WO2013174267A1

WO2013174267A1 - 无线局域网络的安全建立方法及系统、设备

Info

Publication number: WO2013174267A1
Application number: PCT/CN2013/076088
Authority: WO
Inventors: 陈璟
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2012-05-23
Filing date: 2013-05-22
Publication date: 2013-11-28
Anticipated expiration: 2014-11-23
Also published as: CN103428690A; EP2854329A1; CN103428690B; US20180035288A1; EP3503496A1; EP3503496B1; US10687213B2; EP2854329B1; US9826398B2; EP2854329A4; US20150082393A1

Abstract

本发明实施例提供一种无线局域网络的安全建立方法及系统、设备。其方法包括：UE获取第一密钥；该第一密钥为UE与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的；UE根据第一密钥和推演参数进行推演得到推演密钥；UE根据推演密钥与获取到推演密钥的WLAN节点之间建立安全连接，WLAN节点获取到的推演密钥与UE获取的推演密钥相同。采用本发明实施例的技术方案，能够在UE和WLAN之间建立安全连接，提高UE与WLAN之间通信的安全性。

Description

无线局域网络的安全建立方法及系统、设备

本申请要求于 2012年 5月 23日提交中国专利局、申请号为 201210161427.0、发明名称为"无线局域网络的安全建立方法及系统、设备"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明实施例涉及通信技术领域，尤其涉及一种无线局域网络的安全建立方法及系统、设备。背景技术

随着支持上网功能的智能终端之类的用户设备（User Equipment; UE )的广泛普及，人们开始使用 UE进行大量的数据业务。近几年来，运营商网络的数据业务流量增长很快。为了适应这种趋势，运营商和设备厂商开始积极考虑各种各样的减轻运营商网络负担的方法。无线局域网络 ( Wireless Local Area Network; WLAN )是一种无线接入技术， WLAN技术能够提供较高的传输速率，被认为是运营商部署的广域无域网的有益补充。在机场、厂商等热点地区， WLAN技术能够使得用户通过 WLAN进行数据业务，从而减轻运营商核心网络的负担。

目前许多运营商已经部署了 WLAN网络用在如机场、车站、酒店等热点地区以分流（offload ) UE的数据流量。在这些已有的部署方案中，运营商一般将 WLAN部署成 open模式，任何 UE均可接入 WLAN节点。当 UE要连入因特网 ( internet ) 时， WLAN节点将 UE重定向至一个特定的 web网页， UE对应的用户在网页上输入正确的用户名 /密码后， UE便可以接入 internet

由于 WLAN节点工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差。发明内容本发明实施例提供一种无线局域网络的安全建立方法及系统、设备，用以弥补现有技术中 UE与 WLAN之间通信的安全性能较差的缺陷，用于提高 UE与 WLAN之间的安全性能。

一方面，本发明实施例提供一种无线局域网络的安全建立方法，包括：用户设备获取第一密钥；所述第一密钥为所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的；

所述用户设备根据所述第一密钥和推演参数进行推演得到推演密钥；所述推演参数为所述用户设备与所述网元设备协商确定的；

所述用户设备根据所述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接，所述无线局域网络节点获取到的推演密钥与所述用户设备获取的所述推演密钥相同。

另一方面，本发明实施例还提供一种无线局域网络的安全建立方法，包括：无线局域网络节点接收用户设备发送的所述用户设备的身份标识符；所述无线局域网络节点向所述用户设备接入的移动通信网络中的网元设备发送携带所述用户设备的身份标识符的密钥请求消息；

所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥；所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到，所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备在执行空口安全时的共享密钥推演得出的；所述推演参数为所述用户设备与所述网元设备协商确定的；所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点获取的所述推演密钥相同。

再一方面，本发明实施例还提供一种无线局域网络的安全建立方法，包括：用户设备接入的移动通信网络中的网元设备接收无线局域网络节点发送的密钥请求消息；所述密钥请求消息中携带有所述用户设备的身份标识符；

所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥；所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到；所述第一密钥为所述网元设备与所述用户设备在执行空口安全时的共享密钥或者根据所述网元设备与所述用户设备在执行空口安全时的共享密钥推演得出的；所述推演参数为所述网元设备与所述用户设备协商确定的；所述网元设备向所述无线局域网络节点发送所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。

又一方面，本发明实施例还提供一种无线局域网络的安全建立方法，包括：用户设备获取第一密钥；所述第一密钥为所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的；

所述用户设备根据所述用户设备的身份标识符和所述第一密钥推演生成认证用户名和认证信任状；

所述用户设备根据所述认证用户名和所述认证信任状与第一网元设备或者第二网元设备进行扩展认证协议认证；所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备；所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状；或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥，并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状；

所述用户设备在认证完成后与所述无线局域网络节点之间建立安全连接。再另一方面，本发明实施例还提供一种无线局域网络的安全建立方法，包括：

用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状；所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥推演生成的；所述第一密钥为所述用户设备与接入的移动通信网络中的所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的；

所述第一网元设备根据所述认证用户名和所述认证信任状与用户设备进行扩展认证协议认证；

所述第一网元设备在所述扩展认证协议认证成功后，向所述无线局域网络节点发送认证完成，以指示所述无线局域网络节点与所述用户设备之间建立安全连接。再另一方面，本发明实施例还提供一种用户设备，包括：

获取模块，用于获取第一密钥；所述第一密钥为与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的；

推演模块，用于根据所述获取模块获取的所述第一密钥和推演参数进行推演得到推演密钥；所述推演参数为所述用户设备与所述网元设备协商确定的；建立模块，用于根据所推演模块推演得到的所述述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接，所述无线局域网络节点获取到的推演密钥与所述用户设备获取的所述推演密钥相同。

再另一方面，本发明实施例还提供一种无线局域网络节点设备，其特征在于，包括：

接收模块，用于接收用户设备发送的所述用户设备的身份标识符；发送模块，用于向所述用户设备接入的移动通信网络中的网元设备发送携带所述接收模块接收的所述用户设备的身份标识符的密钥请求消息；

所述接收模块，还用于接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥；所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到，所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的；所述推演参数为所述用户设备与所述网元设备协商确定的；

建立模块，用于基于所述接收模块接收的所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与无线局域网络节点获取的所述推演密钥相同。

再另一方面，本发明实施例还提供一种网元设备，位于用户设备接入的移动通信网络中，所述网元设备包括：

接收模块，用于接收无线局域网络节点发送的密钥请求消息；所述密钥请求消息中携带有所述用户设备的身份标识符；

获取模块，用于根据所述接收模块接收的所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥；所述推演密钥为根据第一密钥和推演参数进行推演得到；所述第一密钥为与所述用户设备在执行空口安全时的共享密钥或者根据与所述用户设备在执行空口安全时的共享密钥推演得出的；所述推演参数为与所述用户设备协商确定的；发送模块，用于向所述无线局域网络节点发送所述获取模块获取到的所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。

再另一方面，本发明实施例还提供一种无线局域网络的安全建立系统，包括：如上所述的用户设备、所述的无线局域网络节点设备和所述的网元设备。

再另一方面，本发明实施例还提供一种用户设备，包括：

获取模块，用于获取第一密钥；所述第一密钥为所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的；

生成模块，用于根据所述用户设备的身份标识符和所述获取模块的所述第一密钥推演生成认证用户名和认证信任状；

认证模块，用于根据所述生成模块生成的所述认证用户名和所述认证信任状与第一网元设备或者第二网元设备进行扩展认证协议认证，所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备；所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状；或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥，并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状；

建立模块，用于在所述认证模块进行扩展认证协议认证完成后与所述无线局域网络节点之间建立安全连接。

获取模块，用于获取所述用户设备的认证用户名和认证信任状；所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥推演生成的；所述第一密钥为所述用户设备所述网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的；

认证模块，用于根据所述认证用户名和所述认证信任状与用户设备进行扩展认证协议认证；

发送模块，用于在所述扩展认证协议认证成功后，向所述无线局域网络节点发送认证完成，以指示所述无线局域网络节点与所述用户设备之间建立安全连接。

再另一方面，本发明实施例还提供一种无线局域网络的安全建立系统，包括：如上所述的用户设备和所述的网元设备。

本发明实施例的无线局域网络的安全建立方法及系统、设备， UE与 WLAN 节点之间能够基于推演密钥建立安全连接，推演密钥根据第一密钥和推演参数进行推演得到，第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的；或者 UE根据 UE的身份标识符和第一密钥推演生成认证用户名和认证密码；并由 UE根据认证用户名和认证密码与 UE接入的移动通信网络中的网元设备进行 EAP认证，并在认证完成后 UE与 WLAN节点之间建立安全连接。采用本发明实施例的上述技术方案，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN 节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一筒单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图 1为本发明提供的一种 WLAN的安全建立方法的流程图。

图 2为本发明另一实施例提供的 WLAN的安全建立方法的流程图。

图 3为本发明再一实施例提供的 WLAN的安全建立方法的流程图。

图 4为本发明一实施例提供的 WLAN的安全建立方法的信令图。

图 5为本发明另一实施例提供的 WLAN的安全建立方法的信令图。

图 6为本发明又一实施例提供的 WLAN的安全建立方法的流程图。

图 7为本发明再另一实施例提供的 WLAN的安全建立方法的流程图。图 8为本发明一实施例提供的 UE的结构示意图。

图 9为本发明另一实施例提供的 UE的结构示意图。

图 10为本发明实施例提供的 WLAN节点设备的结构示意图。

图 11为本发明一实施例提供的网元设备的结构示意图。

图 12为本发明另一实施例提供的网元设备的结构示意图。

图 13为本发明再一实施例提供的 UE的结构示意图。

图 14为本发明再一实施例提供的网元设备的结构示意图。

图 15为本发明一实施例提供的 WLAN的安全建立系统的结构示意图。图 16为本发明另一实施例提供的 WLAN的安全建立系统的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明实施例提供的一种 WLAN的安全建立方法的流程图。如图 1所示，本实施例的 WLAN的安全建立方法的执行主体为 UE。本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

100、 UE获取第一密钥；

本实施例中的第一密钥为 UE与 UE接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据 UE与 UE接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的。

101、 UE根据第一密钥和推演参数进行推演得到推演密钥；

其中该推演参数为 UE和网元设备确定的。

102、 UE根据推演密钥与获取到推演密钥的 WLAN节点之间建立安全连接。 WLAN节点获取到的推演密钥与 UE获取的推演密钥相同。亦即本实施例的技术方案在实施时需要 WLAN节点亦能够获取到该推演密钥，例如 WLAN节点可以向网元设备中请求获取推演密钥，而网元设备是根据第一密钥和推演参数推演得到推演密钥，这样 UE和 WLAN节点均可以得知该推演密钥，并基于该推演密钥， UE与 WLAN节点之间建立安全连接。

本实施例中， UE与网元设备均可以获知推演参数，可以认为推演参数是两者协商确定的。推演参数具体可以为一个或者多个。例如推演参数可以为 UE和网元设备事先约定好的，或者在推演推演密钥时在线协商的。例如可以由 UE提供一些参数作为推演参数，然后告知网元设备。或者由网元设备提供一些参数作为推演参数，然后告知网元设备。或者可以由 UE提供一些参数或者由网元设备提供一些参数，然后 UE和网元设备交换各自提供的参数，此时对应的推演参数由 UE提供给参数和网元设备提供的参数共同组成。

本实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN 工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，在上述图 1所示实施例的技术方案的基础上，还可以包括如下可选技术方案，构成图 1所示实施例的可选实施例。

在图 1所示实施例的可选实施例中，在步骤 102之前，所述实施例还包括： UE向 WLAN节点发送 UE的身份标识符，以供 WLAN节点根据 UE的身份标识符，向网元设备请求获取 UE对应的推演密钥。

可选地，在图 1所示实施例的可选实施例中，步骤 101 , 具体可以包括： UE 根据第一密钥和推演参数进行推演得到第二密钥，即此时的推演密钥即为第二密钥。例如 UE具体可以采用如下方式： Kw=KDF ( K, 推演参数）推演得到第二密钥；其中 Kw为第二密钥， K为第一密钥，推演参数为 UE和网元设备协商确定好的， KDF ( , )为一个密钥推演功能 (key derivation function; KDF)函数， K 和推演参数作为该函数的输入， Kw作为该函数的输出。

例如在本发明实施例中可以取第二密钥 Kw = HMAC-SHA256 (K, "WPAAVPA2 Personal");哈希消息认证码 (Hashed Message Authentication Code; HMAC) 是一类密码算法， HMAC- SHA256 ( , )表示一个密码算法函数， "WPAAVPA2 Personal" 为约定好的用于推演第二密钥 Kw的推演参数，用于标识第二密钥 Kw被 UE和 WLAN网络用于通过 WPA/WPA2 personal的方式建立 WLAN安全连接。通过 WPA/WPA2 personal的方式建立 WLAN安全连接是 UE和 WLAN节点基于预共享密钥的方式，建立 WLAN安全连接的方法，详细可以参考相关现有技术，在此不再赘述。本实施例中 UE和 WLAN网络之间的预共享密钥，即为第二密钥 Kw。本实施例中 K仍为第一密钥。

此时对应的步骤 102 ,具体可以为 UE根据第二密钥与 WLAN节点之间建立安全连接。采用该技术方案，该第二密钥是 UE根据第一密钥和与 UE协商确定的推演参数进行推演得到，可以保证不同的 UE具有不同的第二密钥，每一 UE可以基于其对应的第二密钥与 WLAN节点之间建立安全连接，从而能够有效地保证 UE 和 WLAN节点之间的安全连接。

可选地，在图 1所示实施例的可选实施例中，步骤 101 , 具体可以包括： UE 根据第一密钥和推演参数进行推演得到第二密钥； UE再根据第二密钥和 WLAN 节点的身份标识符推演得到第三密钥，其中 UE在开始接入 WLAN节点的时候，可以获取到 WLAN节点的身份标识符。而本实施例中，在网元设备一侧，网元设备也可以获取到该 WLAN节点的身份标识符，并根据第二密钥和 WLAN节点的身份标识符进行推演得到第三密钥。例如 WLAN节点在向网元设备请求密钥时，可以向网元设备发送携带 UE的身份标识符和 WLAN节点的身份标识符的密钥请求消息。这样网元设备便可以知道需要根据第二密钥和 WLAN节点的身份标识符推演第三密钥，并将该第三密钥发送给 WLAN节点。这样 UE侧和 WLAN 节点侧均可以获知该第三密钥。例如当 WLAN节点的身份标识符为 WLAN节点的服务集标识（ Service Set Identifier; SSID ) , 该第三密钥可以采用如下方式推演得到：第三密钥= HMAC-SHA256 (Kw, WLAN节点的 SSID)。 HMAC- SHA256 ( , )表示一个密码算法函数， Kw表示第二密钥。此时对应的步骤 102, 具体可以为 UE根据第三密钥与 WLAN节点之间建立安全连接。采用该技术方案，可以保证同一 UE在从不同的 WLAN节点接入 WLAN时，采用不同的第三密钥，与上述每一 UE可以基于其对应的第二密钥与 WLAN节点之间建立安全连接相比，能够进一步增强 UE与 WLAN节点之间建立的连接的安全性。当然，在推演第三密钥的过程中， WLAN节点可以将身份标识符发给网元设备，但这不是网元设备唯一获取 WLAN节点身份标识符的方法。网元设备可以通过其他方法来获取 WLAN节点的身份标识符，例如网元设备可以接收 WLAN节点发送的携带 UE的身份标识符的密钥请求消息，可以获取该 WLAN节点的 IP地址，再根据该 WLAN 节点的 IP地址获取该 WLAN节点的身份标识符，实际应用中还网元设备还可以采用其他方法获取 WLAN节点的身份标识符。此外， WLAN节点也可以是 WLAN 节点的 MAC地址或者其他的能够唯一标识 WLAN节点的身份信息。

可选地，在图 1所示实施例的可选实施例中， UE的身份标识符为 UE的媒体访问控制（ Media Access Control； MAC ) 地址、 UE的国际移动用户识别码 ( International Mobile Subscriber Identification Number; IMSI ) 、 UE的临时移动用户识别码（ Temperate Mobile Subscription Identity; TMSI ) 、 UE的分组临时移动用户识别码 ( Packet Temperate Mobile Subscription Identity; P-TMSI ) 、 UE 的全球唯一临时身份 ( Globally Unique Temporary Identity; GUTI ) 、 UE的系统架构演进临时移动客户身份 ( System Architecture Evolution Temporary Mobile Subscriber Identity; S-TMSI )、 UE的无线网络临时标识（ Radio Network Temporary Identifier; RNTI )或者 UE的移动台国际电话综合业务数字网号码（ Mobile Station international Integrated Services Digital Network Number; MSISDN ) 。

进一步可选地，当 UE的身份标识符为上述除 MAC地址之外的其他的时候，网元设备自身能够获取该 UE的身份标识符，此时 UE不需要向网元设备发送该 UE的身份标识符。而当 UE的身份标识符为 UE的 WLAN接口的 MAC地址 (或者为网元设备无法从自身获知的 UE的其他身份标识符）时，上述方法中的 "UE再根据第二密钥和接收网元设备发送的 WLAN节点的身份标识符推演得到第三密钥" 之前，还包括 UE向网元设备发送 UE的身份标识符。具体地， UE可以采用加密的方式向网元设备发送 UE的身份标识符。

可选地，在图 1所示实施例的可选实施例中，移动通信网络可以为全球移动通信（ Global System For Mobile Communication; GSM ) 网络、通用移动通讯系统( Universal Mobile Telecommunications System; UMTS )、长期演进( Long Term Evolution; LTE ) 系统、码分多址（ Code Division Multiple Access; CDMA ) 网络或通用分组无线服务（ General Packet Radio Service； GPRS)网络；网元设备可以为 GSM 网络的基站控制器（Base Station Controller; BSC ) 、 UMTS的无线网络控制器（ Radio Network Controller; RNC ) 、 GPRS 网络的服务 GPRS支持节点 ( Serving GPRS Support Node; SGSN ) 、 LTE系统的移动管理实体（ Mobility Management Entity; MME )或者基站（如 LTE系统中的 eNB ) 。

可选地，在图 1所示实施例的可选实施例中，对于上述实施例中的步骤 100 的第一密钥，例如当移动通信网络为 GSM网络，对应的网元设备为 BSC, UE与 BSC之间的共享密钥为 Kc。第一密钥 K可以为 Kc, 或根据 Kc, 使用密钥推演功能推演得到的密钥，如K=KDF ( Kc , "K for WLAN" ) 。当移动通信网络为 GPRS网络，对应的网元设备为核心网节点中的 SGSN , UE与 SGSN之间的共享密钥为 Kc , 第一密钥 K可以为 Kc, 或根据 Kc推演得到的密钥。

当移动通信网络为 UMTS , 对应的网元设备为 RNC , UE与 SGSN之间进行共享密钥为 CK/IK。第一密钥 K可以为 CK/IK中的任何一个密钥，或根据 CK,或 IK, 或两者推演得到一个密钥，例如可以取第一密钥 K= CKIIIK。

当移动通信网络为 LTE, 对应的网元设备为核心网节点中的 MME, UE与 MME之间的共享密钥为 Kasme、 Knas .int或者 Knas.enc。第一密钥 K可以为此三个密钥中的任何一个密钥，或根据此三个密钥中的一个或数个密钥推演得到的密钥。例如可以取第一密钥 K=Knas.int XOR Knas.enc。

当移动通信网络为 LTE网络时，对应的网元设备还可以为 eNB , UE和 eNB 之间的共享密钥 Kenb、 Krrc.int、 Krrc.enc. Kup.enc、 Kup.int, 第一密钥 K可以是 Kenb、 Krrc.int. Krrc.enc. Kup.enc、 Kup.int等中的一个密钥，也可以是根据这些密钥中的一个或多个推演得到的密钥。例如在本实施例中，可以取第一密钥 K=Kenb。

当移动通信网络为 LTE网络时，对应的网元设备还可以为 eNB时，对应上述实施例中的 "UE向网元设备送 UE的身份标识符" 具体可以采用如下两种方法：方法一： UE在非接入层（ Non-Access Stratum; NAS ) 安全模式结束（ Security mode complete; SMP )消息中将 UE的身份标识符发给 MME, MME将 UE的身份标识符通过 S 1消息转发给 eNB；

方法二： UE在 RRC消息中将 UE的身份标识符发给 eNB。

可选地，在图 1所示实施例的可选实施例中，其中 101中 UE向网元设备和 WLAN节点发送 UE的身份标识符（如 MAC地址）； UE的身份标识符（如 MAC 地址）可能会暴露用户的隐私，因此需要通过一些方式对 UE的身份标识符（如 MAC地址）的传输进行安全保护。 UE的身份标识符（如 MAC地址）的传输可通过如下几种方式进行保护：

第一种情况、在加密的消息中传输 UE的身份标识符（如 MAC地址），例如一些无线资源控制协议（Radio Resource Control; RRC ) 消息，或者非接入层 ( Non-Access Stratum; NAS ) 消息可以进行加密保护，因此可以在这些加密的 RRC消息或者 NAS消息中传输 UE的身份标识符，从而可以保护 UE的身份标识符传输的机密性，防止攻击者利用 UE的身份标识符对用户的隐私造成危害，如位置追踪等。

其中可加密的 RRC消息或者 NAS消息可以包括如下消息：附着完成（ Attach Complete ) 消息、路由区 i或更新 ( Routing Area Update； RAU ) 消息完成 ( Complete )、跟踪区域更新（ Tracking Area Update; )完成（ Complete )消息、非接入层安全模式结束 ( Non-access Stratum Security Mode Complete; NAS SMC ) 消息或者 UE 的容量迁移（ capability transfer ) 消息等等。

但是，在某些网络中，运营商可能没有开启加密功能。因此所有的 RRC/NAS 信令都无法进行保护。在这种情况下， UE和控制器 /核心网节点可根据第一密钥 K推演得到第四密钥 Ka。利用第四密钥 Ka对 UE的身份标识符进行异或操作，从而保证了 UE的身份标识符传输的安全性。第四密钥 Ka的推演可能也需要一些推演参数的参与。这些推演参数可能需要在 UE和网络侧进行交互。本实施例中，推演第四密钥 Ka的一个例子是 Ka = HMAC-SHA256 (K, "MAC anonymity" )。 MAC anonymity为一个字符串，用于表示本实施例中密钥推演的目的是用于实现 MAC地址隐藏功能。

上述实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE 与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN 节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 2为本发明另一实施例提供的 WLAN的安全建立方法的流程图。如图 2所示，本实施例的 WALN的安全建立方法的执行主体为 WLAN节点。本实施例的 WALN的安全建立方法，具体可以包括如下步骤：

200、 WLAN节点接收 UE发送的 UE的身份标识符；

201、 WLAN节点向 UE接入的移动通信网络中的网元设备发送携带 UE的身份标识符的密钥请求消息；

202、 WLAN节点接收网元设备发送的 UE的身份标识符对应的推演密钥；本实施例中该推演密钥为网元设备根据第一密钥和推演参数进行推演得到，第一密钥为 UE与网元设备在执行空口安全时的共享密钥或者根据 UE与网元设备在执行空口安全时的共享密钥推演得出的；推演参数为 UE与网元设备协商确定的。 203、 WLAN节点基于推演密钥与获取到推演密钥的 UE之间建立安全连接。其中 UE获取到的推演密钥与 WLAN节点获取的推演密钥相同，亦即本实施例的技术方案在实现时， UE亦能够获取到该推演密钥，例如 UE可以根据第一密钥和推演参数推演得到推演密钥，详细可以参考上述图 1所示实施例的记载。这样，采用本实施例的技术方案， UE和 WLAN节点均可以获取到推演密钥，便能够基于该推演密钥建立安全连接，保证 UE与 WLAN节点之间通信的安全性。

本实施例与上述图 1所示实施例的区别仅在于：上述图 1所示实施例在 UE侧描述本发明的技术方案，而本实施例在 WLAN节点侧描述本发明的技术方案，其余实施过程完全相同，详细可以参考上述图 1所示实施例的记载，在此不再赘述。

可选地，在上述图 2所示实施例的技术方案的基础上，还可以包括如下可选技术方案，构成图 2所示实施例的可选实施例。

在图 2所示实施例的可选实施例中，上述实施例的步骤 202中 "WLAN节点接收网元设备发送的 UE的身份标识符对应的推演密钥"，具体可以包括： WLAN 节点接收网元设备发送的 UE的身份标识符对应的第二密钥，第二密钥为网元设备根据 UE的身份标识符以及网元设备中存储的 UE的身份标识符与第二密钥之间的对应关系获取的；第二密钥为网元设备根据第一密钥和推演参数进行推演得到；在该技术方案中，推演密钥为第二密钥。此时对应的步骤 203 "WLAN节点基于推演密钥与 UE之间建立安全连接" ，具体可以包括： WLAN节点基于第二密钥与 UE之间建立安全连接。采用该技术方案，第二密钥采用第一密钥和与 UE协商确定的推演参数进行推演得到，可以保证不同的 UE具有不同的第二密钥，每一 UE可以基于其对应的第二密钥与 WLAN节点之间建立安全连接，从而能够有效地保证 UE和 WLAN节点之间的安全连接。

采用上述方案，不同的 UE具有不同的第二密钥，能够增强 UE和 WLAN节点之间的安全连接；但是当同一 UE采用不同的 WLAN节点接入 WLAN的时候，还是采用相同的第二密钥与 WLAN节点建立安全连接，因此还是给 UE接入 WLAN 带来一定的安全隐患，为了解决该问题，可选地，在图 2所示实施例的可选实施例中，还可以包括下述方案：

上述实施例中的步骤 202 "WLAN节点接收网元设备发送的 UE的身份标识符对应的推演密钥" ，具体可以包括： WLAN节点接收网元设备发送的第三密钥，该第三密钥为网元设备根据第二密钥与 WLAN节点的身份标识符推演得到的；第二密钥为网元设备根据 UE的身份标识符以及网元设备中存储的 UE的身份标识符与第二密钥之间的对应关系获取的；第二密钥为网元设备根据第一密钥和与 UE协商确定的推演参数进行推演得到。其中网元设备可以接收 WLAN节点发送的携带 UE的身份标识符的密钥请求消息之后，获取该 WLAN节点的 IP地址，再根据该 WLAN节点的 IP地址获取该 WLAN节点的身份标识符，实际应用中网元设备还可以采用其他方法获取 WLAN节点的身份标识符。此外， WLAN节点可以是 WLAN节点 SSID、或者 WLAN节点的 MAC地址或者其他的能够唯一标识 WLAN节点的身份信息。

对应地上述实施例中的步骤 203 "WLAN节点基于推演密钥与 UE之间建立安全连接" ，具体可以包括： WLAN节点基于第三密钥与 UE之间建立安全连接。在该方案中推演密钥为第三密钥，采用该技术方案，可以保证同一 UE在从不同的 WLAN节点接入 WLAN时，采用不同的第三密钥，与上述每一 UE可以基于其对应的第二密钥与 WLAN节点之间建立安全连接相比，能够进一步增强 UE与 WLAN节点之间建立的连接的安全性。

进一步可选地，对于推演密钥为第三密钥时，上述实施例中的步骤 201 "WLAN节点向 UE接入的移动通信网络中的网元设备发送携带 UE的身份标识符的密钥请求消息" ，具体可以包括： WLAN节点向网元设备发送携带 UE的身份标识符和 WLAN节点的身份标识符的密钥请求消息。此时网元设备可以直接获取该 WLAN节点的身份标识符，而不用再去间接获取该 WLAN节点的身份标识符。

在图 2所示实施例的可选实施例中，上述实施例中的移动通信网络可以为 GSM网络、 UMTS, LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

可选地，在图 1所示实施例的可选实施例中， UE的身份标识符为 UE的 MAC 地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE 的 RNTI或者 UE的 MSISDN。

需要说明的是，上述图 1所示实施例的可选实施例中的能够应用在 WLAN节点侧的可选技术方案，均可以用于在图 2所示实施例的可选实施例中，详细可以参考上述图 1所示实施例的可选实施例，在此不再赘述。

图 3为本发明再一实施例提供的 WLAN的安全建立方法的流程图。如图 3所示，本实施例的 WLAN的安全建立方法的执行主体为移动通信网络中的网元设备。本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

300、 UE接入的移动通信网络中的网元设备接收 WLAN节点发送的密钥请求消息；该密钥请求消息中携带有 UE的身份标识符；

301、网元设备根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥；

本实施例中该推演密钥为网元设备根据第一密钥和推演参数进行推演得到；其中第一密钥为网元设备与 UE在执行空口安全时的共享密钥或者根据网元设备与 UE在执行空口安全时的共享密钥推演得出的。推演参数为网元设备与 U 协商确定的。

302、网元设备向 WLAN节点发送推演密钥，以供 WLAN节点基于推演密钥与获取到推演密钥的 U E之间建立安全连接。

其中 UE获取到的推演密钥与 WLAN节点接收网元设备发送的推演密钥相同。本实施例与上述图 1或者图 2所示实施例的区别仅在于：上述图 1所示实施例在 UE侧描述本发明的技术方案，图 2所示实施例在 WLAN节点侧描述本发明的技术方案，而本实施例在移动通信网络中的网元设备侧描述本发明的技术方案，其余实施过程完全相同，详细可以参考上述图 1或者图 2所示实施例的记载，在此不再赘述。

可选地，在上述图 3所示实施例的技术方案的基础上，还可以包括如下可选技术方案，构成图 3所示实施例的可选实施例。

在图 3所示实施例的可选实施例中，在步骤 301之前还包括如下步骤： 303、网元设备获取第一密钥。

可选地，在图 3所示实施例的可选实施例中，步骤 303 "网元设备获取第一密钥"之后，步骤 301 "网元设备根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥" 之前，还可以包括如下步骤：

( 1 ) 网元设备根据第一密钥和推演参数进行推演得到第二密钥；

( 2 )建立第二密钥与 UE的身份标识符之间的对应关系。

此时对应的步骤 301 "网元设备根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥" ，具体可以包括：网元设备根据第二密钥与 UE的身份标识符之间的对应关系、以及密钥请求消息中的 UE的身份标识符，获取第二密钥。即本实施例中的推演密钥为第二密钥。

此时对应的步骤 302 "网元设备向 WLAN节点发送推演密钥，以供 WLAN节点基于推演密钥与 UE之间建立安全连接" ，具体可以包括：网元设备向 WLAN 节点发送第二密钥，以供 WLAN节点基于第二密钥与 UE之间建立安全连接。

或者进一步可选地，当在步骤 303 "网元设备获取第一密钥"之后，步骤 301 "网元设备根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥" 之前，还包括上述步骤（1 )和（2 ) 的时候，此时对应的步骤 300 "网元设备接收 WLAN节点发送的携带 UE的身份标识符的密钥请求消息" 还可以具体包括：网元设备接收 WLAN节点发送的携带 UE的身份标识符和 WLAN节点的身份标识符的密钥请求消息。或者可选地，网元设备接收 WLAN节点发送的携带密钥请求消息中也可以不携带 WLAN节点的身份标识符，而由网元设备自己去获取 WLAN节点的身份标识符，例如网元设备可以接收 WLAN节点发送的携带 UE的身份标识符的密钥请求消息之后，获取该 WLAN节点的 IP地址，再根据该 WLAN 节点的 IP地址获取该 WLAN节点的身份标识符，实际应用中网元设备还可以采用其他方法获取 WLAN节点的身份标识符。此外， WLAN节点可以是 WLAN节点 SSID 、或者 WLAN节点的 MAC地址或者其他的能够唯一标识 WLAN节点的身份信息。

此时对应的步骤 301 "网元设备根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥" ，具体可以包括如下步骤：

( a )网元设备根据第二密钥与 UE的身份标识符之间的对应关系、以及密钥请求消息中的 UE的身份标识符，获取第二密钥；

( b )网元设备根据第二密钥与密钥请求消息中的 WLAN节点的身份标识符推演得到第三密钥。即该技术方案中，推演密钥为第三密钥。

此时对应的步骤 302 "网元设备向 WLAN节点发送推演密钥，以供 WLAN节点基于推演密钥与 UE之间建立安全连接" ，具体可以包括：网元设备向 WLAN 节点发送第三密钥，以供 WLAN节点基于第三密钥与 UE之间建立安全连接。

可选地，在图 3所示实施例的可选实施例中，上述实施例中的移动通信网络可以为 GSM网络、 UMTS、 LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

可选地，在图 3所示实施例的可选实施例中， UE的身份标识符为 UE的 MAC 地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE 的 RNTI或者 UE的 MSISDN。

进一步可选地，当 UE的身份标识符为 UE的 WLAN接口的 MAC地址时，步骤 300 "网元设备接收 WLAN节点发送的携带 UE的身份标识符的密钥请求消息" 之前，还可以包括：网元设备接收 UE发送的 UE的身份标识符。例如网元设备具体可以接收 UE采用加密的方式发送的 UE的身份标识符，例如加密的消息可以为加密的附着完成（ Attach Complete )消息、 RAU消息完成（ Complete )消息、 TAU 完成（ Complete )消息、 NAS SMC消息或者 UE 的容量迁移（ capability transfer ) 消息等等消息。这样，采用上述方案可以对 UE的身份标识符进行有效地保护，从而能够有效地保证推演密钥的安全性，进一步有效地增强了 UE和 WLAN节点之间的安全性连接。

需要说明的是，上述图 1所示实施例的可选实施例中的能够应用在网元设备侧的可选技术方案，均可以用于在图 3所示实施例的可选实施例中，详细可以参考上述图 1所示实施例的可选实施例，在此不再赘述。上述实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE 与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN 节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 4为本发明一实施例提供的 WLAN的安全建立方法的信令图。本实施例在上述实施例的基础上，以移动通信网络为 GSM网络，网元设备为 BSC, UE的身份标识符为 UE的 MAC地址为例详细介绍本发明实施例的技术方案。

如图 4所示，本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

400、 UE接入 GSM网络，并与 GSM网络中的 BSC执行空口安全， UE和 BSC 获取执行空口安全时的共享密钥，并基于该共享密钥获取第一密钥；

例如可以参考上述图 1-图 3所示实施例的记载，第一密钥为该共享密钥或者才艮据该共享密钥推演得出的。

401、 UE向 BSC发送 UE的 MAC地址；

例如 UE可以在 RRC消息中携带 UE的 MAC地址以发送给 BSC。本发明实施例中当 UE的身份标识符为 MAC地址之外的其他时， BSC可以从自身中获取到，可以省去该步骤 401。

402、 UE和 BSC根据第一密钥和推演参数推演得到第二密钥；

本实施例中该推演参数可以由 UE和 BSC协商确定。步骤 401和步骤 402可以无先后顺序。

403、 BSC存储该 UE的 MAC地址与第二密钥的对应关系；

404、 WLAN节点向 BSC发送携带 UE的 MAC地址的密钥请求消息；例如在 UE接入 WLAN节点时向 WLAN节点发送 WiFi消息时已经将该 UE的 MAC地址告诉给 WLAN节点，详细可以参考相关现有技术，在此不再赘述。

405、 BSC根据密钥请求消息中的 UE的 MAC地址以及 UE的 MAC地址与第二密钥的对应关系，获取该 UE对应的第二密钥；

406、 BSC向 WLAN节点发送给第二密钥；

407、 UE和 WLAN节点基于该第二密钥建立 WLAN安全连接。

本实施例中 WLAN节点向 BSC发送的密钥请求消息中还可以携带 WLAN节点的身份标识符，此时步骤 405之后，可以执行 UE和 BSC基于该第二密钥和 WLAN节点的身份标识符进行推演得到第三密钥，此时对应的 BSC向 WLAN节点发送该第三密钥，此时对应的 UE和 WLAN节点基于该第三密钥建立安全连接。

本实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE与 WLAN节点之间能够基于第二密钥或者第三密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 5为本发明另一实施例提供的 WLAN的安全建立方法的信令图。本实施例在上述实施例的基础上，以移动通信网络为 LTE网络，网元设备为 eNB , UE的身份标识符为 UE的 MAC地址为例详细介绍本发明实施例的技术方案。

如图 5所示，本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

500、 UE接入 LTE网络，并与 LTE网络中的 eNB执行空口安全， UE和 eNB获取执行空口安全时的共享密钥，并基于该共享密钥获取第一密钥；

501、 UE向 MME发送 UE的 MAC地址；

例如 UE在 NAS SMC中将 UE的 MAC地址发给 MME。

502、 MME向 eNB发送 UE的 MAC地址；

例如 MME将 UE的 MAC地址通过 SI消息转发给 eNB。

可选地， UE也可以在 RRC消息中将 UE的 MAC地址发给 eNB。

本发明实施例中当 UE的身份标识符为 MAC地址之外的其他时， BSC可以从自身中获取到，可以省去该步骤 401。

503、 UE和 eNB根据第一密钥和推演参数推演得到第二密钥；

本实施例中该推演参数可以由 UE和 eNB协商确定。步骤 503和步骤 501步骤

502可以无先后顺序。

504、 eNB存储该 UE的 MAC地址与第二密钥的对应关系；

505、 WLAN节点向 eNB发送携带 UE的 MAC地址和 WLAN节点身份标识符的密钥请求消息；

例如在 UE接入 WLAN节点时向 WLAN节点发送 WiFi消息时已经将该 UE的 MAC地址告诉给 WLAN节点，详细可以参考相关现有技术，在此不再赘述。 506、 eNB根据密钥请求消息中的 UE的 MAC地址以及 UE的 MAC地址与第二密钥的对应关系，获取该 UE对应的第二密钥；

507、 eNB和 UE基于该第二密钥和密钥请求消息中的 WLAN节点身份标识符推演得到第三密钥；

508、 eNB向 WLAN节点发送给第三密钥；

509、 UE和 WLAN节点基于该第三密钥建立 WLAN安全连接。

本实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE与 WLAN节点之间能够基于第三密钥建立安全连接，能够克服现有技术中 WLAN 工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

上述图 4和图 5仅为本发明实施例的两种可选形式的实施例，根据上述图 1- 图 3所示实施例及对应的可选实施例中，还可以推理得到本发明的其他实施例的信令图，在此不再——举例赘述。

图 6为本发明又一实施例提供的 WLAN的安全建立方法的流程图。如图 6所示，本实施例的 WLAN的安全建立方法的执行主体为 UE, 本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

600、 UE获取第一密钥；

本实施例中的第一密钥为 UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥，或者第一密钥为根据 UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的； UE根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

601、 UE根据认证用户名和认证信任状与第一网元设备或者第二网元设备进行扩展认证协议 ( Extensible Authentication Protocol; EAP )认证；

602、 UE在认证完成后与 WLAN节点之间建立安全连接。

本实施例中的 EAP认证过程详细可以参考现有技术中的 EAP认证，在此不再赘述。

本实施例中的第二网元设备从第一网元设备处获取认证用户名和认证信任状；或者第二网元设备从第一网元设备处获取 UE的身份标识符和第一密钥，并根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。本实施例中的第一网元设备和第二网元设备仅为对两个网元设备进行命名，实际应用中，两个网元设备的名称亦可以互换。

本实施例的无线局域网络的安全建立方法，通过采用上述技术方案， UE根据 UE的身份标识符和第一密钥推演生成认证用户名和认证密码；并由 UE根据认证用户名和认证密码与 UE接入的移动通信网络中的网元设备进行 EAP认证，并在认证完成后 UE与 WLAN节点之间建立安全连接；其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN 工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，上述实施例中的移动通信网络可以为 GSM网络、 UMTS、 LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

可选地，上述实施例中的 UE的身份标识符为 UE的 MAC地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE的 RNTI或者 UE的 MSISDN。

图 7为本发明再另一实施例提供的 WLAN的安全建立方法的流程图。如图 7 所示，本实施例的 WLAN的安全建立方法的执行主体为第一网元设备，本实施例的 WLAN的安全建立方法，具体可以包括如下步骤：

700、 UE接入的移动通信网络中的第一网元设备获取 UE的认证用户名和认证信任状；

本实施例中的认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥，或者第一密钥为根据 UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的。

701、第一网元设备根据认证用户名和认证信任状与 UE进行 EAP认证； 702、第一网元设备在 EAP认证完成后，向 WLAN节点发送认证完成，以指示 WLAN节点与 UE之间建立安全连接。本实施例与上述图 6所示实施例的区别仅在于：上述图 6所示实施例在 UE侧描述本发明的技术方案，而本实施例在移动通信网络中的第一网元设备侧描述本发明的技术方案，其余实施过程完全相同，详细可以参考上述图 6所示实施例的记载，在此不再赘述。

本实施例的无线局域网络的安全建立方法，通过采用上述技术方案，第一网元设备获取 UE的认证用户名和认证信任状，并根据认证用户名和认证密码与 UE进行 EAP认证，并在认证完成后，向 WLAN节点发送认证完成，以指示 WLAN 节点与 UE之间建立安全连接；其中认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN工作在 open 模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，在上述图 7所示实施例的技术方案的基础上，还可以包括如下可选技术方案，构成图 7所示实施例的可选实施例。

在图 7所示实施例的可选实施例中，步骤 700 "UE接入的移动通信网络中的第一网元设备获取 UE的认证用户名和认证信任状" ，具体可以包括如下步骤： ( 1 ) 第一网元设备接收第二网元设备发送的 UE的 UE的身份标识符和第一密钥，该第一密钥为 UE与第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的；

( 2 )第一网元设备根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

或者可选地，步骤 700 "UE接入的移动通信网络中的第一网元设备获取 UE 的认证用户名和认证信任状" ，具体可以包括：第一网元设备接收第二网元设备发送的认证用户名和认证信任状，该认证用户名和认证信任状为第二网元设备根据 UE的身份标识符和第一密钥推演生成的，第一密钥为 UE与第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。

或者进一步可选地，步骤 700 "UE接入的移动通信网络中的第一网元设备获取 UE的认证用户名和认证信任状" ，具体可以包括如下步骤： ( a )第一网元设备获取第一密钥；述第一密钥为第一网元设备与 UE在执行空口安全时的共享密钥或者根据共享密钥推演得出的；

( b )第一网元设备根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

可选地，上述实施例中的移动通信网络可以为 GSM网络、 UMTS、 LTE系统、

CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

需要说明的是，上述图 6所示实施例的可选实施例中的能够应用在网元设备侧的可选技术方案，均可以用于在图 7所示实施例的可选实施例中，详细可以参考上述图 6所示实施例的可选实施例，在此不再赘述。

通过采用上述实施例的技术方案，第一网元设备获取 UE的认证用户名和认证信任状，并根据认证用户名和认证密码与 UE进行 EAP认证，并在认证完成后，使得 UE与 WLAN节点之间建立安全连接；其中认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN 工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

图 8为本发明一实施例提供的 UE的结构示意图。如图 8所示，本实施例的 UE, 具体可以包括获取模块 10、推演模块 11和建立模块 12。

其中获取模块 10用于获取第一密钥；该第一密钥为本实施例的 UE与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥，或者该第一密钥为根据 UE与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的。推演模块 11与获取模块 10连接，推演模块 11用于根据获取模块 10获取的第一密钥和推演参数进行推演得到推演密钥，推演参数为 UE和网元设备协商确定的。建立模块 12与推演模块 11连接，建立模块用于根据推演模块 11推演得到的推演密钥与获取到推演密钥的 WLAN节点之间建立安全连接， WLAN节点获取到的推演密钥与 UE获取的推演密钥相同，例如 WLAN节点可以向网元设备中请求获取推演密钥，网元设备根据第一密钥和推演参数推演得到推演密钥。

本实施例的 UE, 通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

本实施例的 UE, 通过采用上述模块， UE能够与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 9为本发明另一实施例提供的 UE的结构示意图。如图 9所示，本实施例的 UE, 在上述图 8所示实施例的基础上，还可以包括如下技术方案。

本实施例的 UE中包括发送模块 13。该发送模块 13用于向 WLAN节点发送 UE 的身份标识符，以供 WLAN节点根据 UE的身份标识符，向网元设备请求获取 UE 对应的推演密钥。

可选地，本实施例的 UE中，推演模块 11具体用于根据获取模块 10获取的第一密钥和推演参数进行推演得到第二密钥；建立模块 12具体用于根据推演模块 11推演得打的第二密钥与 WLAN节点之间建立安全连接。可选地，本实施例的 UE中，推演模块 11具体用于根据第一密钥和推演参数进行推演得到第二密钥；并根据第二密钥和 WLAN节点的身份标识符推演得到第三密钥； UE在开始接入 WLAN节点的时候，可以获取到 WLAN节点的身份标识符。而本实施例中，在网元设备一侧，网元设备也可以获取到该 WLAN节点的身份标识符，并根据第二密钥和 WLAN节点的身份标识符进行推演得到第三密钥。建立模块 23具体用于根据推演模块 11推演得到的第三密钥与 WLAN节点之间建立安全连接。

可选地，本实施例的 UE中， UE的身份标识符为 UE的 MAC地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE的 RNTI或者 UE的 MSISDN。

进一步可选地，本实施例的 UE中的发送模块 13还用于当 UE的身份标识符为 UE的 WLAN接口的 MAC地址时，向网元设备发送 UE的身份标识符。例如该发送模块 13具体用于当 UE的身份标识符为 UE的 WLAN接口的媒体访问控制地址时，采用加密的方式向网元设备发送 UE的身份标识符。例如本实施例的 UE中还可以包括携带模块，用于在附着完成（ Attach Complete ) 消息、 RAID' 息完成 ( Complete ) 消息、 TAU完成（Complete ) 消息、 NAS SMC消息或者 UE 的容量迁移（ capability transfer )消息等等中携带 UE的身份标识符，并由发送模块 13 在网元设备发送携带 UE的身份标识符的加密的附着完成（Attach Complete ) 消息、 RAU消息完成（Complete ) 消息、 TAU完成（Complete ) 消息、 NAS SMC 消息或者 UE 的容量迁移（ capability transfer ) 消息等等。

可选地，本实施例的 UE中，移动通信网络可以为 GSM网络、 UMTS、 LTE 系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

上述实施例的 UE, 通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

上述实施例的 UE, 通过采用上述模块， UE能够与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 10为本发明实施例提供的 WLAN节点设备的结构示意图。如图 10所示，本实施例的 WLAN节点设备中，具体可以包括：接收模块 20、发送模块 21和建立模块 22。

其中接收模块 20用于接收 UE发送的 UE的身份标识符；发送模块 21与接收模块 20连接，发送模块 21用于向 UE接入的移动通信网络中的网元设备发送携带接收模块 20接收的 UE的身份标识符的密钥请求消息；接收模块 20还用于接收网元设备发送的 UE的身份标识符对应的推演密钥；该推演密钥为网元设备根据第一密钥和推演参数进行推演得到，该第一密钥为 UE与网元设备在执行空口安全时的共享密钥，或者该第一密钥为根据 UE与网元设备在执行空口安全时的共享密钥推演得出的；推演参数为 UE和网元设备协商确定的，例如该推演参数的确定可以参考上述相关实施例的记载。建立模块 22与接收模块 20连接，建立模块 22 用于基于接收模块 20接收的推演密钥与获取到推演密钥的 UE之间建立安全连接，其中 UE获取到的推演密钥与 WLAN节点获取的所述推演密钥相同，例如 UE 可以才艮据第一密钥和推演参数推演得到推演密钥。

本实施例的 WLAN节点设备，通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

本实施例的 WLAN节点设备，通过采用上述模块能够实现 UE与 WLAN节点之间基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，在上述图 10所示实施例的基础上，接收模块 20具体用于接收网元设备发送的 UE的身份标识符对应的第二密钥，该第二密钥为网元设备根据 UE的身份标识符以及网元设备中存储的 UE的身份标识符与第二密钥之间的对应关系获取的；该第二密钥为网元设备根据第一密钥和推演参数进行推演得到；本实施例中推演密钥为第二密钥。建立模块 22具体用于基于接收模块 20接收的第二密钥与 UE之间建立安全连接.

或者可选地，在上述图 8所示实施例的基础上，发送模块 21具体用于向网元设备发送携带接收模块 20接收的 UE的身份标识符和 WLAN节点的身份标识符的密钥请求消息；接收模块 20具体用于接收网元设备发送的第三密钥，该第三密钥为网元设备根据第二密钥与 WLAN节点的身份标识符推演得到的；该第二密钥为网元设备根据 UE的身份标识符以及网元设备中存储的 UE的身份标识符与第二密钥之间的对应关系获取的；该第二密钥为网元设备根据第一密钥和推演参数进行推演得到，本实施例中，推演密钥为第三密钥。建立模块 22具体用于基于接收模块 20接收的第三密钥与 UE之间建立安全连接。

可选地，在上述图 10所示实施例的基础上， UE的身份标识符为 UE的 MAC 地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE 的 RNTI或者 UE的 MSISDN。

可选地，在上述图 10所示实施例的基础上，移动通信网络可以为 GSM网络、 UMTS、 LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

上述实施例的 WLAN节点设备，通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

上述实施例的 WLAN节点设备，通过采用上述模块能够实现 UE与 WLAN节点之间基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN 节点之间通信的安全性。

图 11为本发明一实施例提供的网元设备的结构示意图。本实施例的网元设备位于 UE接入的移动通信网络中。如图 11所示，本实施例的网元设备具体可以包括：接收模块 30、获取模块 31和发送模块 32。

其中接收模块 30用于接收 WLAN节点发送的密钥请求消息，该密钥请求消息中携带有 UE的身份标识符；获取模块 31与接收模块 30连接，获取模块 31用于根据接收模块 30接收的密钥请求消息中的 UE的身份标识符，获取对应的推演密钥；该推演密钥为网元设备根据第一密钥和推演参数进行推演得到；第一密钥为网元设备与 UE在执行空口安全时的共享密钥，或者第一密钥为根据网元设备与 UE在执行空口安全时的共享密钥推演得出的；该推演参数为网元设备与 UE协商确定的;发送模块 32与获取模块 31连接，发送模块 32用于向 WLAN节点发送获取模块 31获取的推演密钥，以供 WLAN节点基于推演密钥与获取到推演密钥的 UE之间建立安全连接。其中 UE 获取到的推演密钥与 WLAN节点接收网元设备发送的推演密钥相同。

本实施例的网元设备，通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

本实施例的网元设备，通过采用上述模块能够实现 UE与 WLAN节点之间基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE 和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 12为本发明另一实施例提供的网元设备的结构示意图。如图 12所示，本实施例的网元设备，在上述图 10所示实施例的基础上，还可以包括如下技术方案。

本实施例的网元设备中，获取模块 31还用于根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥之前，获取第一密钥。

本实施例的网元设备中，还包括推演模块 33和建立模块 34。其中推演模块 33与获取模块 31连接，用于在获取模块 31获取第一密钥之后，根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥之前，根据获取模块 31获取的第一密钥和推演参数进行推演得到第二密钥；建立模块 34与推演模块 33连接，建立模块 34用于建立推演模块 33推演得到的第二密钥与 UE的身份标识符之间的对应关系。此时对应的获取模块 31还与建立模块 34连接，具体用于根据建立模块 34建立的第二密钥与 UE的身份标识符之间的对应关系、以及密钥请求消息中的 UE的身份标识符，获取第二密钥；即该技术方案中推演密钥为第二密钥。此时对应的发送模块 32具体用于向 WLAN节点发送获取模块 31获取的第二密钥，以供 WLAN节点基于第二密钥与 UE之间建立安全连接。

或者可选地，本实施例的网元设备中，推演模块 33也用于在获取模块 31获取第一密钥之后，根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥之前，根据获取模块 31获取的第一密钥和推演参数进行推演得到第二密钥；建立模块 34也用于建立获取模块 31获取的第二密钥与 UE的身份标识符之间的对应关系时，接收模块 30具体用于接收 WLAN节点发送的携带 UE的身份标识符和 WLAN节点的身份标识符的密钥请求消息；获取模块 31具体用于根据建立模块 34建立的第二密钥与 UE的身份标识符之间的对应关系、以及接收模块 30接收的密钥请求消息中的 UE的身份标识符，获取第二密钥；并根据第二密钥与密钥请求消息中的 WLAN节点的身份标识符推演得到第三密钥；发送模块 32具体用于向 WLAN节点发送获取模块 31获取的第三密钥，以供 WLAN节点基于第三密钥与 UE之间建立安全连接。即该技术方案中推演密钥为第三密钥。

可选地，本实施例的网元设备中， UE的身份标识符为 UE的 MAC地址、 UE 的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE的 RNTI或者 UE的 MSISDN。

可选地，本实施例的网元设备中，接收模块 30还用于当 UE的身份标识符为 UE的 WLAN接口的 MAC地址时，接收 UE发送的 UE的身份标识符。例如接收模块 30还用于当 UE的身份标识符为 UE的 WLAN接口的 MAC地址时，接收 UE采用加密的方式发送的 UE的身份标识符。

可选地，本实施例的网元设备中，移动通信网络可以为 GSM网络、 UMTS、 LTE 系统、 CDMA网络或 GPRS网络；网元 i殳备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

图 13为本发明再一实施例提供的 UE的结构示意图。如图 13所示，本实施例的 IE, 具体可以包括获取模块 40、生成模块 41、认证模块 42和建立模块 43。

其中获取模块 40用于获取第一密钥；该第一密钥为 UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥，或者根据 UE与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥推演得出的；生成模块 41根据 UE的身份标识符和获取模块 40获取的第一密钥推演生成认证用户名和认证信任状；认证模块 42与生成模块 41连接，认证模块 42用于根据生成模块 41 生成的认证用户名和认证信任状与第一网元设备或者第二网元设备进行 EAP认证；第二网元设备为移动通信网络中的所述第一网元设备之外的其他网元设备；第二网元设备从第一网元设备处获取认证用户名和认证信任状；或者第二网元设备从第一网元设备处获取 UE的身份标识符和第一密钥，并根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。建立模块 43与认证模块 42连接，建立模块 43用于在认证模块 42进行 EAP认证完成后与 WLAN节点之间建立安全连接。

本实施例的 UE, 通过采用上述模块 UE能够根据 UE的身份标识符和第一密钥推演生成认证用户名和认证密码；并由 UE根据认证用户名和认证密码与 UE接入的移动通信网络中的网元设备进行 EAP认证，并在认证完成后 UE与 WLAN节点之间建立安全连接；其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，上述图 13所示实施例的 UE中， UE的身份标识符为 UE的 MAC地址、 UE的 IMSI、 UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE的 RNTI 或者 UE的 MSISDN。

可选地，上述图 13所示实施例的 UE中，移动通信网络可以为 GSM网络、 UMTS、 LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

图 14为本发明再一实施例提供的网元设备的结构示意图。本实施例的网元设备位于 UE接入的移动通信网络中。如图 14所示，本实施例的网元设备包括获取模块 50、认证模块 51和发送模块 52。

其中获取模块 50用于获取 UE的认证用户名和认证信任状；该认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与网元设备或者第二网元设备在执行空口安全时的共享密钥，或者第一密钥为根据 UE与网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的。认证模块 51与获取模块 50连接，认证模块 51用于根据认证用户名和认证信任状与 UE进行 EAP认证，发送模块 52与认证模块 51连接，发送模块 52用于在认证模块 51进行 EAP认证成功后，向 WLAN节点发送认证完成，以指示 WLAN节点与 UE 之间建立安全连接。

本实施例的网元设备，通过采用上述模块能够获取 UE的认证用户名和认证信任状，并根据认证用户名和认证密码与 UE进行 EAP认证，并在认证完成后，使得 UE与 WLAN节点之间建立安全连接；其中认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与接入的移动通信网络中的第一网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN 工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

可选地，上述图 14所示实施例的网元设备中，获取模块 50具体用于接收第二网元设备发送的 UE的 UE的身份标识符和第一密钥，该第一密钥为 UE与第二网元设备在执行空口安全时的共享密钥或者根据 UE与第二网元设备在执行空口安全时的共享密钥推演得出的；并根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

或者可选地，上述图 14所示实施例的网元设备中，获取模块 50具体用于接收第二网元设备发送的认证用户名和认证信任状，认证用户名和认证信任状为第二网元设备根据 UE的身份标识符和第一密钥推演生成的，第一密钥为 UE与第二网元设备在执行空口安全时的共享密钥或者根据 UE与第二网元设备在执行空口安全时的共享密钥推演得出的。

或者可选地，上述图 14所示实施例的网元设备中，获取模块 50具体用于获取第一密钥；第一密钥为第一网元设备与 UE在执行空口安全时的共享密钥或者根据第一网元设备与 UE在执行空口安全时的共享密钥推演得出的；并根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

可选地，上述实施例的 UE中， UE的身份标识符为 UE的 MAC地址、 UE的 IMSL UE的 TMSI、 UE的 P-TMSI、 UE的 GUTI、 UE的 S-TMSI、 UE的 RNTI或者 UE的 MSISDN。

可选地，上述实施例的 UE中，移动通信网络可以为 GSM网络、 UMTS、 LTE系统、 CDMA网络或 GPRS网络；网元设备可以为 GSM 网络的 BSC、 UMTS的 RNC、 GPRS 网络的 SGSN、 LTE系统的 MME或者 LTE系统中的 eNB。

上述实施例的网元设备，通过采用上述模块实现 WLAN的安全建立与上述相关方法实施例的实现机制相同，详细可以参考上述相关方法实施例的记载，在此不再赘述，

上述实施例的网元设备，通过采用上述模块能够获取 UE的认证用户名和认证信任状，并根据认证用户名和认证密码与 UE进行 EAP认证，并在认证完成后，使得 UE与 WLAN节点之间建立安全连接；其中认证用户名和认证信任状为根据 UE的身份标识符和第一密钥推演生成的；第一密钥为 UE与网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据 UE与网元设备或者第二网元设备的共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN 节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 15为本发明一实施例提供的 WLAN的安全建立系统的结构示意图。如图 15所示，本实施例的 WLAN的安全建立系统包括： UE60、 WLAN节点设 ^61和网元设^ 62。 UE60、 WLAN节点设名 1和网元设^ 62两两互相通信。

UE60用于获取第一密钥；该第一密钥为 UE60与接入的移动通信网络中的网元设备 62在执行空口安全时的共享密钥或者根据 UE60与网元设备 62在执行空口安全时的共享密钥推演得出的。 UE60根据第一密钥和推演参数进行推演得到推演密钥。推演参数为 UE60和网元设备 62协商确定的。 UE60还用于向 WLAN节点设备 61发送 UE的身份标识符。

WLAN节点设备 61接收 UE60发送 UE的身份标识符；向网元设备 62发送携带 UE的身份标识符的密钥请求消息。

网元设备 62接收 WLAN节点设备 61发送的携带 UE的身份标识符的密钥请求消息；根据密钥请求消息中的 UE的身份标识符，获取对应的推演密钥；该推演密钥为网元设备 62根据第一密钥和推演参数进行推演得到；网元设备 62向 WLAN节点设备 61发送获取的推演密钥。

WLAN节点设备 61接收网元设备 62发送的 UE的身份标识符对应的推演密钥，这样， UE60和 WLAN节点设备 61都获取到推演密钥，则 UE60和 WLAN节点设备 61根据推演密钥建立安全连接。

可选地，本实施例中的 UE60具体可以采用上述图 8或者图 9所示实施例的 UE, 本实施例中的 WLAN节点设备 61具体可以采用图 8及后续可选实施例中的 WLAN节点设备，本实施例中的网元设备 62具体可以采用上述图 11或者图 12所示实施例的网元设备，并可以采用上述图 1-图 3所示实施例及相应的后续可选实施例的技术方案实现 WLAN的安全建立，详细可以参考上述相关实施例的记载，在此不再赘述。

本实施例的 WLAN的安全建立系统，通过采用上述 UE、 WLAN节点设备和网元设备， UE与 WLAN节点之间能够基于推演密钥建立安全连接，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE 和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

图 16为本发明另一实施例提供的 WLAN的安全建立系统的结构示意图。如图 16所示，本实施例的 WLAN的安全建立系统包括： UE70和第一网元设备 71和 WLAN节点设备 72。 UE70和第一网元设备 71和 WLAN节点设备 72两两互相通信。

UE70用于获取第一密钥；该第一密钥为 UE70与接入的移动通信网络中的第一网元设备 71或者第二网元设备（图中未示出 )在执行空口安全时的共享密钥，或者根据 UE70与第一网元设备 71或者第二网元设备在执行空口安全时的共享密钥推演得出的； UE根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状；第一网元设备 71也获取 UE的认证用户名和认证信任状。

例如当第一密钥为 UE70与接入的移动通信网络中的第一网元设备 71在执行空口安全时的共享密钥或者根据共享密钥推演得出的，第一网元设备 71也获取第一密钥；并根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。

当第一密钥为 UE70与接入的移动通信网络中的第二网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。此时，第一网元设备 71也从第二网元设备处获取认证用户名和认证信任状；认证用户名和认证信任状为第二网元设备根据 UE的身份标识符和第一密钥推演生成。或者第一网元设备 71也从第二网元设备处获取 UE的身份标识符和第一密钥，而由第一网元设备根据 UE的身份标识符和第一密钥推演生成认证用户名和认证信任状。第一网元设备 71和第二网元设备互相通信。

由上述方案， UE70和第一网元设备 71都获取到认证用户名和认证信任状，然后由 UE70和第一网元设备 71根据认证用户名和认证信任状进行 EAP认证，并在认证完成后，第一网元设备 71向 WLAN节点设备 72发送认证完成，以指示 UE70 与 WLAN节点设备 72之间建立安全连接。其中 UE70和第一网元设备 71在进行 EAP认证的时候，由 WLAN节点设备 72转发认证消息，具体地在 EAP认证时涉及到的认证消息可以参考相关现有技术，

可选地，本实施例中的 UE70具体可以采用上述图 11所示实施例的 UE, 本实施例中的第一网元设备 71具体可以采用上述图 14所示实施例的网元设备，并可以采用上述图 6-图 7所示实施例及相应的后续可选实施例的技术方案实现 WLAN 的安全建立，详细可以参考上述相关实施例的记载，在此不再赘述。

本实施例的 WLAN的安全建立系统，通过采用上述 UE、 WLAN节点设备和网元设备， UE能够根据 UE的身份标识符和第一密钥推演生成认证用户名和认证密码；并由 UE根据认证用户名和认证密码与 UE接入的移动通信网络中的网元设备进行 EAP认证，并在认证完成后 UE与 WLAN节点之间建立安全连接；其中第一密钥为用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据共享密钥推演得出的。采用本实施例的上述技术方案，能够克服现有技术中 WLAN工作在 open模式下， UE和 WLAN节点之间不建立安全连接， UE和 WLAN节点之间的数据以明文方式传输，导致 UE与 WLAN节点之间通信的安全性能较差的缺陷，采用本发明实施例的技术方案，能够在 UE和 WLAN节点之间建立安全连接，提高 UE与 WLAN节点之间通信的安全性。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求

1、一种无线局域网络的安全建立方法，其特征在于，包括：

用户设备获取第一密钥，所述第一密钥为所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的；

所述用户设备根据所述第一密钥和推演参数进行推演得到推演密钥，所述推演参数为所述用户设备与所述网元设备协商确定的；

2、根据权利要求 1所述的方法，其特征在于，所述用户设备根据所述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接之前，所述方法还包括：

所述用户设备向所述无线局域网络节点发送所述用户设备的身份标识符，以供所述无线局域网络节点根据所述用户设备的身份标识符，向所述网元设备请求获取所述用户设备对应的推演密钥。

3、根据权利要求 1或 2所述的方法，其特征在于，

所述用户设备根据所述第一密钥和推演参数进行推演得到推演密钥，包括：所述用户设备根据所述第一密钥和所述推演参数进行推演得到第二密钥；所述用户设备根据所述推演密钥与无线局域网络节点之间建立安全连接，包括：所述用户设备根据所述第二密钥与无线局域网络节点之间建立安全连接。

4、根据权利要求 1或 2所述的方法，其特征在于，

所述用户设备根据所述第一密钥和推演参数进行推演得到推演密钥，包括：所述用户设备根据所述第一密钥和所述推演参数进行推演得到第二密钥；所述用户设备根据所述第二密钥和所述无线局域网络节点的身份标识符推演得到第三密钥；

所述用户设备根据所述推演密钥与无线局域网络节点之间建立安全连接，包括：所述用户设备根据所述第三密钥与所述无线局域网络节点之间建立安全连接。

5、根据权利要求 1-4任一所述的方法，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

6、根据权利要求 5所述的方法，其特征在于，当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，所述方法还包括：

所述用户设备向所述网元设备发送所述用户设备的身份标识符。

7、根据权利要求 6所述的方法，其特征在于，所述用户设备向所述网元设备发送所述用户设备的身份标识符，包括：

所述用户设备采用加密的方式向所述网元设备发送所述用户设备的身份标识符。

8、根据权利要求 7所述的方法，其特征在于，所述用户设备采用加密的方式向所述网元设备发送所述用户设备的身份标识符，包括：

所述用户设备在附着完成消息、路由区域更新消息、跟踪区域更新完成消息、非接入层安全模式结束消息或者容量迁移消息中携带所述用户设备的身份标识符；并向所述网元设备发送携带所述用户设备的身份标识符的加密的所述附着完成消息、所述路由区域更新消息、所述跟踪区域更新完成消息、所述非接入层安全模式结束消息或者所述容量迁移消息。

9、根据权利要求 1-8任一所述的方法，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

所述网元设备为所述全球移动通信网络的基站控制器、所述通用移动通讯系统的无线网络控制器、所述通用分组无线服务网络的服务通用分组无线服务支持节点、所述长期演进系统的移动管理实体或者所述长期演进系统的基站。

10、一种无线局域网络的安全建立方法，其特征在于，包括：无线局域网络节点接收用户设备发送的所述用户设备的身份标识符；所述无线局域网络节点向所述用户设备接入的移动通信网络中的网元设备发送携带所述用户设备的身份标识符的密钥请求消息；

所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥，所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到，所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备在执行空口安全时的共享密钥推演得出的，所述推演参数为所述用户设备与所述网元设备协商确定的；

所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点获取的所述推演密钥相同。

11、根据权利要求 10所述的方法，其特征在于，

所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥，包括：所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的第二密钥，所述第二密钥为所述网元设备根据所述用户设备的身份标识符以及所述网元设备中存储的所述用户设备的身份标识符与所述第二密钥之间的对应关系获取的；所述第二密钥为所述网元设备根据第一密钥和与所述推演参数进行推演得到；

所述无线局域网络节点基于所述推演密钥与所述用户设备之间建立安全连接，包括：所述无线局域网络节点基于所述第二密钥与所述用户设备之间建立安全连接。

12、根据权利要求 10所述的方法，其特征在于，

所述无线局域网络节点接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥，包括：所述无线局域网络节点接收所述网元设备发送的第三密钥，所述第三密钥为所述网元设备根据第二密钥与所述无线局域网络节点的身份标识符推演得到的；所述第二密钥为所述网元设备根据所述用户设备的身份标识符以及所述网元设备中存储的所述用户设备的身份标识符与所述第二密钥之间的对应关系获取的；所述第二密钥为所述网元设备根据第一密钥和推演参数进行推演得到；所述无线局域网络节点基于所述推演密钥与所述用户设备之间建立安全连接，包括：所述无线局域网络节点基于所述第三密钥与所述用户设备之间建立安全连接。

13、根据权利要求 12所述的方法，其特征在于，所述无线局域网络节点向所述用户设备接入的移动通信网络中的网元设备发送携带所述用户设备的身份标识符的密钥请求消息，包括：

所述无线局域网络节点向所述网元设备发送携带所述用户设备的身份标识符和所述无线局域网络节点的身份标识符的密钥请求消息。

14、根据权利要求 10-13任一所述的方法，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

15、根据权利要求 10-14任一所述的方法，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

所述网元设备为所述全球移动通信网络的基站控制器、所述通用移动通讯系统的无线网络控制器、所述通用分组无线服务网络的服务通用分组无线服务支持节点、所述长期演进系统的移动管理实体或所述长期演进系统的者基站。

16、一种无线局域网络的安全建立方法，其特征在于，包括：

用户设备接入的移动通信网络中的网元设备接收无线局域网络节点发送的密钥请求消息，所述密钥请求消息中携带有所述用户设备的身份标识符；所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥，所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到，所述第一密钥为所述网元设备与所述用户设备在执行空口安全时的共享密钥或者根据所述网元设备与所述用户设备在执行空口安全时的共享密钥推演得出的，所述推演参数为所述网元设备与所述用户设备协商确定的；所述网元设备向所述无线局域网络节点发送所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。

17、根据权利要求 16所述的方法，其特征在于，所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥之前，还包括：所述网元设备获取所述第一密钥。

18、根据权利要求 17所述的方法，其特征在于，所述网元设备获取所述第一密钥之后，所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥之前，所述方法还包括：

所述网元设备根据所述第一密钥和所述推演参数进行推演得到第二密钥；

所述网元设备建立所述第二密钥与所述用户设备的身份标识符之间的对应关系；

所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥，包括：

所述网元设备根据所述第二密钥与所述用户设备的身份标识符之间的对应关系、以及所述密钥请求消息中的所述用户设备的身份标识符，获取所述第二密钥；

所述网元设备向所述无线局域网络节点发送所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与所述用户设备之间建立安全连接，包括：所述网元设备向所述无线局域网络节点发送所述第二密钥，以供所述无线局域网络节点基于所述第二密钥与所述用户设备之间建立安全连接。

19、根据权利要求 17所述的方法，其特征在于，所述网元设备获取所述第一密钥之后，所述网元设备根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥之前，所述方法还包括：

所述网元设备根据所述第二密钥与所述无线局域网络节点的身份标识符推演得到所述第三密钥；所述网元设备向所述无线局域网络节点发送所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与所述用户设备之间建立安全连接，包括：所述网元设备向所述无线局域网络节点发送所述第三密钥，以供所述无线局域网络节点基于所述第三密钥与所述用户设备之间建立安全连接。

20、根据权利要求 16-19任一所述的方法，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

21、根据权利要求 20所述的方法，其特征在于，当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，所述网元设备接收所述无线局域网络节点发送的携带所述用户设备的身份标识符的密钥请求消息之前，所述方法还包括：

所述网元设备接收所述用户设备发送的所述用户设备的身份标识符。

22、根据权利要求 21所述的方法，其特征在于，所述网元设备接收所述用户设备发送的所述用户设备的身份标识符，包括：所述网元设备接收所述用户设备采用加密的方式发送的所述用户设备的身份标识符。

23、根据权利要求 23所述的方法，其特征在于，所述网元设备接收所述用户设备采用加密的方式发送的所述用户设备的身份标识符，包括：所述网元设备接收所述用户设备发送的携带所述用户设备的身份标识符的加密的附着完成消息、路由区域更新消息、跟踪区域更新完成消息、非接入层安全模式结束消息或者容量迁移消息。

24、根据权利要求 16-23任一所述的方法，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

25、一种无线局域网络的安全建立方法，其特征在于，包括：

用户设备获取第一密钥，所述第一密钥为所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的第一网元设备在执行空口安全时的所述共享密钥推演得出的；

所述用户设备根据所述认证用户名和所述认证信任状与所述第一网元设备或者第二网元设备进行扩展认证协议认证，所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备，所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状；或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥，并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状；

所述用户设备在所述扩展认证协议认证完成后与所述无线局域网络节点之间建立安全连接。

26、根据权利要求 25所述的方法，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

27、根据权利要求 25或者 26所述的方法，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

28、一种无线局域网络的安全建立方法，其特征在于，包括：用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状；所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥生成的；所述第一密钥为所述用户设备与所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥，或者根据所述用户设备与所述第一网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的；

所述第一网元设备在所述扩展认证协议认证成功后，向所述无线局域网络节点发送认证完成，以指示所述无线局域网络节点与所述用户设备之间建立安全连接。

29、根据权利要求 28所述的方法，其特征在于，用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状，包括：

所述第一网元设备接收所述第二网元设备发送的所述用户设备的所述用户设备的身份标识符和所述第一密钥，所述第一密钥为所述用户设备与所述第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第二网元设备在执行空口安全时的共享密钥推演得出的；

所述第一网元设备根据所述用户设备的身份标识符和所述第一密钥生成所述认证用户名和所述认证信任状。

30、根据权利要求 28所述的方法，其特征在于，用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状，包括：

所述第一网元设备接收所述第二网元设备发送的所述认证用户名和所述认证信任状，所述认证用户名和所述认证信任状为所述第二网元设备根据所述用户设备的身份标识符和所述第一密钥推演生成的，所述第一密钥为所述用户设备与所述第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第二网元设备在执行空口安全时的共享密钥推演得出的。

31、根据权利要求 28所述的方法，其特征在于，用户设备接入的移动通信网络中的第一网元设备获取所述用户设备的认证用户名和认证信任状，包括：

所述第一网元设备获取所述第一密钥；所述述第一密钥为所述第一网元设备与所述用户设备在执行空口安全时的共享密钥或者根据所述第一网元设备与所述用户设备在执行空口安全时的共享密钥推演得出的；

所述第一网元设备根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状。

32、根据权利要求 28-31任一所述的方法，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

33、根据权利要求 32所述的方法，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

34、一种用户设备，其特征在于，包括：

获取模块，用于获取第一密钥，所述第一密钥为与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥或者根据所述用户设备与接入的移动通信网络中的网元设备在执行空口安全时的共享密钥推演得出的；

推演模块，用于根据所述获取模块获取的所述第一密钥和推演参数进行推演得到推演密钥；所述推演参数为所述用户设备与所述网元设备协商确定的；

建立模块，用于根据所述推演模块推演得到的所述推演密钥与获取到推演密钥的无线局域网络节点之间建立安全连接，所述无线局域网络节点获取到的推演密钥与所述用户设备获取的所述推演密钥相同。

35、根据权利要求 34所述的设备，其特征在于，所述设备还包括：发送模块，用于向所述无线局域网络节点发送用户设备的身份标识符，以供所述无线局域网络节点根据所述用户设备的身份标识符，向所述网元设备请求获取所述用户设备对应的推演密钥。

36、根据权利要求 34所述的设备，其特征在于：

所述推演模块，具体用于根据所述获取模块获取的所述第一密钥和所述推演参数进行推演得到第二密钥；

所述建立模块，具体用于根据所述推演模块推演的所述第二密钥与无线局域网络节点之间建立安全连接。

37、根据权利要求 34所述的设备，其特征在于：

所述推演模块，具体用于根据所述获取模块获取的所述第一密钥和所述推演参数进行推演得到第二密钥；并根据所述第二密钥和所述无线局域网络节点的身份标识符推演得到第三密钥；

所述建立模块，具体用于根据所述推演模块推演的所述第三密钥与所述无线局域网络节点之间建立安全连接。

38、根据权利要求 34-37任一所述的设备，其特征在于，所述发送模块发送的用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

39、根据权利要求 38所述的设备，其特征在于：

所述发送模块，还用于当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，向所述网元设备发送所述用户设备的身份标识符。

40、根据权利要求 39所述的设备，其特征在于：

所述发送模块，具体用于当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，采用加密的方式向所述网元设备发送所述用户设备的身份标识符。

41、根据权利要求 34-40任一所述的设备，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

42、一种无线局域网络节点设备，其特征在于，包括：

所述接收模块，还用于接收所述网元设备发送的所述用户设备的身份标识符对应的推演密钥；所述推演密钥为所述网元设备根据第一密钥和推演参数进行推演得到，所述第一密钥为所述用户设备与所述网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备在执行空口安全时的共享密钥推演得出的；所述推演参数为所述用户设备与所述网元设备协商确定的；

43、根据权利要求 42所述的设备，其特征在于：

所述接收模块，具体用于接收所述网元设备发送的所述用户设备的身份标识符对应的第二密钥，所述第二密钥为所述网元设备根据所述用户设备的身份标识符以及所述网元设备中存储的所述用户设备的身份标识符与所述第二密钥之间的对应关系获取的；所述第二密钥为所述网元设备根据第一密钥和所述推演参数进行推演得到；

所述建立模块，具体用于基于所述接收模块接收的第二密钥与所述用户设备之间建立安全连接.

44、根据权利要求 42所述的设备，其特征在于：

所述接收模块，具体用于接收所述网元设备发送的第三密钥，所述第三密钥为所述网元设备根据第二密钥与所述无线局域网络节点的身份标识符推演得到的；所述第二密钥为所述网元设备根据所述用户设备的身份标识符以及所述网元设备中存储的所述用户设备的身份标识符与所述第二密钥之间的对应关系获取的；所述第二密钥为所述网元设备根据第一密钥和推演参数进行推演得到；

所述建立模块，具体用于基于所述接收模块接收的所述第三密钥与所述用户设备之间建立安全连接。

45、根据权利要求 44所述的设备，其特征在于：

所述发送模块，具体用于向所述网元设备发送携带所述接收模块接收的用户设备的身份标识符和所述无线局域网络节点的身份标识符的密钥请求消息。

46、根据权利要求 42-45任一所述的设备，其特征在于，所述接收模块接收的用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

47、根据权利要求 42-46任一所述的设备，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线月良务网络；

48、一种网元设备，位于用户设备接入的移动通信网络中，其特征在于，所述网元设备包括：

接收模块，用于接收无线局域网络节点发送的密钥请求消息，所述密钥请求消息中携带有所述用户设备的身份标识符；

获取模块，用于根据所述接收模块接收的所述密钥请求消息中的所述用户设备的身份标识符，获取对应的推演密钥；所述推演密钥为根据第一密钥和推演参数进行推演得到；所述第一密钥为与所述用户设备在执行空口安全时的共享密钥或者根据与所述用户设备在执行空口安全时的共享密钥推演得出的；所述推演参数为与所述用户设备协商确定的；

发送模块，用于向所述无线局域网络节点发送所述获取模块获取到的所述推演密钥，以供所述无线局域网络节点基于所述推演密钥与获取到推演密钥的所述用户设备之间建立安全连接，所述用户设备获取到的推演密钥与所述无线局域网络节点接收所述网元设备发送的所述推演密钥相同。

49、根据权利要求 48所述的设备，其特征在于，所述获取模块，还用于获取所述第一密钥。

50、根据权利要求 49所述的设备，其特征在于，所述设备还包括推演模块和建立模块：

所述推演模块，用于在所述获取模块获取所述第一密钥之后，根据所述密钥请求消息中的所述用户设备的身份标识符，获取对应的所述推演密钥之前，根据所述第一密钥和所述推演参数进行推演得到第二密钥；

所述建立模块，用于建立所述推演模块推演的所述第二密钥与所述用户设备的身份标识符之间的对应关系；

所述获取模块，具体用于根据所述建立模块建立的所述第二密钥与所述用户设备的身份标识符之间的对应关系、以及所述密钥请求消息中的所述用户设备的身份标识符，获取所述第二密钥；

所述发送模块，具体用于向所述无线局域网络节点发送所述获取模块获取的所述第二密钥，以供所述无线局域网络节点基于所述第二密钥与所述用户设备之间建立安全连接。

51、根据权利要求 49所述的设备，其特征在于，所述设备还包括推演模块和建立模块：

所述获取模块，具体用于根据所述建立模块建立的所述第二密钥与所述用户设备的身份标识符之间的对应关系、以及所述密钥请求消息中的所述用户设备的身份标识符，获取所述第二密钥；并根据所述第二密钥与所述密钥请求消息中的所述无线局域网络节点的身份标识符推演得到所述第三密钥；所述发送模块，具体用于向所述无线局域网络节点发送所述获取模块获取的所述第三密钥，以供所述无线局域网络节点基于所述第三密钥与所述用户设备之间建立安全连接。

52、根据权利要求 48-51任一所述的设备，其特征在于，所述接收模块接收的用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

53、根据权利要求 52所述的设备，其特征在于：

所述接收模块，还用于当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，接收所述用户设备发送的所述用户设备的身份标识符。

54、根据权利要求 53所述的设备，其特征在于：

所述接收模块，还用于当所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址时，接收所述用户设备采用加密的方式发送的所述用户设备的身份标识符。

55、根据权利要求 48-54任一所述的设备，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

56、一种用户设备，其特征在于，包括：

认证模块，用于根据所述生成模块生成的所述认证用户名和所述认证信任状与所述第一网元设备或者第二网元设备进行扩展认证协议认证；所述第二网元设备为所述移动通信网络中的所述第一网元设备之外的其他网元设备；所述第二网元设备从所述第一网元设备处获取所述认证用户名和所述认证信任状；或者所述第二网元设备从所述第一网元设备处获取所述用户设备的身份标识符和所述第一密钥，并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状；

57、根据权利要求 56所述的设备，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

58、根据权利要求 56或者 57所述的设备，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

59、一种网元设备，位于用户设备接入的移动通信网络中，其特征在于，所述网元设备包括：

获取模块，用于获取所述用户设备的认证用户名和认证信任状；所述认证用户名和所述认证信任状为根据所述用户设备的身份标识符和第一密钥推演生成的；所述第一密钥为所述用户设备与所述网元设备或者第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述网元设备或者第二网元设备在执行空口安全时的共享密钥推演得出的；

60、根据权利要求 59所述的设备，其特征在于，所述获取模块，具体用于接收所述第二网元设备发送的所述用户设备的所述用户设备的身份标识符和所述第一密钥，所述第一密钥为所述用户设备与所述第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第二网元设备在执行空口安全时的共享密钥推演得出的；并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状。

61、根据权利要求 59所述的设备，其特征在于，所述获取模块，具体用于接收所述第二网元设备发送的所述认证用户名和所述认证信任状，所述认证用户名和所述认证信任状为所述第二网元设备根据所述用户设备的身份标识符和所述第一密钥推演生成的，所述第一密钥为所述用户设备与所述第二网元设备在执行空口安全时的共享密钥或者根据所述用户设备与所述第二网元设备在执行空口安全时的共享密钥推演得出的。

62、根据权利要求 59所述的设备，其特征在于，所述获取模块，具体用于获取所述第一密钥；所述述第一密钥为所述第一网元设备与所述用户设备在执行空口安全时的共享密钥或者根据所述第一网元设备与所述用户设备在执行空口安全时的共享密钥推演得出的；并根据所述用户设备的身份标识符和所述第一密钥推演生成所述认证用户名和所述认证信任状。

63、根据权利要求 59-62任一所述的设备，其特征在于，所述用户设备的身份标识符为所述用户设备的无线局域网络接口的媒体访问控制地址、所述用户设备的国际移动用户识别码、所述用户设备的临时移动用户识别码、所述用户设备的分组临时移动用户识别码、所述用户设备的全球唯一临时身份、所述用户设备的系统架构演进临时移动客户身份、所述用户设备的无线网络临时标识或者所述用户设备的移动台国际电话综合业务数字网号码。

64、根据权利要求 63所述的设备，其特征在于，所述移动通信网络为全球移动通信网络、通用移动通讯系统、长期演进系统、码分多址网络或通用分组无线服务网络；

65、一种无线局域网络的安全建立系统，其特征在于，包括：如上权利要求 34-41任一所述的用户设备、如上权利要求 42-47任一所述的无线局域网络节点设备和如上权利要求 48-55任一所述的网元设备；

或者包括如上权利要求 56-58任一所述的用户设备和如上权利要求 59-64 任一所述的网元设备。