处理认证程序的装置及方法与流程

本发明涉及一种用于无线通信系统的通信装置及方法，尤其涉及在无线通信系统中一种处理认证程序的通信装置及方法。

背景技术：

长期演进(Long Term Evolution，LTE)系统提供高数据传输率、低延迟时间、分组最佳化以及改善系统容量和覆盖范围，包含有由至少一演进式基站(evolved Node-Bs，eNBs)所组成的演进式通用陆地全球无线接入网络(Evolved Universal Terrestrial Radio Access Network，E-UTRAN)，其一方面与多个用户端(user equipments，UEs)进行通信，另一方面与处理非接入层(Non Access Stratum，NAS)控制的核心网络进行通信，而核心网络包含服务闸道(serving gateway)及移动管理单元(Mobility Management Entity，MME)等实体。

当用户端连结到无线局域网络(wireless local area network，WLAN)时，无线局域网络可对用户端执行第一认证程序。另一方面，当用户端连结到无线局域网络及演进式基站时，演进式基站可对用户端执行第二认证程序。当网络端支持第一认证程序及第二认证程序，以及用户端连结到网络端时，根据第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)标准，网络端尚不知如何决定对用户端执行第一认证程序或第二认证程序，其中网络端包含有无线局域网络及演进式通用陆地全球无线接入网络。

因此，如何处理网络端对用户端执行认证程序为亟欲解决的问题。

技术实现要素：

因此，本发明提供了一种通信装置及方法，用来处理认证程序，以解决上述问题。

本发明公开一种网络端，其包含有一小区网络(cellular network)及一无线局域网络(wireless local area network，WLAN)，用来处理与一通信装置的一认证程序(authentication procedure)，该网络端包含有一存储单元及一处理装置，耦接于该存储单元。该处理装置被设定用来执行存储在该存储单元的指令。该指令包含有该小区网络执行一第一连结到该通信装置；该无线局域网络执行一第二连结到该通信装置；若该通信装置未被设定具有该无线局域网络上多个小区协议数据单元(protocol data units，PDUs)的一通信，该无线局域网络对该通信装置启动(initiate)一扩展的认证协议(extensible authentication protocol，EAP)认证及金钥协议(authentication and key agreement，AKA)程序到该通信装置；以及若该通信装置被设定具有该无线局域网络上该多个小区协议数据单元的该通信，该小区网络对该通信装置执行一演进式基站(evolved Node-B，eNB)辅助认证(assisted authentication)程序。

本发明另公开一种通信装置，用来处理与包含有一小区网络及一无线局域网络的一网络端的一认证程序，该通信装置包含有一存储单元及一处理装置，耦接于该存储单元。该处理装置被设定用来执行存储在该存储单元的指令。该指令包含有执行一第一连结到该小区网络的一演进式基站；执行一第二连结到该无线局域网络；若该通信装置未被设定具有该无线局域网络上多个小区协议数据单元的一通信，与该无线局域网络执行一扩展的认证协议认证及金钥协议程序；以及若该通信装置被设定具有该无线局域网络上该多个小区协议数据单元的该通信，与该演进式基站执行一演进式基站辅助认证程序。

附图说明

图1为本发明实施例一无线通信系统的示意图。

图2为本发明实施例一通信装置的示意图。

图3为本发明实施例一流程的流程图。

图4为本发明实施例一流程的流程图。

【符号说明】

10 无线通信系统

20 通信装置

200 处理装置

210 存储单元

214 程序代码

220 通信接口单元

30、40 流程

300、302、304、306、308、310、

步骤

400、402、404、406、408、410

具体实施方式

图1为本发明实施例一无线通信系统10的示意图。无线通信系统10可简略地由小区网络(cellular network)100，无线局域网络(wireless local area network，WLAN)102和通信装置104所组成。小区网络100可为一演进式通用陆地全球无线接入网络(evolved universal terrestrial radio access network，E-UTRAN)，其可包含有至少一演进式基站(evolved NB，eNB)和/或至少一中继站(relay)。小区网络100可为第五代(fifth generation，5G)网络，其包含有至少一第五代演进式基站。第五代演进式基站可利用正交频分多工(orthogonal frequency-division multiplexing，OFDM)和/或非正交频分多工(non-OFDM)，以及用于与通信装置通信的传送时间区间(transmission time interval，TTI)小于1毫秒(millisecond，ms)。一般而言，基站(base station，BS)可为演进式基站及第五代演进式基站中的任一个。在一实施例中，用于无线局域网络中的无线区域(WiFi)标准可包含有IEEE 802.11ac、IEEE 802.11n、IEEE 802.11g、IEEE 802.11b及IEEE 802.11a，无线区域标准可在2.4GHz或5GHz频带中运作。

通信装置104可为用户端(user equipment，UE)、移动电话、笔记型计算机、平板计算机、电子书、便携式计算机系统、车辆及飞机等装置。此外，根据传输方向，可将小区网络100及通信装置104分别视为传送端或接收端。举例来说，对于一上行链路(uplink，UL)而言，通信装置104为传送端而小区网络100(或无线局域网络102)为接收端；对于一下行链路(downlink，DL)而言，小区网络100(或无线局域网络102)为传送端而通信装置104为接收端。

图2为本发明实施例一通信装置20的示意图。通信装置20可为图1中的通信装置104、小区网络100或无线局域网络102，包括一处理装置200、至少一存储单元210以及一通信接口单元220。处理装置200可包含有至少一处理器或一特定应用集成电路(Application-Specific Integrated Circuit，ASIC)。至少一存储单元210可为任一数据存储装置，用来存储一程序代码214，处理装置200可通过存储单元210读取及执行程序代码214。举例来说，存储单元210可为用户识别模块(Subscriber Identity Module，SIM)、只读式存储器(Read-Only Memory，ROM)、随机存取存储器(Random-Access Memory，RAM)、硬盘(hard disk)、光学数据存储装置(optical data storage device)、非易失性存储单元(non-volatile storage unit)、非暂态计算机可读取介质(non-transitory computer-readable medium)(例如具体介质(tangible media))等，而不限于此。通信接口单元220可包含有至少一无线收发器，其是根据处理装置200的处理结果，用来传送及接收信号(例如数据、信号、讯息或分组)。举例来说，该至少一处理器可包含有第一处理器及第二处理器，以及至少一无线收发器可包含有第一无线收发器及第二无线收发器。第一无线收发器根据第一处理器的处理结果，传送信号到小区网络100或接收来自小区网络100的信号。第二无线收发器根据第二处理器的处理结果，传送信号到无线局域网络102或接收来自无线局域网络102的信号。至少一存储单元210可包含有第一存储单元及第二存储单元。第一存储单元存储第一程序代码，第一处理器可通过第一存储单元读取及执行第一程序代码。第二存储单元存储第二程序代码，第二处理器可通过第二存储单元读取及执行第二程序代码。

为简化说明，在以下的实施例中，以用户端来代表在图1中的通信装置104。

图3为本发明实施例一流程30的流程图，用于图1中的一网络端中，用来处理认证程序，其中该网络端包含有一小区网络(例如图1中的小区网络100)及一无线局域网络(例如图1中的无线局域网络104)。流程30可被编译成程序代码214，其包含有以下步骤：

步骤300：开始。

步骤302：该小区网络执行一第一连结到该用户端。

步骤304：该无线局域网络执行一第二连结到该用户端。

步骤306：若该用户端未被设定具有该无线局域网络上多个小区协议数据单元(protocol data units，PDUs)的一通信，该无线局域网络对该用户端启动(initiate)一扩展的认证协议(extensible authentication protocol，EAP)认证及金钥协议(authentication and key agreement，AKA)程序到该用户端。

步骤308：若该用户端被设定具有该无线局域网络上该多个小区协议数据单元的该通信，该小区网络对该用户端执行一演进式基站辅助认证(assisted authentication)程序。

步骤310：结束。

根据流程30，小区网络执行第一连结到用户端。无线局域网络执行第二连结到用户端。接着，若用户端未被设定具有无线局域网络上多个小区协议数据单元的通信(例如传送和/或接收)(例如根据长期演进系统(long-term evolution，LTE)及无线局域网络集成)，无线局域网络对用户端启动扩展的认证协议认证及金钥协议程序到用户端。若用户端被设定具有无线局域网络上多个小区协议数据单元的通信，小区网络对用户端执行演进式基站辅助认证程序。也就是说，根据用户端是否被设定具有无线局域网络上多个小区协议数据单元，网络端可决定以启动扩展的认证协议认证及金钥协议程序或演进式基站辅助认证程序。因此，若用户端被设定具有无线局域网络上多个小区协议数据单元的通信，网络端可决定省略扩展的认证协议认证及金钥协议程序。

流程30的实现方式有很多种，不限于以上所述。以下实施例可用于流程30。

在一实施例中，当无线局域网络执行扩展的认证协议认证及金钥协议程序时，无线局域网络可传送第一扩展的认证协议请求讯息到用户端。用户端可传送第一扩展的认证协议响应讯息，以响应无线局域网络所传送的该第一扩展的认证协议请求讯息。网络端可传送第二扩展的认证协议请求讯息，以响应第一扩展的认证协议响应讯息。扩展的认证协议认证及金钥协议程序的细节被陈述于IEEE 802.1x及第三代合作伙伴计划中，在此不赘述。

在一实施例中，流程30中的多个小区协议数据单元可包含有多个长期演进或第五代介质访问控制(media access control，MAC)协议数据单元、多个长期演进或第五代无线链路控制(radio link control，RLC)协议数据单元、多个长期演进或第五代分组数据整合协议(packet data convergence protocol，PDCP)协议数据单元、或被定义用于无线局域网络上通信(例如传送或接收)的新版多个长期演进或第五代协议数据单元。在一实施例中，小区网络可传送配置讯息到用户端，其用于设定无线局域网络上多个小区协议数据单元的通信给用户端。在一实施例中，当小区网络为长期演进网络时，配置讯息可包含有RRCConnectionReconfiguration讯息。通过使用该配置讯息，小区网络对用户端可执行演进式基站辅助认证程序。换句话说，配置讯息可被用于设定用户端以应用演进式基站辅助认证程序。在一实施例中，当用户端应用演进式基站辅助认证程序时，配置讯息包含有认证配置(例如计数器(counter))，用户端可使用该认证配置以获得具有金钥KeNB的共享成对主要金钥(pairwise master key，PMK)。进一步地，配置讯息可用于辨识无线局域网络，配置讯息包含有一无线局域网络配置，无线局域网络配置可包含有无线局域网络的服务设定识别符(service set identifier，SSID)、无线局域网络的基础服务设定识别符(basic SSID，BSSID)、无线局域网络的扩展服务设定识别符(extended SSID，ESSID)和/或无线局域网络的同质扩展服务设定识别符(homogeneous ESSID，HESSID)。

在一实施例中，小区网络决定设定无线局域网络上多个小区协议数据单元的通信给用户端；以及小区网络传送一讯息，该讯息是用来启动无线局域网络上多个小区协议数据单元的通信的一配置，其用于该用户端，以响应该决定。也就是说，小区网络的演进式基站通过传送该讯息到无线局域网络，可设定无线局域网络上多个小区协议数据单元的通信(例如长期演进及无线局域网络集成)给用户端。在一实施例中，当无线局域网络接收讯息时，无线局域网络可决定不启动扩展的认证协议认证及金钥协议程序。也就是说，当无线局域网络接收讯息时，无线局域网络可不传送扩展的认证协议认证及金钥协议请求讯息到用户端，以不启动扩展的认证协议认证及金钥协议程序。在一实施例中，若演进式基站及无线局域网络的接入点(access point，AP)/无线局域网络终端(WLAN termination，WT)是被组合在一起(例如在一相同的装置中)，演进式基站可传送内部指示(internal indication)而不是该讯息到无线局域网络。演进式基站可从配置讯息中的认证配置以及金钥KeNB，来自行取得或通过网络端来取得共享成对主要金钥。演进式基站可在讯息(例如接入点额外请求)或另一讯息(例如内部指示、接入点重组完成)中传送共享成对主要金钥到无线局域网络。接着，根据共享成对主要金钥，无线局域网络可获得(例如推导出)用于与用户端的四向握手程序(four-way handshake procedure)中数据加密和/或解密的一加密金钥。根据共享成对主要金钥，用户端可导出用于四向握手程序中的加密金钥。在四向握手程序后，用户端及无线局域网络可使用加密金钥，以加密彼此间所传送的多个小区协议数据单元，以及解密彼此间所接收的多个小区协议数据单元。

在一实施例中，在小区网络设定无线局域网络上多个小区协议数据单元的通信(长期演进及无线局域网络集成)之前，无线局域网络可启动扩展的认证协议认证及金钥协议程序到用户端。在此情况下，因为用户端已被无线局域网络认证，无线局域网络可不应用用于数据加密和/或解密的共享成对主要金钥。无线局域网络可通知(例如指示)演进式基站，用户端已通过接入点额外请求确认讯息被认证。因此，演进式基站所传送的配置讯息不会被用来设定用户端执行演进式基站辅助认证程序。也就是说，当用户端被无线局域网络认证时，小区网络可不对用户端执行演进式基站辅助认证程序。配置讯息可不包含有认证配置。

此外，以下实施例可提供数种使用(例如应用)用于用户端及无线局域网络的共享成对主要金钥的方法。在一实施例中，用户端及无线局域网络可直接使用用于数据加密和/或解密的共享成对主要金钥。在一实施例中，根据共享成对主要金钥以及用于数据加密和/或解密(例如介质访问控制服务数据单元(service data unit，SDU))的至少一参数(例如在四向握手程序中接入点nonce值(ANonce)和/或站台(station，STA)nonce值(SNonce)、用户端的介质访问控制地址(address)和/或无线局域网络接入点的介质访问控制地址)，用户端及无线局域网络可获得(例如导出)加密金钥，其中该数据加密和/或解密可包含有在802.11介质访问控制协议数据单元中多个小区协议数据单元。

在一实施例中，若演进式基站传送到无线局域网络的讯息指示无线局域网络启动扩展的认证协议认证及金钥协议程序，或者该讯息不指示无线局域网络启动演进式基站辅助认证程序，无线局域网络可对用户端启动扩展的认证协议认证及金钥协议程序。在一实施例中，若讯息未包含有共享成对主要金钥，或者该讯息指示不执行演进式基站辅助认证程序，无线局域网络可对用户端执行扩展的认证协议认证及金钥协议程序。也就是说，讯息可用来指示无线局域网络是否启动扩展的认证协议认证及金钥协议程序。

在一实施例中，演进式基站传送到无线局域网络的讯息可包含有用户端的一介质访问控制地址；无线局域网络存储有用户端的介质访问控制地址。或者，在一实施例中，无线局域网络在接入点额外程序期间，可接受来自演进式基站的另一讯息，其包含有介质访问控制地址。在一实施例中，小区网络可接收来自用户端的介质访问控制地址协议数据单元或无线资源控制(radio resource control，RRC)讯息中的介质访问控制地址。在一实施例中，小区网络的核心网络(例如移动管理单元(mobility management entity，MME))在非接入层(non-access stratum，NAS)讯息中，可接收用户端的介质访问控制地址，以及可传送用户端的介质访问控制地址给演进式基站。用户端可使用介质访问控制地址于多个802.11帧的传送和/或接收。进一步地，当无线局域网络接收多个802.11帧中一802.11帧(例如在多个802.11帧的一802.11帧的介质访问控制标头的资源地址字段中)，其包含有用户端所传送的介质访问控制地址时，无线局域网络可辨识用户端具有存储的介质访问控制地址，以及可决定不启动扩展的认证协议认证及金钥协议程序。在一实施例中，当无线局域网络接收一802.11帧，其包含有另一用户端的介质访问控制地址，以及无线局域网络未存储该另一用户端的介质访问控制地址时，无线局域网络可对该另一用户端启动扩展的认证协议认证及金钥协议程序。也就是说，当无线局域网络接收来自用户端的一802.11帧，其包含有用户端的介质访问控制地址时，根据无线局域网络是否存储有演进式基站所传送的用户端的介质访问控制地址，无线局域网络可启动或不启动扩展的认证协议认证及金钥协议程序。

图4为本发明实施例一流程40的流程图，用于图1中的一用户端中，用来处理与一网络端的认证程序，其中该网络端包含有一小区网络(例如图1中的小区网络100)及一无线局域网络(例如图1中的无线局域网络104)。流程40可被编译成程序代码214，其包含有以下步骤：

步骤400：开始。

步骤402：执行一第一连结到该小区网络的一演进式基站。

步骤404：执行一第二连结到该无线局域网络。

步骤406：若该用户端未被设定具有该无线局域网络上多个小区协议数据单元的一通信，与该无线局域网络执行一扩展的认证协议认证及金钥协议程序。

步骤408：若该用户端被设定具有该无线局域网络上该多个小区协议数据单元的该通信，与该演进式基站执行一演进式基站辅助认证程序。

步骤410：结束。

根据流程40，用户端可执行第一连结到小区网络的演进式基站。用户端可执行第二连结到无线局域网络。接着，若用户端未被设定具有无线局域网络上多个小区协议数据单元的通信，用户端可与无线局域网络执行扩展的认证协议认证及金钥协议程序。若用户端被设定具有无线局域网络上多个小区协议数据单元的通信，用户端可与演进式基站执行演进式基站辅助认证程序。也就是说，根据用户端是否被设定具有无线局域网络上多个小区协议数据单元的通信，用户端可执行扩展的认证协议认证及金钥协议程序或演进式基站辅助认证程序。因此，已知技术中的认证程序问题可被解决。

流程40的实现方式有很多种，不限于以上所述。流程30中关于多个小区协议数据单元，用于设定无线局域网络上多个小区协议数据单元的通信的配置讯息等的实施例可用于流程40，不在此赘述。以下实施例可用于流程40。

在一实施例中，若用户端被设定具有无线局域网络上多个小区协议数据单元的通信，以及配置讯息未包含有用于设定用户端执行演进式基站辅助认证程序的配置，用户端可与无线局域网络执行扩展的认证协议认证及金钥协议程序。在一实施例中，步骤408可进一步包含有若用户端被设定具有无线局域网络上多个小区协议数据单元的通信，以及配置讯息包含有用于设定用户端执行该演进式基站辅助认证程序的配置，用户端可与演进式基站执行演进式基站辅助认证程序。也就是说，根据小区网络所传送的配置讯息是否包含有配置，用户端可执行扩展的认证协议认证及金钥协议程序或演进式基站辅助认证程序。如流程30所述，该配置包含有计数器，其用于用户端以获得(例如导出)共享成对主要金钥。根据该计数器及金钥KeNB，用户端可获得(例如导出)共享成对主要金钥，其中金钥KeNB为用于小区通信中用户端与演进式基站间通信的一金钥。用户端及无线局域网络如何使用共享成对主要金钥已于流程30中陈述，在此不赘述。

在一实施例中，通过传送讯息(例如局域网络上的扩展的认证协议(EAP over LAN，EAPOL)开始讯息)到无线局域网络，其用于启动扩展的认证协议认证及金钥协议程序，用户端可执行扩展的认证协议认证及金钥协议程序。当网络端接收讯息时，网络端可传送扩展的认证协议请求讯息。在一实施例中，通过不传送该讯息(例如局域网络上的扩展的认证协议开始讯息)到无线局域网络，以不启动扩展的认证协议认证及金钥协议程序，用户端与演进式基站可执行扩展的认证协议认证及金钥协议程序。也就是说，根据用户端是否传送讯息到无线局域网络，用户端可执行扩展的认证协议认证及金钥协议程序或演进式基站辅助认证程序。

本领域技术人员当可依本发明的精神加以结合、修饰或变化以上所述的实施例，而不限于此。上述流程的任一流程可被编译成程序代码214。前述的陈述、步骤和/或流程(包含建议步骤)可通过装置实现，装置可为硬件、软件、固件(为硬件装置与计算机指令与数据的结合，且计算机指令与数据属于硬件装置上的只读软件)、电子系统、或上述装置的组合，其中装置可为通信装置20。

综上所述，本发明提供了一种装置及方法，用来处理认证程序。根据用户端是否被设定具有无线局域网络上多个小区协议数据单元的通信，网络端可对用户端启动(例如执行)扩展的认证协议认证及金钥协议程序或演进式基站辅助认证程序。因此，已知技术中的认证程序问题可被解决。

以上所述仅为本发明的优选实施例，凡依本发明权利要求书所做的均等变化与修饰，皆应属本发明的涵盖范围。