行推演得到。其中網元設備可以接收WLAN節點發送的攜帶UE的身份標識符的密鑰請求消息之后，獲取該WLAN節點的IP地址，再根據該WLAN節點的IP地址獲取該WLAN節點的身份標識符，實際應用中網元設備還可以采用其他方法獲取WLAN節點的身份標識符。此外，WLAN節點可以是WLAN節點SSID、或者WLAN節點的MAC地址或者其他的能夠唯一標識WLAN節點的身份信息。
[0114]對應地上述實施例中的步驟203 “WLAN節點基于推演密鑰與UE之間建立安全連接”，具體可以包括=WLAN節點基于第三密鑰與UE之間建立安全連接。在該方案中推演密鑰為第三密鑰，采用該技術方案，可以保證同一 UE在從不同的WLAN節點接入WLAN時，采用不同的第三密鑰，與上述每一 UE可以基于其對應的第二密鑰與WLAN節點之間建立安全連接相比，能夠進一步增強UE與WLAN節點之間建立的連接的安全性。
[0115]進一步可選地，對于推演密鑰為第三密鑰時，上述實施例中的步驟201“WLAN節點向UE接入的移動通信網絡中的網元設備發送攜帶UE的身份標識符的密鑰請求消息”，具體可以包括:WLAN節點向網元設備發送攜帶UE的身份標識符和WLAN節點的身份標識符的密鑰請求消息。此時網元設備可以直接獲取該WLAN節點的身份標識符，而不用再去間接獲取該WLAN節點的身份標識符。
[0116]在圖2所示實施例的可選實施例中，上述實施例中的移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0117]可選地，在圖1所示實施例的可選實施例中，UE的身份標識符為UE的MAC地址、UE的 MS1、UE 的 TMS1、UE 的 P_TMS1、UE 的 GUT1、UE 的 S_TMS1、UE 的 RNTI 或者 UE 的 MSISDN。
[0118]需要說明的是,上述圖1所示實施例的可選實施例中的能夠應用在WLAN節點側的可選技術方案，均可以用于在圖2所示實施例的可選實施例中，詳細可以參考上述圖1所示實施例的可選實施例，在此不再贅述。
[0119]上述實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0120]圖3為本發明再一實施例提供的WLAN的安全建立方法的流程圖。如圖3所示，本實施例的WLAN的安全建立方法的執行主體為移動通信網絡中的網元設備。本實施例的WLAN的安全建立方法，具體可以包括如下步驟:
[0121]300、UE接入的移動通信網絡中的網元設備接收WLAN節點發送的密鑰請求消息；該密鑰請求消息中攜帶有UE的身份標識符；
[0122]301、網元設備根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰；
[0123]本實施例中該推演密鑰為網元設備根據第一密鑰和推演參數進行推演得到；其中第一密鑰為網元設備與UE在執行空口安全時的共享密鑰或者根據網元設備與UE在執行空口安全時的共享密鑰推演得出的。推演參數為網元設備與U協商確定的。
[0124]302、網元設備向WLAN節點發送推演密鑰，以供WLAN節點基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接。
[0125]其中UE獲取到的推演密鑰與WLAN節點接收網元設備發送的推演密鑰相同。本實施例與上述圖1或者圖2所示實施例的區別僅在于:上述圖1所示實施例在UE側描述本發明的技術方案，圖2所示實施例在WLAN節點側描述本發明的技術方案，而本實施例在移動通信網絡中的網元設備側描述本發明的技術方案，其余實施過程完全相同，詳細可以參考上述圖1或者圖2所示實施例的記載，在此不再贅述。
[0126]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0127]可選地，在上述圖3所示實施例的技術方案的基礎上，還可以包括如下可選技術方案，構成圖3所示實施例的可選實施例。
[0128]在圖3所示實施例的可選實施例中，在步驟301之前還包括如下步驟:303、網元設
備獲取第一密鑰。
[0129]可選地，在圖3所示實施例的可選實施例中，步驟303“網元設備獲取第一密鑰”之后，步驟301 “網元設備根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰”之前，還可以包括如下步驟:
[0130](I)網元設備根據第一密鑰和推演參數進行推演得到第二密鑰；
[0131](2)建立第二密鑰與UE的身份標識符之間的對應關系。
[0132]此時對應的步驟301 “網元設備根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰”，具體可以包括:網元設備根據第二密鑰與UE的身份標識符之間的對應關系、以及密鑰請求消息中的UE的身份標識符，獲取第二密鑰。即本實施例中的推演密鑰為
第二密鑰。
[0133]此時對應的步驟302“網元設備向WLAN節點發送推演密鑰，以供WLAN節點基于推演密鑰與UE之間建立安全連接”，具體可以包括:網元設備向WLAN節點發送第二密鑰，以供WLAN節點基于第二密鑰與UE之間建立安全連接。
[0134]或者進一步可選地，當在步驟303 “網元設備獲取第一密鑰”之后，步驟301 “網元設備根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰”之前，還包括上述步驟(I)和(2)的時候，此時對應的步驟300 “網元設備接收WLAN節點發送的攜帶UE的身份標識符的密鑰請求消息”還可以具體包括:網元設備接收WLAN節點發送的攜帶UE的身份標識符和WLAN節點的身份標識符的密鑰請求消息。或者可選地，網元設備接收WLAN節點發送的攜帶密鑰請求消息中也可以不攜帶WLAN節點的身份標識符，而由網元設備自己去獲取WLAN節點的身份標識符，例如網元設備可以接收WLAN節點發送的攜帶UE的身份標識符的密鑰請求消息之后，獲取該WLAN節點的IP地址，再根據該WLAN節點的IP地址獲取該WLAN節點的身份標識符，實際應用中網元設備還可以采用其他方法獲取WLAN節點的身份標識符。此外，WLAN節點可以是WLAN節點SSID、或者WLAN節點的MAC地址或者其他的能夠唯一標識WLAN節點的身份信息。
[0135]此時對應的步驟301 “網元設備根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰”，具體可以包括如下步驟:
[0136](a)網元設備根據第二密鑰與UE的身份標識符之間的對應關系、以及密鑰請求消息中的UE的身份標識符，獲取第二密鑰；
[0137](b)網元設備根據第二密鑰與密鑰請求消息中的WLAN節點的身份標識符推演得到第三密鑰。即該技術方案中，推演密鑰為第三密鑰。
[0138]此時對應的步驟302“網元設備向WLAN節點發送推演密鑰，以供WLAN節點基于推演密鑰與UE之間建立安全連接”，具體可以包括:網元設備向WLAN節點發送第三密鑰，以供WLAN節點基于第三密鑰與UE之間建立安全連接。
[0139]可選地，在圖3所示實施例的可選實施例中，上述實施例中的移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0140]可選地，在圖3所示實施例的可選實施例中，UE的身份標識符為UE的MAC地址、UE的 MS1、UE 的 TMS1、UE 的 P_TMS1、UE 的 GUT1、UE 的 S_TMS1、UE 的 RNTI 或者 UE 的 MSISDN。
[0141]進一步可選地，當UE的身份標識符為UE的WLAN接口的MAC地址時，步驟300“網元設備接收WLAN節點發送的攜帶UE的身份標識符的密鑰請求消息”之前，還可以包括:網元設備接收UE發送的UE的身份標識符。例如網元設備具體可以接收UE采用加密的方式發送的UE的身份標識符，例如加密的消息可以為加密的附著完成(Attach Complete)消息、RAU消息完成(Complete)消息、TAU完成(Complete)消息、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等消息。這樣,采用上述方案可以對UE的身份標識符進行有效地保護，從而能夠有效地保證推演密鑰的安全性，進一步有效地增強了 UE和WLAN節點之間的安全性連接。
[0142]需要說明的是，上述圖1所示實施例的可選實施例中的能夠應用在網元設備側的可選技術方案，均可以用于在圖3所示實施例的可選實施例中，詳細可以參考上述圖1所示實施例的可選實施例，在此不再贅述。
[0143]上述實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0144]圖4為本發明一實施例提供的WLAN的安全建立方法的信令圖。本實施例在上述實施例的基礎上，以移動通信網絡為GSM網絡，網元設備為BSC，UE的身份標識符為UE的MAC地址為例詳細介紹本發明實施例的技術方案。如圖4所示，本實施例的WLAN的安全建立方法，具體可以包括如下步驟:
[0145]400、UE接入GSM網絡，并與GSM網絡中的BSC執行空口安全，UE和BSC獲取執行空口安全時的共享密鑰，并基于該共享密鑰獲取第一密鑰；
[0146]例如可以參考上述圖1-圖3所示實施例的記載，第一密鑰為該共享密鑰或者根據該共享密鑰推演得出的。
[0147]401、UE 向 BSC 發送 UE 的 MAC 地址；
[0148]例如UE可以在RRC消息中攜帶UE的MAC地址以發送給BSC。本發明實施例中當UE的身份標識符為MAC地址之外的其他時，BSC可以從自身中獲取到，可以省去該步驟401。
[0149]402、UE和BSC根據第一密鑰和推演參數推演得到第二密鑰；
[0150]本實施例中該推演參數可以由UE和BSC協商確定。步驟401和步驟402可以無先后順序。
[0151]403、BSC存儲該UE的MAC地址與第二密鑰的對應關系；
[0152]404、WLAN節點向BSC發送攜帶UE的MAC地址的密鑰請求消息；
[0153]例如在UE接入WLAN節點時向WLAN節點發送WiFi消息時已經將該UE的MAC地址告訴給WLAN節點，詳細可以參考相關現有技術，在此不再贅述。
[0154]405,BSC根據密鑰請求消息中的UE的MAC地址以及UE的MAC地址與第二密鑰的對應關系，獲取該UE對應的第二密鑰；
[0155]406、BSC向WLAN節點發送給第二密鑰；
[0156]407、UE和WLAN節點基于該第二密鑰建立WLAN安全連接。
[0157]本實施例中WLAN節點向BSC發送的密鑰請求消息中還可以攜帶WLAN節點的身份標識符，此時步驟405之后，可以執行UE和BSC基于該第二密鑰和WLAN節點的身份標識符進行推演得到第三密鑰，此時對應的BSC向WLAN節點發送該第三密鑰，此時對應的UE和WLAN節點基于該第三密鑰建立安全連接。
[0158]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于第二密鑰或者第三密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0159]圖5為本發明另一實施例提供的WLAN的安全建立方法的信令圖。本實施例在上述實施例的基礎上，以移動通信網絡為LTE網絡，網元設備為eNB，UE的身份標識符為UE的MAC地址為例詳細介紹本發明實施例的技術方案。如圖5所示，本實施例的WLAN的安全建立方法，具體可以包括如下步驟:
[0160]500、UE接入LTE網絡，并與LTE網絡中的eNB執行空口安全，UE和eNB獲取執行空口安全時的共享密鑰，并基于該共享密鑰獲取第一密鑰；
[0161]例如可以參考上述圖1-圖3所示實施例的記載，第一密鑰為該共享密鑰或者根據該共享密鑰推演得出的。
[0162]501、UE 向 MME 發送 UE 的 MAC 地址；
[0163]例如UE在NAS SMC中將UE的MAC地址發給MME。
[0164]502、MME 向 eNB 發送 UE 的 MAC 地址；
[0165]例如MME將UE的MAC地址通過SI消息轉發給eNB。
[0166]可選地，UE也可以在RRC消息中將UE的MAC地址發給eNB。
[0167]本發明實施例中當UE的身份標識符為MAC地址之外的其他時，BSC可以從自身中獲取到，可以省去該步驟401。
[0168]503、UE和eNB根據第一密鑰和推演參數推演得到第二密鑰；
[0169]本實施例中該推演參數可以由UE和eNB協商確定。步驟503和步驟501步驟502可以無先后順序。
[0170]504、eNB存儲該UE的MAC地址與第二密鑰的對應關系；
[0171]505、WLAN節點向eNB發送攜帶UE的MAC地址和WLAN節點身份標識符的密鑰請求消息；
[0172]例如在UE接入WLAN節點時向WLAN節點發送WiFi消息時已經將該UE的MAC地址告訴給WLAN節點，詳細可以參考相關現有技術，在此不再贅述。
[0173]506、eNB根據密鑰請求消息中的UE的MAC地址以及UE的MAC地址與第二密鑰的對應關系，獲取該UE對應的第二密鑰；
[0174]507,eNB和UE基于該第二密鑰和密鑰請求消息中的WLAN節點身份標識符推演得到第三密鑰；
[0175]508、eNB向WLAN節點發送給第三密鑰；
[0176]509、UE和WLAN節點基于該第三密鑰建立WLAN安全連接。
[0177]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE與WLAN節點之間能夠基于第三密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0178]上述圖4和圖5僅為本發明實施例的兩種可選形式的實施例，根據上述圖1-圖3所示實施例及對應的可選實施例中，還可以推理得到本發明的其他實施例的信令圖，在此不再一一舉例贅述。
[0179]圖6為本發明又一實施例提供的WLAN的安全建立方法的流程圖。如圖6所示，本實施例的WLAN的安全建立方法的執行主體為UE’本實施例的WLAN的安全建立方法，具體可以包括如下步驟:[0180]600、UE獲取第一密鑰；
[0181]本實施例中的第一密鑰為UE與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰，或者第一密鑰為根據UE與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰推演得出的；UE根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。
[0182]601、UE根據認證用戶名和認證信任狀與第一網元設備或者第二網元設備進行擴展認證協議(Extensible Authentication Protocol ;EAP)認證；
[0183]602、UE在認證完成后與WLAN節點之間建立安全連接。
[0184]本實施例中的EAP認證過程詳細可以參考現有技術中的EAP認證，在此不再贅述。
[0185]本實施例中的第二網元設備從第一網元設備處獲取認證用戶名和認證信任狀；或者第二網元設備從第一網元設備處獲取UE的身份標識符和第一密鑰，并根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。本實施例中的第一網元設備和第二網元設備僅為對兩個網元設備進行命名，實際應用中，兩個網元設備的名稱亦可以互換。
[0186]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，UE根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證密碼；并由UE根據認證用戶名和認證密碼與UE接入的移動通信網絡中的網元設備進行EAP認證，并在認證完成后UE與WLAN節點之間建立安全連接；其中第一密鑰為用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0187]可選地，上述實施例中的移動通信網絡可以為GSM網絡、UMTS, LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0188]可選地，上述實施例中的UE的身份標識符為UE的MAC地址、UE的MS1、UE的TMS1、UE 的 P-TMS1、UE 的⑶T 1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MS ISDN。
[0189]圖7為本發明再另一實施例提供的WLAN的安全建立方法的流程圖。如圖7所示，本實施例的WLAN的安全建立方法的執行主體為第一網元設備，本實施例的WLAN的安全建立方法，具體可以包括如下步驟:
[0190]700,UE接入的移動通信網絡中的第一網元設備獲取UE的認證用戶名和認證信任狀；
[0191]本實施例中的認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與接入的移動通信網絡中的第一網元設備或者第二網元設備在執行空口安全時的共享密鑰，或者第一密鑰為根據UE與接入的移動通信網絡中的第一網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的。
[0192]701、第一網元設備根據認證用戶名和認證信任狀與UE進行EAP認證；
[0193]702、第一網元設備在EAP認證完成后，向WLAN節點發送認證完成，以指示WLAN節點與UE之間建立安全連接。[0194]本實施例與上述圖6所示實施例的區別僅在于:上述圖6所示實施例在UE側描述本發明的技術方案，而本實施例在移動通信網絡中的第一網元設備側描述本發明的技術方案，其余實施過程完全相同，詳細可以參考上述圖6所示實施例的記載，在此不再贅述。
[0195]本實施例的無線局域網絡的安全建立方法，通過采用上述技術方案，第一網元設備獲取UE的認證用戶名和認證信任狀，并根據認證用戶名和認證密碼與UE進行EAP認證，并在認證完成后，向WLAN節點發送認證完成，以指示WLAN節點與UE之間建立安全連接；其中認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與接入的移動通信網絡中的第一網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0196]可選地，在上述圖7所示實施例的技術方案的基礎上，還可以包括如下可選技術方案，構成圖7所示實施例的可選實施例。
[0197]在圖7所示實施例的可選實施例中，步驟700 “UE接入的移動通信網絡中的第一網元設備獲取UE的認證用戶名和認證信任狀”，具體可以包括如下步驟:
[0198](I)第一網元設備接收第二網元設備發送的UE的UE的身份標識符和第一密鑰，該第一密鑰為UE與第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的；
[0199](2)第一網元設備根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證Ih任狀。
[0200]或者可選地，步驟700“UE接入的移動通信網絡中的第一網元設備獲取UE的認證用戶名和認證信任狀”，具體可以包括:第一網元設備接收第二網元設備發送的認證用戶名和認證信任狀，該認證用戶名和認證信任狀為第二網元設備根據UE的身份標識符和第一密鑰推演生成的，第一密鑰為UE與第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。
[0201]或者進一步可選地，步驟700 “UE接入的移動通信網絡中的第一網元設備獲取UE的認證用戶名和認證信任狀”，具體可以包括如下步驟:
[0202](a)第一網元設備獲取第一密鑰；述第一密鑰為第一網元設備與UE在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的；
[0203](b)第一網元設備根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證Ih任狀。
[0204]可選地，上述實施例中的移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0205]可選地，上述實施例中的UE的身份標識符為UE的MAC地址、UE的MS1、UE的TMS1、UE 的 P-TMS1、UE 的⑶T 1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MS ISDN。
[0206]需要說明的是，上述圖6所示實施例的可選實施例中的能夠應用在網元設備側的可選技術方案，均可以用于在圖7所示實施例的可選實施例中，詳細可以參考上述圖6所示實施例的可選實施例，在此不再贅述。
[0207]通過采用上述實施例的技術方案，第一網元設備獲取UE的認證用戶名和認證信任狀，并根據認證用戶名和認證密碼與UE進行EAP認證，并在認證完成后，使得UE與WLAN節點之間建立安全連接；其中認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與接入的移動通信網絡中的第一網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0208]本領域普通技術人員可以理解:實現上述各方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成。前述的程序可以存儲于一計算機可讀取存儲介質中。該程序在執行時，執行包括上述各方法實施例的步驟；而前述的存儲介質包括:R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質。
[0209]圖8為本發明一實施例提供的UE的結構示意圖。如圖8所示，本實施例的UE，具體可以包括獲取模塊10、推演模塊11和建立模塊12。
[0210]其中獲取模塊10用于獲取第一密鑰；該第一密鑰為本實施例的UE與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰，或者該第一密鑰為根據UE與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的。推演模塊11與獲取模塊10連接，推演模塊11用于根據獲取模塊10獲取的第一密鑰和推演參數進行推演得到推演密鑰，推演參數為UE和網元設備協商確定的。建立模塊12與推演模塊11連接，建立模塊用于根據推演模塊11推演得到的推演密鑰與獲取到推演密鑰的WLAN節點之間建立安全連接，WLAN節點獲取到的推演密鑰與UE獲取的推演密鑰相同，例如WLAN節點可以向網元設備中請求獲取推演密鑰，網元設備根據第一密鑰和推演參數推演得到推演密鑰。
[0211]本實施例中，UE與網元設備均可以獲知推演參數，可以認為推演參數是兩者協商確定的。推演參數具體可以為一個或者多個。例如推演參數可以為UE和網元設備事先約定好的，或者在推演推演密鑰時在線協商的。例如可以由UE提供一些參數作為推演參數，然后告知網元設備。或者由網元設備提供一些參數作為推演參數，然后告知網元設備。或者可以由UE提供一些參數或者由網元設備提供一些參數，然后UE和網元設備交換各自提供的參數，此時對應的推演參數由UE提供給參數和網元設備提供的參數共同組成。
[0212]本實施例的UE，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0213]本實施例的UE，通過采用上述模塊，UE能夠與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0214]圖9為本發明另一實施例提供的UE的結構示意圖。如圖9所示，本實施例的UE’在上述圖8所示實施例的基礎上，還可以包括如下技術方案。
[0215]本實施例的UE中包括發送模塊13。該發送模塊13用于向WLAN節點發送UE的身份標識符，以供WLAN節點根據UE的身份標識符，向網元設備請求獲取UE對應的推演密鑰。
[0216]可選地，本實施例的UE中，推演模塊11具體用于根據獲取模塊10獲取的第一密鑰和推演參數進行推演得到第二密鑰；建立模塊12具體用于根據推演模塊11推演得打的第二密鑰與WLAN節點之間建立安全連接。
[0217]可選地，本實施例的UE中，推演模塊11具體用于根據第一密鑰和推演參數進行推演得到第二密鑰；并根據第二密鑰和WLAN節點的身份標識符推演得到第三密鑰；UE在開始接入WLAN節點的時候，可以獲取到WLAN節點的身份標識符。而本實施例中，在網元設備一側，網元設備也可以獲取到該WLAN節點的身份標識符，并根據第二密鑰和WLAN節點的身份標識符進行推演得到第三密鑰。建立模塊23具體用于根據推演模塊11推演得到的第三密鑰與WLAN節點之間建立安全連接。
[0218]可選地，本實施例的UE中，UE的身份標識符為UE的MAC地址、UE的MS1、UE的TMS1、UE 的 P-TMS1、UE 的⑶T 1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MS ISDN。
[0219]進一步可選地，本實施例的UE中的發送模塊13還用于當UE的身份標識符為UE的WLAN接口的MAC地址時，向網元設備發送UE的身份標識符。例如該發送模塊13具體用于當UE的身份標識符為UE的WLAN接口的媒體訪問控制地址時，采用加密的方式向網元設備發送UE的身份標識符。例如本實施例的UE中還可以包括攜帶模塊，用于在附著完成(AttachComplete)消息、RAU 消息完成(Complete)消息、TAU 完成(Complete)消息、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等中攜帶UE的身份標識符，并由發送模塊13在網元設備發送攜帶UE的身份標識符的加密的附著完成(Attach Complete)消息、RAU消息完成(Complete)消息、TAU完成(Complete)消息、NAS SMC消息或者UE的容量遷移(capability transfer)消息等等。
[0220]可選地，本實施例的UE中，移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0221]上述實施例的UE，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0222]上述實施例的UE，通過采用上述模塊，UE能夠與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0223]圖10為本發明實施例提供的WLAN節點設備的結構示意圖。如圖10所示，本實施例的WLAN節點設備中，具體可以包括:接收模塊20、發送模塊21和建立模塊22。
[0224]其中接收模塊20用于接收UE發送的UE的身份標識符；發送模塊21與接收模塊20連接，發送模塊21用于向UE接入的移動通信網絡中的網元設備發送攜帶接收模塊20接收的UE的身份標識符的密鑰請求消息；接收模塊20還用于接收網元設備發送的UE的身份標識符對應的推演密鑰；該推演密鑰為網元設備根據第一密鑰和推演參數進行推演得到，該第一密鑰為UE與網元設備在執行空口安全時的共享密鑰，或者該第一密鑰為根據UE與網元設備在執行空口安全時的共享密鑰推演得出的；推演參數為UE和網元設備協商確定的，例如該推演參數的確定可以參考上述相關實施例的記載。建立模塊22與接收模塊20連接，建立模塊22用于基于接收模塊20接收的推演密鑰與獲取到推演密鑰的UE之間建立安全連接，其中UE獲取到的推演密鑰與WLAN節點獲取的所述推演密鑰相同，例如UE可以根據第一密鑰和推演參數推演得到推演密鑰。
[0225]本實施例的WLAN節點設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0226]本實施例的WLAN節點設備，通過采用上述模塊能夠實現UE與WLAN節點之間基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0227]可選地，在上述圖10所示實施例的基礎上，接收模塊20具體用于接收網元設備發送的UE的身份標識符對應的第二密鑰，該第二密鑰為網元設備根據UE的身份標識符以及網元設備中存儲的UE的身份標識符與第二密鑰之間的對應關系獲取的；該第二密鑰為網元設備根據第一密鑰和推演參數進行推演得到；本實施例中推演密鑰為第二密鑰。建立模塊22具體用于基于接收模塊20接收的第二密鑰與UE之間建立安全連接.[0228]或者可選地，在上述圖8所示實施例的基礎上，發送模塊21具體用于向網元設備發送攜帶接收模塊20接收的UE的身份標識符和WLAN節點的身份標識符的密鑰請求消息；接收模塊20具體用于接收網元設備發送的第三密鑰，該第三密鑰為網元設備根據第二密鑰與WLAN節點的身份標識符推演得到的；該第二密鑰為網元設備根據UE的身份標識符以及網元設備中存儲的UE的身份標識符與第二密鑰之間的對應關系獲取的；該第二密鑰為網元設備根據第一密鑰和推演參數進行推演得到，本實施例中，推演密鑰為第三密鑰。建立模塊22具體用于基于接收模塊20接收的第三密鑰與UE之間建立安全連接。
[0229]可選地，在上述圖10所示實施例的基礎上，UE的身份標識符為UE的MAC地址、UE的 MS1、UE 的 TMS1、UE 的 P-TMS1、UE 的⑶T1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MSISDN。
[0230]可選地，在上述圖10所示實施例的基礎上，移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0231]上述實施例的WLAN節點設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0232]上述實施例的WLAN節點設備，通過采用上述模塊能夠實現UE與WLAN節點之間基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0233]圖11為本發明一實施例提供的網元設備的結構示意圖。本實施例的網元設備位于UE接入的移動通信網絡中。如圖11所示，本實施例的網元設備具體可以包括:接收模塊30、獲取模塊31和發送模塊32。
[0234]其中接收模塊30用于接收WLAN節點發送的密鑰請求消息，該密鑰請求消息中攜帶有UE的身份標識符；獲取模塊31與接收模塊30連接，獲取模塊31用于根據接收模塊30接收的密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰；該推演密鑰為網元設備根據第一密鑰和推演參數進行推演得到；第一密鑰為網元設備與UE在執行空口安全時的共享密鑰，或者第一密鑰為根據網元設備與UE在執行空口安全時的共享密鑰推演得出的；該推演參數為網元設備與UE協商確定的；發送模塊32與獲取模塊31連接，發送模塊32用于向WLAN節點發送獲取模塊31獲取的推演密鑰，以供WLAN節點基于推演密鑰與獲取到推演密鑰的UE之間建立安全連接。其中UE獲取到的推演密鑰與WLAN節點接收網元設備發送的推演密鑰相同。
[0235]本實施例的網元設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0236]本實施例的網元設備，通過采用上述模塊能夠實現UE與WLAN節點之間基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0237]圖12為本發明另一實施例提供的網元設備的結構示意圖。如圖12所示，本實施例的網元設備，在上述圖10所示實施例的基礎上，還可以包括如下技術方案。
[0238]本實施例的網元設備中，獲取模塊31還用于根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰之前，獲取第一密鑰。
[0239]本實施例的網元設備中，還包括推演模塊33和建立模塊34。其中推演模塊33與獲取模塊31連接，用于在獲取模塊31獲取第一密鑰之后，根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰之前，根據獲取模塊31獲取的第一密鑰和推演參數進行推演得到第二密鑰；建立模塊34與推演模塊33連接，建立模塊34用于建立推演模塊33推演得到的第二密鑰與UE的身份標識符之間的對應關系。此時對應的獲取模塊31還與建立模塊34連接，具體用于根據建立模塊34建立的第二密鑰與UE的身份標識符之間的對應關系、以及密鑰請求消息中的UE的身份標識符，獲取第二密鑰；即該技術方案中推演密鑰為第二密鑰。此時對應的發送模塊32具體用于向WLAN節點發送獲取模塊31獲取的第二密鑰，以供WLAN節點基于第二密鑰與UE之間建立安全連接。
[0240]或者可選地，本實施例的網元設備中，推演模塊33也用于在獲取模塊31獲取第一密鑰之后，根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰之前，根據獲取模塊31獲取的第一密鑰和推演參數進行推演得到第二密鑰；建立模塊34也用于建立獲取模塊31獲取的第二密鑰與UE的身份標識符之間的對應關系時，接收模塊30具體用于接收WLAN節點發送的攜帶UE的身份標識符和WLAN節點的身份標識符的密鑰請求消息；獲取模塊31具體用于根據建立模塊34建立的第二密鑰與UE的身份標識符之間的對應關系、以及接收模塊30接收的密鑰請求消息中的UE的身份標識符，獲取第二密鑰；并根據第二密鑰與密鑰請求消息中的WLAN節點的身份標識符推演得到第三密鑰；發送模塊32具體用于向WLAN節點發送獲取模塊31獲取的第三密鑰，以供WLAN節點基于第三密鑰與UE之間建立安全連接。即該技術方案中推演密鑰為第三密鑰。
[0241]可選地，本實施例的網元設備中，UE的身份標識符為UE的MAC地址、UE的MS1、UE 的 TMS1、UE 的 P-TMS1、UE 的⑶T 1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MS ISDN。
[0242]可選地，本實施例的網元設備中，接收模塊30還用于當UE的身份標識符為UE的WLAN接口的MAC地址時，接收UE發送的UE的身份標識符。例如接收模塊30還用于當UE的身份標識符為UE的WLAN接口的MAC地址時，接收UE采用加密的方式發送的UE的身份標識符。
[0243]可選地，本實施例的網元設備中，移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0244]本實施例的網元設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0245]本實施例的網元設備，通過采用上述模塊能夠實現UE與WLAN節點之間基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0246]圖13為本發明再一實施例提供的UE的結構示意圖。如圖13所示，本實施例的IE,具體可以包括獲取模塊40、生成模塊41、認證模塊42和建立模塊43。
[0247]其中獲取模塊40用于獲取第一密鑰；該第一密鑰為UE與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰，或者根據UE與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰推演得出的；生成模塊41根據UE的身份標識符和獲取模塊40獲取的第一密鑰推演生成認證用戶名和認證信任狀；認證模塊42與生成模塊41連接，認證模塊42用于根據生成模塊41生成的認證用戶名和認證信任狀與第一網元設備或者第二網元設備進行EAP認證；第二網元設備為移動通信網絡中的所述第一網元設備之外的其他網元設備；第二網元設備從第一網元設備處獲取認證用戶名和認證信任狀；或者第二網元設備從第一網元設備處獲取UE的身份標識符和第一密鑰，并根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。建立模塊43與認證模塊42連接，建立模塊43用于在認證模塊42進行EAP認證完成后與WLAN節點之間建立安全連接。
[0248]本實施例的UE，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0249]本實施例的UE,通過采用上述模塊UE能夠根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證密碼；并由UE根據認證用戶名和認證密碼與UE接入的移動通信網絡中的網元設備進行EAP認證，并在認證完成后UE與WLAN節點之間建立安全連接；其中第一密鑰為用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。[0250]可選地，上述圖13所示實施例的UE中，UE的身份標識符為UE的MAC地址、UE的IMSI, UE 的 TMS1、UE 的 P-TMS1、UE 的 GUT1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MSISDN。
[0251]可選地，上述圖13所示實施例的UE中，移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0252]圖14為本發明再一實施例提供的網元設備的結構示意圖。本實施例的網元設備位于UE接入的移動通信網絡中。如圖14所示，本實施例的網元設備包括獲取模塊50、認證模塊51和發送模塊52。
[0253]其中獲取模塊50用于獲取UE的認證用戶名和認證信任狀；該認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與網元設備或者第二網元設備在執行空口安全時的共享密鑰，或者第一密鑰為根據UE與網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的。認證模塊51與獲取模塊50連接，認證模塊51用于根據認證用戶名和認證信任狀與UE進行EAP認證，發送模塊52與認證模塊51連接，發送模塊52用于在認證模塊51進行EAP認證成功后，向WLAN節點發送認證完成，以指示WLAN節點與UE之間建立安全連接。
[0254]本實施例的網元設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0255]本實施例的網元設備，通過采用上述模塊能夠獲取UE的認證用戶名和認證信任狀，并根據認證用戶名和認證密碼與UE進行EAP認證，并在認證完成后，使得UE與WLAN節點之間建立安全連接；其中認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與接入的移動通信網絡中的第一網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0256]可選地，上述圖14所示實施例的網元設備中，獲取模塊50具體用于接收第二網元設備發送的UE的UE的身份標識符和第一密鑰，該第一密鑰為UE與第二網元設備在執行空口安全時的共享密鑰或者根據UE與第二網元設備在執行空口安全時的共享密鑰推演得出的；并根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。
[0257]或者可選地，上述圖14所示實施例的網元設備中，獲取模塊50具體用于接收第二網元設備發送的認證用戶名和認證信任狀，認證用戶名和認證信任狀為第二網元設備根據UE的身份標識符和第一密鑰推演生成的，第一密鑰為UE與第二網元設備在執行空口安全時的共享密鑰或者根據UE與第二網元設備在執行空口安全時的共享密鑰推演得出的。
[0258]或者可選地，上述圖14所示實施例的網元設備中，獲取模塊50具體用于獲取第一密鑰；第一密鑰為第一網元設備與UE在執行空口安全時的共享密鑰或者根據第一網元設備與UE在執行空口安全時的共享密鑰推演得出的；并根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。
[0259]可選地，上述實施例的UE中，UE的身份標識符為UE的MAC地址、UE的MS1、UE的TMS1、UE 的 P-TMS1、UE 的⑶T1、UE 的 S-TMS1、UE 的 RNTI 或者 UE 的 MSISDN。
[0260]可選地，上述實施例的UE中，移動通信網絡可以為GSM網絡、UMTS、LTE系統、CDMA網絡或GPRS網絡；網元設備可以為GSM網絡的BSC、UMTS的RNC、GPRS網絡的SGSN、LTE系統的MME或者LTE系統中的eNB。
[0261]上述實施例的網元設備，通過采用上述模塊實現WLAN的安全建立與上述相關方法實施例的實現機制相同，詳細可以參考上述相關方法實施例的記載，在此不再贅述，
[0262]上述實施例的網元設備，通過采用上述模塊能夠獲取UE的認證用戶名和認證信任狀，并根據認證用戶名和認證密碼與UE進行EAP認證，并在認證完成后，使得UE與WLAN節點之間建立安全連接；其中認證用戶名和認證信任狀為根據UE的身份標識符和第一密鑰推演生成的；第一密鑰為UE與網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據UE與網元設備或者第二網元設備的共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0263]圖15為本發明一實施例提供的WLAN的安全建立系統的結構示意圖。如圖15所示，本實施例的WLAN的安全建立系統包括:UE60、WLAN節點設備61和網元設備62。UE60、WLAN節點設備61和網元設備62兩兩互相通信。
[0264]UE60用于獲取第一密鑰；該第一密鑰為UE60與接入的移動通信網絡中的網元設備62在執行空口安全時的共享密鑰或者根據UE60與網元設備62在執行空口安全時的共享密鑰推演得出的。UE60根據第一密鑰和推演參數進行推演得到推演密鑰。推演參數為UE60和網元設備62協商確定的。UE60還用于向WLAN節點設備61發送UE的身份標識符。
[0265]WLAN節點設備61接收UE60發送UE的身份標識符；向網元設備62發送攜帶UE的身份標識符的密鑰請求消息。
[0266]網元設備62接收WLAN節點設備61發送的攜帶UE的身份標識符的密鑰請求消息；根據密鑰請求消息中的UE的身份標識符，獲取對應的推演密鑰；該推演密鑰為網元設備62根據第一密鑰和推演參數進行推演得到；網元設備62向WLAN節點設備61發送獲取的推演密鑰。
[0267]WLAN節點設備61接收網元設備62發送的UE的身份標識符對應的推演密鑰，這樣，UE60和WLAN節點設備61都獲取到推演密鑰，則UE60和WLAN節點設備61根據推演密
鑰建立安全連接。
[0268]可選地，本實施例中的UE60具體可以采用上述圖8或者圖9所示實施例的UE，本實施例中的WLAN節點設備61具體可以采用圖8及后續可選實施例中的WLAN節點設備，本實施例中的網元設備62具體可以采用上述圖11或者圖12所示實施例的網元設備，并可以采用上述圖1-圖3所示實施例及相應的后續可選實施例的技術方案實現WLAN的安全建立，詳細可以參考上述相關實施例的記載，在此不再贅述。
[0269]本實施例的WLAN的安全建立系統，通過采用上述UE、WLAN節點設備和網元設備，UE與WLAN節點之間能夠基于推演密鑰建立安全連接，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0270]圖16為本發明另一實施例提供的WLAN的安全建立系統的結構示意圖。如圖16所示，本實施例的WLAN的安全建立系統包括:UE70和第一網元設備71和WLAN節點設備72。UE70和第一網元設備71和WLAN節點設備72兩兩互相通信。
[0271]UE70用于獲取第一密鑰；該第一密鑰為UE70與接入的移動通信網絡中的第一網元設備71或者第二網元設備(圖中未示出)在執行空口安全時的共享密鑰，或者根據UE70與第一網元設備71或者第二網元設備在執行空口安全時的共享密鑰推演得出的；UE根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀；第一網元設備71也獲取UE的認證用戶名和認證信任狀。
[0272]例如當第一密鑰為UE70與接入的移動通信網絡中的第一網元設備71在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的，第一網元設備71也獲取第一密鑰；并根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。
[0273]當第一密鑰為UE70與接入的移動通信網絡中的第二網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。此時，第一網元設備71也從第二網元設備處獲取認證用戶名和認證信任狀；認證用戶名和認證信任狀為第二網元設備根據UE的身份標識符和第一密鑰推演生成。或者第一網元設備71也從第二網元設備處獲取UE的身份標識符和第一密鑰，而由第一網元設備根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證信任狀。第一網元設備71和第二網元設備互相通信。
[0274]由上述方案，UE70和第一網元設備71都獲取到認證用戶名和認證信任狀，然后由UE70和第一網元設備71根據認證用戶名和認證信任狀進行EAP認證，并在認證完成后，第一網元設備71向WLAN節點設備72發送認證完成，以指示UE70與WLAN節點設備72之間建立安全連接。其中UE70和第一網元設備71在進行EAP認證的時候，由WLAN節點設備72轉發認證消息，具體地在EAP認證時涉及到的認證消息可以參考相關現有技術，
[0275]可選地，本實施例中的UE70具體可以采用上述圖11所示實施例的UE，本實施例中的第一網元設備71具體可以采用上述圖14所示實施例的網元設備，并可以采用上述圖6_圖7所示實施例及相應的后續可選實施例的技術方案實現WLAN的安全建立，詳細可以參考上述相關實施例的記載，在此不再贅述。
[0276]本實施例的WLAN的安全建立系統，通過采用上述UE、WLAN節點設備和網元設備，UE能夠根據UE的身份標識符和第一密鑰推演生成認證用戶名和認證密碼；并由UE根據認證用戶名和認證密碼與UE接入的移動通信網絡中的網元設備進行EAP認證，并在認證完成后UE與WLAN節點之間建立安全連接；其中第一密鑰為用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據共享密鑰推演得出的。采用本實施例的上述技術方案，能夠克服現有技術中WLAN工作在open模式下，UE和WLAN節點之間不建立安全連接，UE和WLAN節點之間的數據以明文方式傳輸，導致UE與WLAN節點之間通信的安全性能較差的缺陷，采用本發明實施例的技術方案，能夠在UE和WLAN節點之間建立安全連接，提高UE與WLAN節點之間通信的安全性。
[0277]以上所描述的裝置實施例僅僅是示意性的，其中作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到至少兩個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本實施例方案的目的。本領域普通技術人員在不付出創造性的勞動的情況下，即可以理解并實施。
[0278]最后應說明的是:以上各實施例僅用以說明本發明的技術方案，而非對其限制；盡管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍。
【權利要求】
1.一種無線局域網絡的安全建立方法，其特征在于，包括: 用戶設備獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的； 所述用戶設備根據所述第一密鑰和推演參數進行推演得到推演密鑰，所述推演參數為所述用戶設備與所述網元設備協商確定的； 所述用戶設備根據所述推演密鑰與獲取到推演密鑰的無線局域網絡節點之間建立安全連接，所述無線局域網絡節點獲取到的推演密鑰與所述用戶設備獲取的所述推演密鑰相同。
2.根據權利要求1所述的方法，其特征在于，所述方法還包括: 所述用戶設備向所述無線局域網絡節點發送所述用戶設備的身份標識符，以供所述無線局域網絡節點根據所述用戶設備的身份標識符，向所述網元設備請求獲取所述用戶設備對應的所述推演密鑰。
3.根據權利要求1或2所述的方法，其特征在于，所述用戶設備根據所述第一密鑰和推演參數進行推演得到推演密鑰，包括: 所述用戶設備根據所述第一密鑰和所述推演參數進行推演得到第二密鑰； 所述用戶設備根據所述推演密鑰與無線局域網絡節點之間建立安全連接，包括: 所述用戶設備根據所述第二密鑰與無線局域網絡節點之間建立安全連接。
4.根據權利要求3所述的方法，其特征在于，所述用戶設備根據所述第一密鑰和推演參數進行推演得到推演密鑰， 還包括: 所述用戶設備根據所述第二密鑰和所述無線局域網絡節點的身份標識符推演得到第三密鑰； 所述用戶設備根據所述推演密鑰與無線局域網絡節點之間建立安全連接，還包括: 所述用戶設備根據所述第三密鑰與所述無線局域網絡節點之間建立安全連接。
5.根據權利要求1-4任一所述的方法，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
6.根據權利要求5所述的方法，其特征在于，當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，所述方法還包括: 所述用戶設備向所述網元設備發送所述用戶設備的身份標識符。
7.根據權利要求6所述的方法，其特征在于，所述用戶設備向所述網元設備發送所述用戶設備的身份標識符，包括: 所述用戶設備采用加密的方式向所述網元設備發送所述用戶設備的身份標識符。
8.根據權利要求7所述的方法，其特征在于，所述用戶設備采用加密的方式向所述網元設備發送所述用戶設備的身份標識符，包括: 所述用戶設備在附著完成消息、路由區域更新消息、跟蹤區域更新完成消息、非接入層安全模式結束消息或者容量遷移消息中攜帶所述用戶設備的身份標識符；并向所述網元設備發送攜帶所述用戶設備的身份標識符的加密的所述附著完成消息、所述路由區域更新消息、所述跟蹤區域更新完成消息、所述非接入層安全模式結束消息或者所述容量遷移消息。
9.根據權利要求1-8任一所述的方法，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或者所述長期演進系統的基站。
10.一種無線局域網絡的安全建立方法，其特征在于，包括: 無線局域網絡節點接收用戶設備發送的所述用戶設備的身份標識符； 所述無線局域網絡節點向所述用戶設備接入的移動通信網絡中的網元設備發送攜帶所述用戶設備的身份標識符的密鑰請求消息； 所述無線局域網絡 節點接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到，所述第一密鑰為所述用戶設備與所述網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述網元設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述用戶設備與所述網兀設備協商確定的； 所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局域網絡節點獲取的所述推演密鑰相同。
11.根據權利要求10所述的方法，其特征在于，所述無線局域網絡節點接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰，包括: 所述無線局域網絡節點接收所述網元設備發送的所述用戶設備的身份標識符對應的第二密鑰，所述第二密鑰為所述網元設備根據所述用戶設備的身份標識符以及所述網元設備中存儲的所述用戶設備的身份標識符與所述第二密鑰之間的對應關系獲取的；所述第二密鑰為所述網元設備根據第一密鑰和與所述推演參數進行推演得到； 所述無線局域網絡節點基于所述推演密鑰與所述用戶設備之間建立安全連接，包括: 所述無線局域網絡節點基于所述第二密鑰與所述用戶設備之間建立安全連接。
12.根據權利要求10所述的方法，其特征在于，所述無線局域網絡節點接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰，包括: 所述無線局域網絡節點接收所述網元設備發送的第三密鑰，所述第三密鑰為所述網元設備根據第二密鑰與所述無線局域網絡節點的身份標識符推演得到的；所述第二密鑰為所述網元設備根據所述用戶設備的身份標識符以及所述網元設備中存儲的所述用戶設備的身份標識符與所述第二密鑰之間的對應關系獲取的；所述第二密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到； 所述無線局域網絡節點基于所述推演密鑰與所述用戶設備之間建立安全連接，包括: 所述無線局域網絡節點基于所述第三密鑰與所述用戶設備之間建立安全連接。
13.根據權利要求12所述的方法，其特征在于，所述無線局域網絡節點向所述用戶設備接入的移動通信網絡中的網元設備發送攜帶所述用戶設備的身份標識符的密鑰請求消息，包括:所述無線局域網絡節點向所述網元設備發送攜帶所述用戶設備的身份標識符和所述無線局域網絡節點的身份標識符的密鑰請求消息。
14.根據權利要求10-13任一所述的方法，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
15.根據權利要求10-14任一所述的方法，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
16.一種無線局域網絡的安全建立方法，其特征在于，包括: 用戶設備接入的移動通信網絡中的網元設備接收無線局域網絡節點發送的密鑰請求消息；所述密鑰請求消息中攜帶有所述用戶設備的身份標識符； 所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到；所述第一密鑰為所述網元設備與所述用戶設備在執行空口安全時的共享密鑰或者根據所述網元設備與所述用戶設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述網元設備與所述用戶設備協商確定的； 所述網元設備向所述無線局域網絡節點發送所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局`域網絡節點接收所述網元設備發送的所述推演密鑰相同。
17.根據權利要求16所述的方法，其特征在于，所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰之前，還包括:所述網元設備獲取所述第一密鑰。
18.根據權利要求17所述的方法，其特征在于，所述網元設備獲取所述第一密鑰之后，所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰之前，所述方法還包括: 所述網元設備根據所述第一密鑰和所述推演參數進行推演得到第二密鑰； 所述網元設備建立所述第二密鑰與所述用戶設備的身份標識符之間的對應關系； 所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰，包括: 所述網元設備根據所述第二密鑰與所述用戶設備的身份標識符之間的對應關系、以及所述密鑰請求消息中的所述用戶設備的身份標識符，獲取所述第二密鑰； 所述網元設備向所述無線局域網絡節點發送所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與所述用戶設備之間建立安全連接，包括: 所述網元設備向所述無線局域網絡節點發送所述第二密鑰，以供所述無線局域網絡節點基于所述第二密鑰與所述用戶設備之間建立安全連接。
19.根據權利要求18所述的方法，其特征在于， 所述網元設備根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰，還包括: 所述網元設備根據所述第二密鑰與所述無線局域網絡節點的身份標識符推演得到所述第三密鑰； 所述網元設備向所述無線局域網絡節點發送所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與所述用戶設備之間建立安全連接，還包括: 所述網元設備向所述無線局域網絡節點發送所述第三密鑰，以供所述無線局域網絡節點基于所述第三密鑰與所述用戶設備之間建立安全連接。
20.根據權利要求16-19任一所述的方法，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
21.根據權利要求20所述的方法，其特征在于，當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，所述網元設備接收所述無線局域網絡節點發送的攜帶所述用戶設備的身份標識符的密鑰請求消息之前，所述方法還包括: 所述網元設備接收所述用戶設備發送的所述用戶設備的身份標識符。
22.根據權利要求 21所述的方法，其特征在于，所述網元設備接收所述用戶設備發送的所述用戶設備的身份標識符，包括:所述網元設備接收所述用戶設備采用加密的方式發送的所述用戶設備的身份標識符。
23.根據權利要求23所述的方法，其特征在于，所述網元設備接收所述用戶設備采用加密的方式發送的所述用戶設備的身份標識符，包括:所述網元設備接收所述用戶設備發送的攜帶所述用戶設備的身份標識符的加密的附著完成消息、路由區域更新消息、跟蹤區域更新完成消息、非接入層安全模式結束消息或者容量遷移消息。
24.根據權利要求16-23任一所述的方法，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或者所述長期演進系統的基站。
25.一種無線局域網絡的安全建立方法，其特征在于，包括: 用戶設備獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的所述共享密鑰推演得出的； 所述用戶設備根據所述用戶設備的身份標識符和所述第一密鑰推演生成認證用戶名和認證信任狀； 所述用戶設備根據所述認證用戶名和所述認證信任狀與所述第一網元設備或者第二網元設備進行擴展認證協議認證；所述第二網元設備為所述移動通信網絡中的所述第一網元設備之外的其他網元設備；所述第二網元設備從所述第一網元設備處獲取所述認證用戶名和所述認證信任狀；或者所述第二網元設備從所述第一網元設備處獲取所述用戶設備的身份標識符和所述第一密鑰，并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀； 所述用戶設備在所述擴展認證協議認證完成后與所述無線局域網絡節點之間建立安全連接。
26.根據權利要求25所述的方法，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
27.根據權利要求25或者26所述的方法，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
28.一種無線局域網絡的安全建立方法，其特征在于，包括: 用戶設備接入的移動通信網絡中的第一網元設備獲取所述用戶設備的認證用戶名和認證信任狀；所述認證用戶名和所述認證信任狀為根據所述用戶設備的身份標識符和第一密鑰生成的；所述第一密鑰為所述用戶設備與所述第一網元設備或者第二網元設備在執行空口安全時的共享密鑰，或者根據所述用戶設備與所述第一網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的； 所述第一網元設備根 據所述認證用戶名和所述認證信任狀與用戶設備進行擴展認證協議認證； 所述第一網元設備在所述擴展認證協議認證成功后，向所述無線局域網絡節點發送認證完成，以指示所述無線局域網絡節點與所述用戶設備之間建立安全連接。
29.根據權利要求28所述的方法，其特征在于，用戶設備接入的移動通信網絡中的第一網元設備獲取所述用戶設備的認證用戶名和認證信任狀，包括: 所述第一網元設備接收所述第二網元設備發送的所述用戶設備的所述用戶設備的身份標識符和所述第一密鑰，所述第一密鑰為所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰推演得出的； 所述第一網元設備根據所述用戶設備的身份標識符和所述第一密鑰生成所述認證用戶名和所述認證信任狀。
30.根據權利要求28所述的方法，其特征在于，用戶設備接入的移動通信網絡中的第一網元設備獲取所述用戶設備的認證用戶名和認證信任狀，包括: 所述第一網元設備接收所述第二網元設備發送的所述認證用戶名和所述認證信任狀，所述認證用戶名和所述認證信任狀為所述第二網元設備根據所述用戶設備的身份標識符和所述第一密鑰推演生成的，所述第一密鑰為所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰推演得出的。
31.根據權利要求28所述的方法，其特征在于，用戶設備接入的移動通信網絡中的第一網元設備獲取所述用戶設備的認證用戶名和認證信任狀，包括: 所述第一網元設備獲取所述第一密鑰；所述述第一密鑰為所述第一網元設備與所述用戶設備在執行空口安全時的共享密鑰或者根據所述第一網元設備與所述用戶設備在執行空口安全時的共享密鑰推演得出的； 所述第一網元設備根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀。
32.根據權利要求28-31任一所述的方法，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
33.根據權利要求32所述的方法，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
34.一種用戶設備，其特征在于，包括: 獲取模塊，用于獲取第一密鑰；所述第一密鑰為與接入的移動通信網絡中的網元設備在執行空口安全時的共 享密鑰或者根據所述用戶設備與接入的移動通信網絡中的網元設備在執行空口安全時的共享密鑰推演得出的； 推演模塊，用于根據所述獲取模塊獲取的所述第一密鑰和推演參數進行推演得到推演密鑰；所述推演參數為所述用戶設備與所述網元設備協商確定的； 建立模塊，用于根據所述推演模塊推演得到的所述推演密鑰與獲取到推演密鑰的無線局域網絡節點之間建立安全連接，所述無線局域網絡節點獲取到的推演密鑰與所述用戶設備獲取的所述推演密鑰相同。
35.根據權利要求34所述的設備，其特征在于，所述設備還包括: 發送模塊，用于向所述無線局域網絡節點發送用戶設備的身份標識符，以供所述無線局域網絡節點根據所述用戶設備的身份標識符，向所述網元設備請求獲取所述用戶設備對應的所述推演密鑰。
36.根據權利要求34所述的設備，其特征在于: 所述推演模塊，具體用于根據所述獲取模塊獲取的所述第一密鑰和所述推演參數進行推演得到第二密鑰； 所述建立模塊，具體用于根據所述推演模塊推演的所述第二密鑰與無線局域網絡節點之間建立安全連接。
37.根據權利要求34所述的設備，其特征在于: 所述推演模塊，具體用于根據所述獲取模塊獲取的所述第一密鑰和所述推演參數進行推演得到第二密鑰；并根據所述第二密鑰和所述無線局域網絡節點的身份標識符推演得到第三密鑰； 所述建立模塊，具體用于根據所述推演模塊推演的所述第三密鑰與所述無線局域網絡節點之間建立安全連接。
38.根據權利要求34-37任一所述的設備，其特征在于，所述發送模塊發送的用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
39.根據權利要求38所述的設備，其特征在于: 所述發送模塊，還用于當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，向所述網元設備發送所述用戶設備的身份標識符。
40.根據權利要求39所述的設備，其特征在于: 所述發送模塊，具體用于當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，采用加密的方式向所述網元設備發送所述用戶設備的身份標識符。
41.根據權利要求34-40任一所述的設備，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或者所述長期演進系統的基站。
42.一種無線局域網絡節 點設備，其特征在于，包括: 接收模塊，用于接收用戶設備發送的所述用戶設備的身份標識符； 發送模塊，用于向所述用戶設備接入的移動通信網絡中的網元設備發送攜帶所述接收模塊接收的所述用戶設備的身份標識符的密鑰請求消息； 所述接收模塊，還用于接收所述網元設備發送的所述用戶設備的身份標識符對應的推演密鑰；所述推演密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到，所述第一密鑰為所述用戶設備與所述網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述網元設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為所述用戶設備與所述網元設備協商確定的； 建立模塊，用于基于所述接收模塊接收的所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與無線局域網絡節點獲取的所述推演密鑰相同。
43.根據權利要求42所述的設備，其特征在于: 所述接收模塊，具體用于接收所述網元設備發送的所述用戶設備的身份標識符對應的第二密鑰，所述第二密鑰為所述網元設備根據所述用戶設備的身份標識符以及所述網元設備中存儲的所述用戶設備的身份標識符與所述第二密鑰之間的對應關系獲取的；所述第二密鑰為所述網元設備根據第一密鑰和所述推演參數進行推演得到； 所述建立模塊，具體用于基于所述接收模塊接收的第二密鑰與所述用戶設備之間建立安全連接。
44.根據權利要求42所述的設備，其特征在于: 所述接收模塊，具體用于接收所述網元設備發送的第三密鑰，所述第三密鑰為所述網元設備根據第二密鑰與所述無線局域網絡節點的身份標識符推演得到的；所述第二密鑰為所述網元設備根據所述用戶設備的身份標識符以及所述網元設備中存儲的所述用戶設備的身份標識符與所述第二密鑰之間的對應關系獲取的；所述第二密鑰為所述網元設備根據第一密鑰和推演參數進行推演得到； 所述建立模塊，具體用于基于所述接收模塊接收的所述第三密鑰與所述用戶設備之間建立安全連接。
45.根據權利要求44所述的設備，其特征在于: 所述發送模塊，具體用于向所述網元設備發送攜帶所述接收模塊接收的用戶設備的身份標識符和所述無線局域網絡節點的身份標識符的密鑰請求消息。
46.根據權利要求42-45任一所述的設備，其特征在于，所述接收模塊接收的用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
47.根據權利要求42-46任一所述的設備，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
48.一種網元設備，位于用戶設備接入的移動通信網絡中，其特征在于，所述網元設備包括: 接收模塊，用于接收無線局域網絡節點發送的密鑰請求消息；所述密鑰請求消息中攜帶有所述用戶設備的身份標識符； 獲取模塊，用于根據所述接收模塊接收的所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的推演密鑰；所述推演密鑰為根據第一密鑰和推演參數進行推演得到；所述第一密鑰為與所述用戶設備在執行空口安全時的共享密鑰或者根據與所述用戶設備在執行空口安全時的共享密鑰推演得出的；所述推演參數為與所述用戶設備協商確定的； 發送模塊，用于向所述無線局域網絡節點發送所述獲取模塊獲取到的所述推演密鑰，以供所述無線局域網絡節點基于所述推演密鑰與獲取到推演密鑰的所述用戶設備之間建立安全連接，所述用戶設備獲取到的推演密鑰與所述無線局域網絡節點接收所述網元設備發送的所述推演密鑰相同。
49.根據權利要求48所述的設備，其特征在于，所述獲取模塊，還用于獲取所述第一密鑰。
50.根據權利要求49所述的設備，其特征在于，所述設備還包括推演模塊和建立模塊: 所述推演模塊，用于在所述獲取模塊獲取所述第一密鑰之后，根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的所述推演密鑰之前，根據所述第一密鑰和所述推演參數進行推演得到第二密鑰； 所述建立模塊，用于建立所述推演模塊推演的所述第二密鑰與所述用戶設備的身份標識符之間的對應關系； 所述獲取模塊，具體用于根據所述建立模塊建立的所述第二密鑰與所述用戶設備的身份標識符之間的對應關系、以及所述密鑰請求消息中的所述用戶設備的身份標識符，獲取所述第二密鑰； 所述發送模塊，具體用于向所述無線局域網絡節點發送所述獲取模塊獲取的所述第二密鑰，以供所述無線局域網絡節點基于所述第二密鑰與所述用戶設備之間建立安全連接。
51.根據權利要求49所述的設備，其特征在于，所述設備還包括推演模塊和建立模塊: 所述推演模塊，用于在所述獲取模塊獲取所述第一密鑰之后，根據所述密鑰請求消息中的所述用戶設備的身份標識符，獲取對應的所述推演密鑰之前，根據所述第一密鑰和所述推演參數進行推演得到第二密鑰； 所述建立模塊，用于建立所述推演模塊推演的所述第二密鑰與所述用戶設備的身份標識符之間的對應關系； 所述獲取模塊，具體用于根據所述建立模塊建立的所述第二密鑰與所述用戶設備的身份標識符之間的對應關系、以及所述密鑰請求消息中的所述用戶設備的身份標識符，獲取所述第二密鑰；并根據所述第二密鑰與所述密鑰請求消息中的所述無線局域網絡節點的身份標識符推演得到所述第三密鑰； 所述發送模塊，具體用于向所`述無線局域網絡節點發送所述獲取模塊獲取的所述第三密鑰，以供所述無線局域網絡節點基于所述第三密鑰與所述用戶設備之間建立安全連接。
52.根據權利要求48-51任一所述的設備，其特征在于，所述接收模塊接收的用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
53.根據權利要求52所述的設備，其特征在于: 所述接收模塊，還用于當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，接收所述用戶設備發送的所述用戶設備的身份標識符。
54.根據權利要求53所述的設備，其特征在于: 所述接收模塊，還用于當所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址時，接收所述用戶設備采用加密的方式發送的所述用戶設備的身份標識符。
55.根據權利要求48-54任一所述的設備，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或者所述長期演進系統的基站。
56.—種用戶設備,其特征在于,包括: 獲取模塊，用于獲取第一密鑰；所述第一密鑰為所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與接入的移動通信網絡中的第一網元設備在執行空口安全時的共享密鑰推演得出的； 生成模塊，用于根據所述用戶設備的身份標識符和所述獲取模塊的所述第一密鑰推演生成認證用戶名和認證信任狀； 認證模塊，用于根據所述生成模塊生成的所述認證用戶名和所述認證信任狀與所述第一網元設備或者第二網元設備進行擴展認證協議認證；所述第二網元設備為所述移動通信網絡中的所述第一網元設備之外的其他網元設備；所述第二網元設備從所述第一網元設備處獲取所述認證用戶名和所述認證信任狀；或者所述第二網元設備從所述第一網元設備處獲取所述用戶設備的身份標識符和所述第一密鑰，并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀； 建立模塊，用于在所述認證模塊進行擴展認證協議認證完成后與所述無線局域網絡節點之間建立安全連接。
57.根據權 利要求56所述的設備，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
58.根據權利要求56或者57所述的設備，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
59.一種網元設備，位于用戶設備接入的移動通信網絡中，其特征在于，所述網元設備包括: 獲取模塊，用于獲取所述用戶設備的認證用戶名和認證信任狀；所述認證用戶名和所述認證信任狀為根據所述用戶設備的身份標識符和第一密鑰推演生成的；所述第一密鑰為所述用戶設備與所述網元設備或者第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述網元設備或者第二網元設備在執行空口安全時的共享密鑰推演得出的； 認證模塊，用于根據所述認證用戶名和所述認證信任狀與用戶設備進行擴展認證協議認證； 發送模塊，用于在所述擴展認證協議認證成功后，向所述無線局域網絡節點發送認證完成，以指示所述無線局域網絡節點與所述用戶設備之間建立安全連接。
60.根據權利要求59所述的設備，其特征在于，所述獲取模塊，具體用于接收所述第二網元設備發送的所述用戶設備的所述用戶設備的身份標識符和所述第一密鑰，所述第一密鑰為所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰推演得出的；并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀。
61.根據權利要求59所述的設備，其特征在于，所述獲取模塊，具體用于接收所述第二網元設備發送的所述認證用戶名和所述認證信任狀，所述認證用戶名和所述認證信任狀為所述第二網元設備根據所述用戶設備的身份標識符和所述第一密鑰推演生成的，所述第一密鑰為所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰或者根據所述用戶設備與所述第二網元設備在執行空口安全時的共享密鑰推演得出的。
62.根據權利要求59所述的設備，其特征在于，所述獲取模塊，具體用于獲取所述第一密鑰；所述述第一密鑰為所述第一網元設備與所述用戶設備在執行空口安全時的共享密鑰或者根據所述第一網元設備與所述用戶設備在執行空口安全時的共享密鑰推演得出的；并根據所述用戶設備的身份標識符和所述第一密鑰推演生成所述認證用戶名和所述認證信任狀。
63.根據權利要求59-62任一所述的設備，其特征在于，所述用戶設備的身份標識符為所述用戶設備的無線局域網絡接口的媒體訪問控制地址、所述用戶設備的國際移動用戶識別碼、所述用戶設備的臨時移動用戶識別碼、所述用戶設備的分組臨時移動用戶識別碼、所述用戶設備的全球唯一臨時身份、所述用戶設備的系統架構演進臨時移動客戶身份、所述用戶設備的無線網絡臨時標識或者所述用戶設備的移動臺國際電話綜合業務數字網號碼。
64.根據權利要求63所述的設備，其特征在于，所述移動通信網絡為全球移動通信網絡、通用移動通訊系統、長期演進系統、碼分多址網絡或通用分組無線服務網絡； 所述網元設備為所述全球移動通信網絡的基站控制器、所述通用移動通訊系統的無線網絡控制器、所述通用分組無線服務網絡的服務通用分組無線服務支持節點、所述長期演進系統的移動管理實體或所述長期演進系統的者基站。
65.—種無線局域網絡的安全建立系統,其特征在于,包括:如上權利要求34-41任一所述的用戶設備、如上權 利要求42-47任一所述的無線局域網絡節點設備和如上權利要求48-55任一所述的網元設備； 或者包括如上權利要求56-58任一所述的用戶設備和如上權利要求59-64任一所述的網元設備。
【文檔編號】H04W84/12GK103428690SQ201210161427
【公開日】2013年12月4日 申請日期:2012年5月23日 優先權日:2012年5月23日
【發明者】陳璟 申請人:華為技術有限公司