用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案的制作方法

用于802.1x载体热点和wi‑fi呼叫认证的基于经加密的imsi的方案1.本技术是申请日为2017年10月27日、申请号为201711027143.1、发明名称为“用于802.1x载体热点和wi‑fi呼叫认证的基于经加密的imsi的方案”的发明专利申请的分案申请。
技术领域：
：2.本专利申请涉及无线通信，包括一种用于在无线通信系统中执行wi‑fi认证的技术。
背景技术：
：：3.无线通信系统的使用正在快速增长。另外，无线通信技术已从仅语音通信演进到还包括对数据诸如互联网和多媒体内容的传输。存在多种不同的无线通信技术和标准。无线通信标准的一些示例包括gsm、umts(例如与wcdma空中接口或td‑scdma空中接口相关联)、lte、高级lte(lte‑a)、hspa、3gpp2cdma2000(例如，1xrtt、1xev‑do、hrpd、ehrpd)、ieee802.11(wlan或wi‑fi)、ieee802.16(wimax)、蓝牙等。4.与802.1x一起使用eap‑aka协议和eap‑sim协议，以认证客户端对载体wi‑fi热点的访问。这些协议还与ikev2/ipsec隧道技术一起使用，以提供对运营商的内部网络的访问，以实现特征诸如wi‑fi呼叫。5.eap‑aka和eap‑sim两者使用国际移动用户识别码(imsi)作为认证交换的持久身份。imsi是可用于跟踪装置移动的唯一标识符。为了保护用户隐私，可能期望imsi保护的领域中的改进。技术实现要素：6.本文描述的实施方案涉及一种用于在认证交换中为国际移动用户身份(imsi)传输提供身份隐私支持机制的系统、装置和方法。7.一些实施方案涉及一种无线装置，该无线装置包括一个或多个天线、一个或多个无线电部件、以及(直接或间接)耦接至无线电部件的一个或多个处理器。至少一个无线电部件被配置为执行wi‑fi通信。该无线装置可执行语音通信和/或数据通信，以及本文所述的方法。8.一些实施方案涉及一种认证服务器，该认证服务器包括一个或多个天线、一个或多个无线电部件、以及(直接或间接)耦接至无线电部件的一个或多个处理器。至少一个无线电部件被配置为执行wi‑fi通信。该认证服务器可执行语音通信和/或数据通信，以及本文所述的方法。9.本文包含的实施方案提出了一种消除eap客户端“以明文”即不加密形式发送持久身份的需求的方案。在一些实施方案中，可使用公钥加密来实现对持久身份的保密。无线装置可被配置为具有认证服务器的公钥，使得其可在向服务器发送其之前对持久身份进行加密。载体的家庭环境中的认证服务器可被配置有对应的私钥。在服务器接收经加密的持久身份时，其可能能够使用私钥来对其进行解密。在一些实施方案中，对持久身份进行加密可在eap方法层处被采用。10.在一些实施方案中，如果载体部署包括多个认证服务器，则该提案可假设这些节点中的每个节点共享相同的密钥对。此外，无线装置可提供密钥标识符，以帮助认证服务器定位私钥，以对持久身份进行解密。例如，可为该无线装置提供服务器证书的证书序列号作为向认证服务器发送的密钥标识符。11.在一些实施方案中，ue可被配置为在使用服务器证书建立wi‑fi呼叫时利用epdg来认证iwlan/ipsec隧道。在这些实施方案中，该ue可被预先配置以载体设置文件中的一个或多个服务器证书，该ue可将其与从epdg接收的服务器证书进行比较，以确定其正在与有效的epdg而不是攻击者进行通信。12.需注意，可在若干个不同类型的装置中实施本文描述的技术和/或将本文描述的技术与该若干个不同类型的装置一起使用，该若干个不同类型的装置包括但不限于基站、接入点、蜂窝电话、便携式媒体播放器、平板电脑、可穿戴装置、和各种其他计算装置。13.本
发明内容旨在提供在本文档中所述的主题中的一些主题的简要概述。因此，应当认识到，上文描述的特征仅为示例并且不应认为其以任何方式缩窄本文所述的主题的范围或实质。本文所述的主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。附图说明14.当结合附图考虑实施方案的以下具体描述时，可获得对本主题的更好的理解。15.图1示出了根据一些实施方案的示例性无线通信系统；16.图2示出了根据一些实施方案的认证服务器和/或接入点装置的示例性简化框图；17.图3示出了根据一些实施方案的无线用户设备装置的示例性简化框图；18.图4示出了根据一些实施方案的用于实现wi‑fi呼叫的示例性无线通信系统；19.图5示出了根据一些实施方案的经加密的持久身份消息的示例构成；20.图6是示出了根据一些实施方案的示例性eap‑aka认证过程的通信流程图；21.图7是示出了根据一些实施方案的在客户端具有匿名并且服务器请求持久身份时的示例性eap‑aka认证过程的通信流程图；22.图8是示出了根据一些实施方案的在wi‑fi呼叫的情况下使用经加密的imsi的示例性身份保护过程的通信流程图；以及23.图9为根据一些实施方案的示出了在wi‑fi呼叫的情况下使用服务器证书的示例性身份保护过程的通信流程图。24.尽管本文所述的特征易受各种修改和替代形式的影响，但其具体实施方案在附图中以举例的方式示出并且在本文详细描述。然而，应当理解，附图和对附图的详细描述并非旨在将本发明限制于所公开的特定形式，而正相反，其目的在于覆盖落在由所附权利要求所限定的本主题的实质和范围内的所有修改形式、等同形式和替代形式。具体实施方式25.优先权要求26.本专利申请要求于2016年10月28日提交的标题为“encryptedimsibasedsolutionfor802.1xcarrierhotspotandwi‑ficallingauthentication”的美国临时专利申请序列号62/414,517、以及于2017年6月30日提交的标题为“protectionoftheueidentityduring802.1xcarrierhotspotandwi‑ficallingauthentication”的美国临时专利申请序列号62/527,538的优先权，这些专利申请据此全文以引用方式并入，如同本文完全阐述一般。27.首字母缩略词28.在本专利申请中通篇使用各种首字母缩略词。在本专利申请中通篇可能出现的最为突出的所用首字母缩略词的定义如下：29.ue：用户设备30.ap：接入点31.bs：基站32.dl：下行链路(从bs到ue)33.ul：上行链路(从ue到bs)34.tx：发射(transmission/transmit)35.rx：接收(reception/receive)36.lan：局域网37.wlan：无线lan38.rat：无线电接入技术39.术语40.以下是在本公开中所使用的术语表：41.存储器介质–各种类型的非暂态存储器装置或存储装置中的任一类型的非暂态存储器装置或存储装置。术语“存储器介质”旨在包括安装介质，例如cd‑rom、软盘、或磁带装置；计算机系统存储器或随机存取存储器，诸如dram、ddrram、sram、edoram、rambusram等；非易失性存储器，诸如闪存、磁介质，例如硬盘或光学存储装置；寄存器，或其他类似类型的存储器元件等。该存储器介质也可包括其他类型的非暂态存储器、或它们的组合。此外，存储器介质可被定位在执行程序的第一计算机系统中，或者可被定位在通过网络诸如互联网而被连接至第一计算机系统的不同的第二计算机系统中。在后一情况下，第二计算机系统可向第一计算机提供程序指令以供执行。术语“存储器介质”可包括可驻留在不同位置中例如通过网络连接的不同计算机系统中的两个或更多个存储器介质。该存储器介质可存储可由一个或多个处理器执行的程序指令(例如，被呈现为计算机程序)。42.载体介质–如上所述的存储器介质以及物理传输介质，诸如总线、网络、和/或传送信号诸如电信号、电磁信号或数字信号的其他物理传输介质。43.计算机系统‑各种类型的计算系统或处理系统中的任一者，包括个人计算机系统(pc)、大型计算机系统、工作站、网络家电、互联网家电、个人数字助理(pda)、电视系统、网格计算系统、或其他装置、或装置的组合。通常，术语“计算机系统”可被广义地定义为包含具有执行来自存储器介质的指令的至少一个处理器的任何装置(或装置的组合)。44.移动装置(或移动站)–移动式或便携式的并使用wlan通信来执行无线通信的各种类型的计算机系统装置中的任一类型的计算机系统装置。移动装置的示例包括移动电话或智能电话(例如，iphonetm、基于androidtm的电话)，以及平板电脑诸如ipadtm、samsunggalaxytm等。各种其他类型的装置如果包括wi‑fi或包括蜂窝通信能力和wi‑fi通信能力两者，则将落在这个类别中，诸如膝上型计算机(例如，macbooktm)、便携式游戏装置(例如，nintendodstm、playstationportabletm、gameboyadvancetm、iphonetm)，便携式互联网装置和其他手持装置，以及可穿戴装置，诸如智能手表、智能眼镜、耳机、吊坠、耳塞等。通常，术语“移动装置”可被广义地定义为包含用户便于运输并能够进行无线通信的任何电子、计算和/或通信装置(或装置的组合)。45.无线装置(或无线站)–使用wlan通信来执行无线通信的各种类型的计算机系统装置中的任一类型的计算机系统装置。如本文所用，术语“无线装置”可指上文所定义的移动装置或者静止装置诸如静止无线客户端或无线基站。例如，无线装置可为802.11系统的任何类型的无线站，诸如接入点(ap)或客户端站(sta或ue)。其他示例包括电视、媒体播放机(例如，appletvtm、rokutm、amazonfiretvtm、googlechromecasttm等)、电冰箱、洗衣机、恒温器等。46.用户设备(ue)(或“ue装置”)–移动式或便携式的并且执行无线通信的各种类型的计算机系统装置中的任一类型的计算机系统装置。ue装置的示例包括移动电话或智能电话(例如，iphonetm、基于androidtm的电话)、便携式游戏装置(例如，nintendodstm、playstationportabletm、gameboyadvancetm、ipodtm)、膝上型电脑、可穿戴装置(例如，智能手表、智能眼镜)、pda、便携式互联网装置、音乐播放器、数据存储装置、或其他手持装置等。通常，术语“ue”或“ue装置”可被广义地定义为包含用户便于运输并能够进行无线通信的任何电子、计算和/或通信装置(或装置的组合)。47.wlan‑术语“wlan”具有其普通含义的全部范围，并且至少包括由wlan接入点提供服务并通过这些接入点提供至互联网的连接性的无线通信网络或rat。大多数现代wlan基于ieee802.11标准并以名称“wi‑fi”销售。与wlan同义地使用术语“wi‑fi”。wlan网络不同于蜂窝网络。48.处理元件‑是指执行计算机系统中的功能的数字电路的各种实施方式。此外，处理元件可指执行计算机或计算机系统中的功能(或多种功能)的模拟或混合信号(模拟和数字的组合)电路的各种实施方式。处理元件例如包括电路(诸如集成电路(ic)、asic(专用集成电路)、各个处理器内核的部分或电路)、整个处理器内核、各个处理器、可编程硬件装置(诸如现场可编程门阵列(fpga))、和/或包括多个处理器的系统的较大部分。49.自动–是指由计算机系统(例如，由计算机系统执行的软件)或装置(例如，电路、可编程硬件元件、asic等)在无需用户输入直接指定或执行动作或操作的情况下执行该动作或操作。因此，术语“自动”与用户手动执行或指定操作形成对比，在用户手动执行或指定操作的情况下，用户提供输入以直接执行该操作。自动过程可由用户所提供的输入发起，但随后的“自动”执行的动作不是由用户指定的，例如不是“手动”执行的，在手动执行的情况下，用户指定要执行的每个动作。例如，用户通过选择每个字段并提供指定信息的输入而填写电子表格(例如，通过键入信息、选择复选框、单选选择等)即为手动填写表格，即使计算机系统必须响应于用户动作来更新该表格。该表格可通过计算机系统自动填写，其中计算机系统(例如，在计算机系统上执行的软件)分析表格的字段并填写该表格，而无需任何用户输入指定字段的答案。如上所示，用户可调用表格的自动填写，但不参与表格的实际填写(例如，用户不用手动指定字段的答案，而是它们被自动完成)。本说明书提供了响应于用户已采取的动作而自动执行的操作的各种示例。50.并发‑是指并行执行或进行，其中以至少部分交叠的方式来执行任务、过程、信号传输、消息传输、或程序。例如，可使用“强”或严格的平行性来实现并发，其中在相应计算元件上或者使用“弱平行性”来(至少部分地)并行地执行任务，其中以交织的方式，例如通过执行线程的时间复用来执行任务。51.被配置为‑各种部件可被描述为“被配置为”执行一个或多个任务。在此类上下文中，“被配置为”是通常表示“具有”在操作期间执行一个或多个任务的“结构”的宽泛表述。因此，即使部件当前没有执行任务时，该部件也可被配置为执行该任务(例如，一组电导体可被配置为将模块电连接至另一模块，即使当这两个模块未被连接时)。在一些上下文中，“被配置为”可为通常表示“具有”在操作期间执行一个或多个任务的“电路”的结构的宽泛表述。如此，即使在部件当前未接通时，该部件也可被配置为执行任务。通常，形成与“被配置为”对应的结构的电路可包括硬件电路。52.为了方便描述，可将各种部件描述为执行一个或多个任务。此类描述应当被解释成包括短语“被配置为”。阐述被配置为执行一项或多项任务的部件旨在明确地不援引35u.s.c.§112(f)对该部件的解释。53.图1‑无线通信系统54.图1示出了根据一些实施方案的示例性(和简化的)无线通信系统。需注意，图1的系统仅为可能的系统的一个示例，并且根据需要可在各种系统中的任一种系统中实现该实施方案。55.如图所示，该示例性无线通信系统包括以无线方式与接入点104进行通信的用户装置106，其中接入点104继而经由网络102而被耦接至认证服务器(as)100。在本文中可将用户装置称为“用户设备”(ue)。网络102例如在各种可能性中可为蜂窝服务提供方的核心网、电信网络(诸如公共交换电话网(pstn))、和/或互联网。56.as100可包括经由与接入点104的网络来实现通信的硬件。as100可被配置为认证ue106和接入点104之间的通信会话，因此促进ue106和网络102之间的通信。57.as100和ue106可被配置为通过传输介质使用各种无线电接入技术(rat)中的任一种无线电接入技术进行通信，该无线电接入技术(rat)也被称为无线通信技术或电信标准，诸如gsm、umts(wcdma、td‑scdma)、lte、高级lte(lte‑a)、3gpp2cdma2000(例如，1xrtt、1xev‑do、hrpd、ehrpd)等。58.此外，一个或多个接入点(诸如接入点104)可通信地耦接至ass100和ue106。这些可包括被配置为提供无线局域网(wlan)以支持蜂窝网络卸载和/或通过其他方式提供无线通信服务作为图1所示的无线通信系统一部分的接入点。此类wlan可被配置为根据各种通信标准的任何标准诸如各种ieee802.11(wi‑fi)标准进行操作。59.需注意，ue106能够使用多个无线通信标准进行通信。例如，ue106可被配置为使用gsm、umts、cdma2000、wimax、lte、lte‑a、wlan、蓝牙、一个或多个全球导航卫星系统(gnss，例如gps或glonass)、一个和/或多个移动电视广播标准(例如，atsc‑m/h或dvb‑h)等中的两者或更多者进行通信。无线通信标准的其他组合(包括多于两个无线通信标准)也是可能的。60.图1中所示的网络102、认证服务器100、接入点104和/或ue106中的任一者或全部可被配置为实现或支持本文所述的部分或全部方法的具体实施。61.在一些实施方案中，如下文进一步所述的，ue106可被配置为执行用于使用从由同一载体网络操作的服务器接收的认证信息来执行wi‑fi认证以用于接入载体网络wi‑fi接入点的方法。62.图2‑认证服务器/接入点框图63.图2示出了接入点(ap)104的示例性框图。需注意，图2的ap的框图仅为可能的系统的一个示例。如图所示，ap可包括可执行针对ap的程序指令的处理器204。一个或多个处理器204也可(直接或间接)耦接至存储器管理单元(mmu)240或其他电路或装置，该存储器管理单元可被配置为从一个或多个处理器204接收地址并将那些地址转换为存储器(例如，存储器260和只读存储器(rom)250)中的位置。64.ap可包括至少一个网络端口270。该网络端口270可被配置为耦接至有线网络，并提供有权访问互联网的多个装置，诸如ue106。例如，网络端口270(或附加网络端口)可被配置为耦接至局域网诸如家庭网络或企业网络。例如，端口270可为以太网端口。该局域网可提供至附加网络诸如互联网的连接。65.ap可包括可被配置为作为无线收发器进行操作并且可被进一步配置为经由无线通信电路230来与ue106进行通信的至少一条天线234。该一个或多个天线234经由通信链232来与无线通信电路230进行通信。该通信链232可包括一个或多个接收链、一个或多个发射链、或两者。无线通信电路230可被配置为经由wi‑fi或wlan(例如802.11)进行通信。66.ap可被配置为充当接入点，以向ap附近的无线站提供基础设施模式802.11网络。此外或替代地，ap可被配置为充当对等站，以与附近的无线站执行对等通信。在一些实施方案中，如下文进一步所述的，ap可被配置为执行和/或支持执行供无线装置执行wi‑fi认证以接入载体网络wi‑fi接入点的方法。67.可类似于接入点104来配置认证服务器(as)100。然而，在一些实施方案中，as可不配置有无线通信电路230、通信链232、或天线234。换句话讲，as可直接通过其网络端口270与网络102进行通信。涉及具有无线通信能力的认证服务器的其他实施方案也是可能的。68.图3‑ue装置框图69.图3示出了用户设备(ue)装置、移动装置或移动站、和/或无线装置或无线站的示例性简化框图，在这里可将其简称为ue106。如图所示，ue106可包括片上系统(soc)300，该soc可包括用于各种目的的部分。该soc300可耦接至ue106的各种其他电路。例如，ue106可包括各种类型的存储器(例如，包括nand闪存310)、连接器接口(i/f)(或坞站)320(例如，用于耦接至计算机系统、坞站、充电站等)、显示器360、蜂窝通信电路330(诸如用于lte、gsm等)，并且短程到中程无线通信电路329(例如，蓝牙tm和wlan电路)。ue106还可包括结合sim(用户身份模块)功能的一个或多个智+能卡，诸如一个或多个uicc(一个或多个通用集成电路卡)345。蜂窝通信电路330可耦接至一个或多个天线，诸如如图所示的天线335和336。短程到中程无线通信电路329也可耦接至一个或多个天线，诸如如图所示的天线337和338。作为另外一种选择，除了或替代耦接至天线337和338，短程到中程无线通信电路329可耦接至天线335和336。该短程到中程无线通信电路329可包括用于以诸如多入多出(mimo)配置来接收和/或发射多个空间流的多个接收链和/或多个发射链。70.如图所示，soc300可包括显示电路304和一个或多个处理器302，该显示电路可执行图形处理并向显示器360提供显示信号，该处理器可执行用于ue106的程序指令。一个或多个处理器302还可耦接至存储器管理单元(mmu)340和/或其他电路或装置(诸如显示电路304、蜂窝通信电路330、短程无线通信电路329、连接器接口(i/f)320、和/或显示器360)，该mmu可被配置为从一个或多个处理器302接收地址并将那些地址转换成存储器(例如存储器306、只读存储器(rom)350、nand闪存存储器310)中的位置。mmu340可被配置为执行存储器保护和页表转换或设置。在一些实施方案中，mmu340可被包括作为一个或多个处理器302的一部分。71.如本文所述，ue106可包括用于实施本文所述的特征的硬件部件和软件部件，例如包括使用国际移动用户识别码(imsi)来执行wi‑fi认证，以用于接入载体网络wi‑fi接入点。例如通过执行被存储在存储器介质(例如，非暂态计算机可读存储器介质)上的程序指令，ue106的处理器302可被配置为实施本文所述的特征的一部分或全部。另选地(或除此之外)，处理器302可被配置作为可编程硬件元件，诸如fpga(现场可编程门阵列)或者作为asic(专用集成电路)。另选地(或除此之外)，结合其他部件300,304,306,310,320,330,335,340,345,350,360中的一个或多个部件，ue106的处理器302可被配置为实施本文所述的特征部的部分或全部。72.此外，如本文所述，处理器302可包括一个或多个处理元件。因此，处理器302可包括被配置为执行处理器302的功能的一个或多个集成电路(ic)。此外，每个集成电路可包括被配置为执行处理器302的功能的电路(例如，第一电路、第二电路等)。73.此外，如本文所述，蜂窝通信电路330和短程/中程无线通信电路329可各自包括一个或多个处理元件。换句话讲，一个或多个处理元件可被包括在蜂窝通信电路330中，并且一个或多个处理元件可被包括在短程/中程无线通信电路329中。因此，蜂窝通信电路330和短程/中程无线通信电路329中的每一者可包括被配置为分别执行蜂窝通信电路330和短程/中程无线通信电路329的功能的一个或多个集成电路(ic)。此外，每个集成电路可包括被配置为执行蜂窝通信电路330和短程/中程无线通信电路329的功能的电路(例如，第一电路、第二电路等)。74.图4‑用于wi‑fi呼叫的无线通信系统75.图4示出了根据一些实施方案的可实现wi‑fi呼叫的示例性无线通信系统。如图所示，移动装置106可经由蜂窝基站102来与蜂窝网络进行通信。蜂窝基站102可与服务网关(sgw)进行通信。sgw负责与相邻基站进行切换。sgw耦接至分组数据网络(pdn)网关或pgw。该pgw操作以在蜂窝和wi‑fi网络之间进行接口连接。该sgw和pgw一起被包括在演进分组核心(epc)内。76.如图所示，移动装置106也可与接入点(ap)104进行通信，在本实施方案中，该接入点可为呈现wi‑fi网络的wifi接入点。ap可被配置为通过eapol来与ue交换eap消息。wi‑fi接入点104可通过网络诸如互联网而被耦接至演进分组数据网关(epdg)。该epdg用于4g移动核心网络(被称为上文提到的演进分组核心(epc)以及其他移动网络诸如5g网络)的网络功能中。该epdg可充当可使用非安全接入的epc网络和非3gpp网络诸如wi‑fi和毫微微蜂窝接入网络之间的接口。在一些实施方案中，该epdg可更一般地为任何类型的分组数据网关(pdg)。77.在一些实施方案中，ap104和epdg可进一步经由互联网与aaa服务器100通信地耦接。ap104可被配置为通过radius/diameter协议来与aaa服务器交换eap消息。在一些实施方案中，该epdg可被配置为与aaa服务器100(例如，通过因特网)进行通信，以促进ue和aaa服务器100之间的认证过程(例如，在wi‑fi呼叫的情况下)。在其他实施方案中，可并置ap104、aaa服务器100和/或epdg的任意组合，使得该相应的经并置的部件可被配置为直接进行通信。78.该pgw可耦接至ims(ip多媒体子系统)服务器。该ims服务器可包括具有处理器和存储器的执行如本文所述的各种功能的计算机系统。该ims服务器可实现ims服务层。ims服务器还可实现代理呼叫会话控制功能(p‑cscf)。该p‑cscf可充当至ims域的进入点，并且可充当用于移动装置的外出代理服务器。该移动装置可在执行ims登记和发起sip会话之前附接到p‑cscf。该p‑cscf可位于ims操作者的家庭域中，或者可位于移动装置当前漫游的访问域中。79.该ims服务器可耦接至其他网络诸如公共交换电话网(pstn)或其他类型的通信网络，例如以用于和其他通信装置进行通信，诸如标准的pots电话(图示)、另一移动装置等。80.客户端接入认证81.在ue的用户希望连接至wi‑fi热点(wi‑fi接入点)时，通常需要用户认证其身份，以例如确定该ue是否是wi‑fi网络的经认证的ue。连同802.1x一起使用eap‑aka(可扩展的认证协议‑认证和密钥协议)和eap‑sim(可扩展的认证协议‑用户身份模块)协议，以认证客户端对载体wi‑fi热点的接入。这些协议还与ikev2/ipsec隧道技术一起使用，以提供对运营商的内部网络的接入，以实现特征诸如wi‑fi呼叫。82.eap‑aka和eap‑sim两者使用国际移动用户识别码(imsi)作为认证交换过程中的持久身份。该imsi是可用于跟踪装置移动的唯一标识符。保护imsi免受不信任的暴露的影响对于保护用户隐私而言可能是重要的。83.eap‑sim和eap‑aka两者提供了在除第一次认证交换之外的所有认证交换上使用“匿名”来隐藏身份。在针对eap‑sim的rfc(请求注释)418612.2节以及针对eap‑aka的rfc418712.1节中描述了这种操作。服务器可为客户端生成匿名，使其与imsi相关联，并安全地传输用于客户端的下一个匿名，以在其下一次认证尝试中使用。该客户端可记住该匿名，并且从那时开始，该客户端可继续使用该匿名而不是imsi。作为结果，在第一次交换之后无源嗅探到无线流量的任何装置都不会看到imsi。令人遗憾的是，以这种方式使用匿名可能不会针对主动攻击进行保护。84.为了提供针对主动攻击的缓解，引入用于实现保守对等模式的选项。在rfc4187的4.1.6节和rfc4186的4.2.6节中描述了保守对等模式。保守eap对等实施匿名的可配置寿命，这意味着其不会响应于服务器对持久id的请求来呈现imsi，直到匿名的寿命到期。85.在一些当前实施方式中，一些情况导致eap客户端以明文发送其持久身份。这些情况可包括例如在eap客户端没有匿名或快速重新认证身份时，或在eap认证服务器未识别由eap客户端所呈现的匿名并请求持久身份时。86.因为该持久身份可始终不变，所以揭示其可帮助收集有关身份的信息和用户的位置。重要的是提供一种确保eap交换始终不会向被动或主动攻击者揭示imsi的身份隐私支持机制。87.对imsi进行加密88.在一些实施方案中，可能有利的是消除eap客户端以明文发送持久身份的需要。术语“以明文”在这里是指没有出于安全目的的加密或扰码机制的传输。在可用时，该客户端可使用匿名或快速重新认证身份，并可在由服务器进行要求时，在其他情况下提供持久身份的保密性。89.本文描述的实施方案涉及用于在认证交换中为imsi传输提供身份隐私支持机制的系统、装置和方法。90.在一些实施方案中，可使用公钥加密来实现对持久身份的保密。无线装置可被配置有认证服务器的公钥，使得其能够在向服务器发送其之前对持久身份进行加密。载体的家庭环境中的认证服务器可被配置有对应的私钥。91.在服务器接收经加密的持久身份时，其可能能够使用私钥对其进行解密。在一些实施方案中，如果载体部署由多个认证服务器构成，则可假设这些节点中的每个节点共享相同的密钥对。此外，该无线装置可提供密钥标识符，以帮助认证服务器定位私钥，以对持久身份进行解密。例如，可为该无线装置提供服务器证书的证书序列号作为密钥标识符，以向认证服务器发送。92.在一些实施方案中，认证服务器未能对imsi进行解密，该服务器可被配置为发送具有at_notification代码“generalfailure”(16384)的eap‑请求/aka通知分组，以终止eap交换。这可能是希望的，以例如向eap客户端指示服务器不能对imsi进行解密，因此eap客户端可采取适当的措施(如下文进一步详细所述的)，以更新其公钥。例如，可在rfc4187，4.1.7节中找到描述这个过程的更多的细节。93.可在eap方法层采用对持久身份进行加密。在这种情况下，认证服务器可能必须要依赖于在eap‑aka或eap‑sim层处所支持的客户端身份确定。例如，对于eap‑aka而言，认证服务器可使用eap‑请求/aka‑身份消息来获得客户端的身份。eap‑响应/aka‑身份可揭示nai领域，以使得能够向正确的认证服务器路由该分组。94.用于配置公钥的机制95.在上述实施方案中，可要求ue初始配置有载体捆绑的公钥。此外，载体可选择使用密钥标识符。ue可继续使用在捆绑中配置的公钥，直到其从载体托管的服务器接收经更新的公钥。在一些实施方案中，ue可使用https(超文本传输协议安全)针对载体托管的服务器进行周期性检查，以检查公钥是否已被更新。在一些实施方案中，用于载体托管的服务器的url(统一资源定位符)也可被包括在载体捆绑中。96.图5‑经加密的持久身份消息的示例性构成97.图5示出了可由ue和认证服务器用于对imsi或其他持久身份进行加密的示例性编码格式。该编码格式可由认证服务器用于在加密和未经加密的持久身份之间进行区分。98.在图5中所示的消息中的第一ascii(美国信息交换用标准代码)字符(如图所示的“\0”)可采取以下任意值，其具有以下含义：[0099]“\0”(asciinull字符)＝>经加密的imsi[0100]“0”(ascii值30十六进制)＝>eap‑akaimsi[0101]“1”(ascii值31十六进制)＝>eap‑simimsi[0102]“6”(ascii值36十六进制)＝>eap‑aka’imsi[0103]如本领域的技术人员所知的，eap‑aka’协议可在很多方面类似于eap‑aka，但具有更好的安全性。在一些实施方案中，可对经加密的持久身份进行编码。仅在第一字符为“\0”时，该字段才可跟随在第一ascii字符之后。该数据可表示base64经编码的经加密的持久身份。利用2048比特的rsa(rivest、shamir和adelman)密钥大小和与base64编码兼容的rfc4648，可由345个ascii字符来表示该数据。[0104]在一些实施方案中，可对密钥标识符属性值对(avp)进行编码。该密钥标识符avp可表示帮助服务器定位私钥以对持久身份进行解密的数据。这个字段可为任选的，并且如果存在，则其可与经加密的持久身份利用“,”(ascii逗号)字符分开。可在具有“name＝value”格式以空字符结束的ascii串中呈现密钥标识符avp。例如，如果客户端希望向认证服务器发送证书序列号，则可将其格式化为“certificateserialnumber＝12345”。[0105]在匿名或快速重新认证身份都没有时，eap客户端可在eap‑响应/身份分组中使用利用适当的nai(网络接入标识符)领域修饰的匿名用户名。在一些实施方案中，匿名用户名的格式可为anonymous@<nai‑realm>。[0106]在从服务器接收eap‑请求/aka‑身份分组时，客户端可发送以nulascii字符(“\0”)作为前缀字符的经加密的持久身份。eap客户端可形成包含持久用户名的缓冲区并可使用认证服务器的rsa公钥来对该缓冲区进行加密。该eap客户端可使用rsa‑oaep(rsa‑优化的非对称加密补丁)加密方案来对持久身份进行加密，这样可保证经加密的用户名在产生其的每一次都是唯一的，并可避免为用户生成另一个持久且可跟踪的标识符。这样可例如避免在客户端之间转换身份的需要。[0107]在一些实施方案中，可使用具有sha‑256(安全散列算法‑256)散列的rsa‑oaep加密方案。如rfc3447的7.1节中所述的，利用rsa‑oaep加密方案，从密文获得关于消息的完整或部分信息在计算上讲是不可行的，并且而生成有效密文在计算上讲是不可行的，而无需知道对应的消息。因此，针对明文意识性加密方案诸如rsa‑oaep而言，选择密文攻击可能无效。2048比特的rsa密钥大小和sha‑256散列函数可支持对长度最高至190个字节的明文数据进行加密。[0108]在一些实施方案中，可能希望明确地传送eap客户端正在用于进行加密的公钥的标识符。在这些实施方案中，客户端可连同经加密的持久身份一起填充密钥标识符数据。该eap客户端可被配置为具有可打印字符串格式的属性名称和值，使得其可向认证服务器发送该数据。[0109]在一些实施方案中，可使用2048比特的rsa密钥大小，其中加密缓冲区可为256个字节。由于eap‑aka和eap‑sim不支持分割，所以使用2048比特的密钥大小可能有利于保持受限的分组大小，使得不超过下方更低层的最大传输单元(mtu)。该客户端然后可使用经加密的字节的base64编码来将缓冲区转换成可打印字符。可遵照rfc4648的4节来进行base64编码。对经加密的数据进行base64编码可提供345个ascii字符的字符串。[0110]在一些实施方案中，认证服务器可接收匿名身份、快速重新认证身份、明文持久身份、或eap‑响应/aka‑身份分组中的at_identity属性中的经加密的持久身份。如果服务器支持匿名或快速重新认证身份，则其可在其匿名/快速重新认证表中查找所接收的用户名。如果找到匹配，可继续使用该身份进行认证。如果未找到匹配，可能需要在经加密的用户名和未经加密的用户名之间进行区分。为了在经加密的imsi和未经加密的imsi之间进行区分，服务器可使用基于rfc4187的4.1.16节和rfc4186的4.2.1.6节的机制。该持久用户名可为用于eap‑aka的<“0”|imsi>格式，其中字符“|”表示级联，并且对于eap‑sim，其可为<“1”|imsi>格式。如果服务器发现第一个字符为“0”或“1”，在其可知道imsi为明文，并可继续读取imsi的其余数位并继续进行认证。但如果第一个字符为“\0”，则服务器可知道客户端已发送经加密的数据。该服务器可首先读取“\0”ascii字符后面的345个ascii字符的字符串。345个ascii字符的该字符串可为base64编码的经加密的持久身份。该第一服务器可执行base64解码，以获得经加密的数据。如果在经加密的持久身份数据之后发现“,”字符，则服务器可使用上文所述的编码格式来读取密钥标识符值，并可使用密钥标识符来定位私钥。该服务器可使用适当的私钥来对数据进行rsa解密，以获得表示16个字符的ascii字符串的明文数据。imsi的格式可遵循与rfc4187的4.1.1.6节和rfc4186的4.2.1.6节中指定的相同的格式规则。[0111]图6‑eap‑aka认证过程[0112]图6是示出了eap‑aka认证的示例性消息流。图6是针对eap‑aka认证的情况示出的，但可被本领域的技术人员理解为如何可针对eap‑sim认证来调整图6的方法。[0113]在602处，在ue106和wlan接入点104之间生成802.11连接(关联)。在一些示例性实施方案中，ue可由eap客户端使用。在一些实施方案中，该连接可由各种短程无线通信技术的任一种技短程无线通信技术术诸如wi‑fi来生成。例如，携带移动装置(或ue)的用户可能进入由wi‑fi热点服务的区域。移动装置可检测到由wi‑fi热点传输的信标，并可尝试自动连接至wi‑fi热点。[0114]在604处，在602中生成连接之后，从接入点向ue传输eap请求/身份消息。eap请求/身份消息可用于发起ue的身份认证过程。[0115]在606处，eap‑响应/身份分组可由ue经由wlan接入点而被传输至3gppaaa服务器100。更具体地，ue可通过无线方式向wi‑fi接入点传输eap响应/身份分组，并且继而wi‑fi接入点向aaa服务器提供eap响应/身份分组。eap响应/身份分组可包括以“0”或“1”开始的匿名用户名，以帮助网络向分别支持eap‑aka或eap‑sim的适当aaa服务器路由eap认证。如果希望使用除“0”或“1”之外的前缀值，可为此配置eap客户端。例如，如果网络需要前缀为“999”，则可为此配置eap客户端，使得其可发送具有身份“999”|<anonymous>@<nairealm>的eap‑响应/身份分组。对该前缀值的使用可限于eap‑响应/身份分组。[0116]在608处，eap请求/aka身份分组可由3gppaaa服务器经由wlan接入点传输至ue。eap请求/aka身份分组可包括“at_any_id_req”属性。at_any_id_req属性可从ue请求经加密的imsi。[0117]在610处，包含经加密的身份(例如，经加密的imsi或另一种经加密的身份)的eap响应/aka身份分组可由ue经由wlan接入点传输至3gppaaa服务器。在图6中所示的示例中，eap响应/aka身份分组可包括at_identity属性，其中以at_identity＝“\0”|<经加密的身份>的形式来传输经加密的imsi。[0118]在612处，包括at_rand、at_autn和at_mac属性的eap请求/aka质询分组可由3gppaaa服务器经由wlan接入点传输至ue。这些属性是标准eap‑aka协议和eap‑sim协议的一部分并且可在例如rfc4186和rfc4187中找到其描述。[0119]在614处，包括at_res和at_mac属性的eap响应/aka质询分组可由ue经由wlan接入点传输至3gppaaa服务器。这些属性是标准eap‑aka协议和eap‑sim协议的一部分并且可在例如rfc4186和rfc4187中找到其描述。[0120]在616处，可由3gppaaa服务器向wlan接入点传输用于指示认证过程成功的eap成功消息，由此ue将变成经授权的。[0121]图7‑利用匿名进行eap‑aka认证过程[0122]图7为示出了在客户端具有匿名并且服务器请求持久身份时的eap‑aka认证的示例性消息流。该客户端可能先前已在前一次认证过程期间从认证服务器接收到匿名。图7是针对eap‑aka认证的情况示出的，但可被本领域的技术人员理解为如何可针对eap‑sim认证来调整图7的方法。[0123]在702处，在ue106和wlan接入点104之间生成802.11连接。在一些实施方案中，ue可由eap客户端使用。在一些实施方案中，该连接可通过各种短程无线通信技术的任一种短程无线通信技术诸如wi‑fi来生成。[0124]在704处，从接入点向ue传输eap请求身份消息。该eap请求身份消息可用于发起ue的身份认证过程。[0125]在706处，eap响应/身份分组从ue经由接入点传输至3gppaaa服务器100。eap响应/身份分组可包含匿名并可被配置为读取<pseudonym>@<nairealm>。[0126]在708处，eap请求/aka身份分组可由3gppaaa服务器经由wlan接入点传输至ue。eap请求/aka身份分组可包括“at_any_id_req”属性。at_any_id_req属性可从ue请求经加密的imsi。[0127]在710处，包含匿名的eap响应/aka身份分组可由ue经由wlan接入点传输至3gppaaa服务器。在图7中所示的示例中，eap响应/aka身份分组可包括at_identity属性，其中以“at_identity＝<pseudonym>@<nairealm>”的形式来传输匿名。[0128]在712处，eap请求/aka身份分组可由3gppaaa服务器经由wlan接入点传输至ue。eap请求/aka身份分组可包括“at_permanent_id_req”属性。at_permanent_id_req属性可包括对来自ue的经加密的持久id的请求。在一些实施方案中，对经加密的持久id的请求可对匿名到期进行响应。在其他实施方案中，对经加密的持久id的请求可对3gppaaa服务器未识别在步骤706处传输的匿名进行响应。[0129]在714处，包含经加密的身份(例如，以及经加密的imsi或另一种经加密的身份)的eap响应/aka身份分组可由ue经由wlan接入点传输至3gppaaa服务器。714处的响应可为eap响应/aka身份分组，其可包括at_identity属性，其中以“at_identity＝“\0”|<经加密的身份>”的形式来传输经加密的imsi。[0130]在716处，包括at_rand、at_autn和at_mac属性的eap请求/aka质询分组可由3gppaaa服务器经由wlan接入点传输至ue。这些属性是标准eap‑aka协议和eap‑sim协议的一部分并且可在例如rfc4186和rfc4187中找到其描述。[0131]在718处，包括at_res和at_mac属性的eap响应/aka质询分组可由ue经由wlan接入点传输至3gppaaa服务器。这些属性是标准eap‑aka协议和eap‑sim协议的一部分并且可在例如rfc4186和rfc4187中找到其描述。[0132]在720处，可由3gppaaa服务器向wlan接入点传输用于指示认证过程成功的eap成功消息，由此ue将变成被授权。[0133]使用ikev2协议的wi‑fi呼叫[0134]在一些实施方案中，由ue进行的wi‑fi呼叫使用ikev2协议来与演进分组数据网关(epdg)建立ipsec隧道。在这些实施方案中，ue可被称为ikev2客户端。在一些实施方案中，ikev2交换使用国际移动用户身份(imsi)作为认证交换中的ike标识符。尽管可在加密隧道内发送ike标识符，但该隧道可能未经认证。在这种情况下，可与攻击者协商ikev2密钥。一旦计算出密钥，客户端和攻击者两者可访问密钥，以对ikev2会话进行解密。如果客户端接下来使用经加密的ikev2隧道来与攻击者共享imsi，则攻击者可利用其先前计算的密钥来容易地对该分组进行解密，并从ikeauth分组提取imsi。这将imsi暴露于主动攻击者。[0135]在当前的实施方式中，该ikev2客户端可在认证之前发送imsi作为ike标识符。因为imsi为持久身份并且始终不变，所以在认证之前揭示它可使得被动和/或主动攻击者能够收集关于用户身份和位置的信息。下文描述的实施方案提供了一种确保ikev2交换始终不会向被动或主动攻击者揭示imsi的身份隐私支持机制。[0136]图8‑用于wi‑fi呼叫的经加密的imsi[0137]图8是示出了wi‑fi呼叫情况下使用经加密的imsi的身份保护的示例性消息流。在一些实施方案中，用户可能正在进行通常通过蜂窝通信网络完成的电话呼叫。在这种情况下，可改善用户体验(即，因为蜂窝信号差或为了保留蜂窝数据)，以转而将语音信号转换成通过wi‑fi网络传输的分组。传入语音信号也可作为ip分组被接收。通常将通过将语音数据转换成数字分组来传输语音呼叫的过程称为voip(互联网协议语音)。经由wi‑fi接入点执行voip的情况通常被称为wi‑fi呼叫。图8是针对使用eap‑aka协议的wi‑fi呼叫的情况示出的，但可被本领域的技术人员理解为如何可针对eap‑sim协议来调整图8的方法。[0138]对于wi‑fi呼叫的情况，ue可能已在联网栈的第2层与wlan接入点建立了安全连接。在这种情况下，在发起wi‑fi呼叫时，可能必须要在联网栈的第3层处在ue和演进分组数据网关(epdg)之间执行认证过程。[0139]在802处，可由ue106向epdg传输ike_sa_init分组。可在上文中在图4的描述中找到ue和epdg之间通信系统的详细描述。在一些实施方案中，ue可由eap客户端使用。ike_sa_init分组可用于请求ue和epdg之间的经加密的隧道。[0140]在804处，可由epdg向ue传输ike_sa_init分组。向ue传输ike_sa_init分组可用于建立ue和epdg之间的经加密的隧道。ike_sa_init分组是标准eap‑aka协议和eap‑sim协议的一个部分并且可在例如rfc7296中找到详细描述。可以理解的是，可从步骤806‑820由加密隧道对ue和epdg之间的所有后续通信进行加密。[0141]在806处，可由ue向epdg利用以“0”或“1”开始的匿名用户名来传输ike_authidi分组。如果希望使用除“0”或“1”之外的前缀值，则这可为此利用eap客户端进行配置。例如，如果网络需要前缀为“999”，则这可利用eap客户端进行配置。[0142]在808处，可由epdg向ue传输ike_autheap请求/身份分组。该eap请求身份消息可用于发起ue的身份认证过程。[0143]在810处，可由ue经由epdg向3gppaaa服务器100以“0”或“1”开始的匿名用户名传输ike_autheap响应/身份分组，以帮助网络向分别支持eap‑aka或eap‑sim的适当aaa服务器路由eap认证。如果希望使用除“0”或“1”之外的前缀值，可为此配置eap客户端。例如，如果网络需要前缀为“999”，则可为此配置eap客户端，使得其可发送具有身份“999”|<anonymous>@<nairealm>的eap‑响应/身份分组。对该前缀值的使用可限于eap‑响应/身份分组。[0144]在812处，eap请求/aka身份分组可由3gppaaa服务器经由epdg传输至ue。eap请求/aka身份分组可包括“at_any_id_req”属性。eap请求/aka消息可用于发起ue的身份认证过程。at_any_id_req属性可从ue请求经加密的imsi。[0145]在814处，包含经加密的身份(例如，经加密的imsi或另一种经加密的身份)的ike_autheap响应/aka身份分组可由ue经由epdg传输至3gppaaa服务器。在图8中所示的示例中，eap响应/aka身份分组可包括at_identity属性，其中以at_identity＝“\0”|<经加密的身份>的形式来传输经加密的imsi。[0146]在816处，包括at_rand,at_autn和at_mac属性的eap请求/aka质询分组可由3gppaaa服务器经由epdg传输至ue。这些属性是标准eap‑aka协议和eap‑sim协议的部分并且可在例如rfc4186和rfc4187中找到其描述。[0147]在818处，包括at_res和at_mac属性的ike_autheap响应/aka质询分组可由ue经由epdg传输至3gppaaa服务器。这些属性是标准eap‑aka协议和eap‑sim协议的部分并且可在例如rfc4186和rfc4187中找到其描述。[0148]在820处，可由3gppaaa服务器向epdg发送用于指示认证过程成功的eap成功消息，接着由epdg向ue发送ike_autheap成功消息。[0149]在822处，可由ue向epdg发送ike_auth消息，并且在824处，可由epdg向ue发送ike_auth消息，由此将在ue和epdg之间建立iwlan/ipsec隧道。[0150]图9‑用于隐私保护的wi‑fi呼叫ikev2方案[0151]图9为示出了在使用互联网密钥交换版本2(ikev2)协议的wi‑fi呼叫情况下不使用经加密的imsi的身份保护的消息流图。在一些实施方案中，可能希望在认证过程的每个步骤中在不涉及3gppaaa服务器的情况下发起wi‑fi呼叫时，完成对ue的身份保护并且实现带外机制，以管理用于imsi的加密和解密的公共密钥。例如，在图8的流程图中，epdg很大程度上充当通过实体，因为其主要在ue和3gppaaa服务器之间转发消息。如果可直接在ue和epdg之间执行一些认证步骤(例如，无需直接涉及aaa服务器)，则认证过程可被简化并且部署起来更简单。[0152]在一些实施方案中，该imsi可仅在认证ikev2服务器之后在经加密的隧道内被提供。[0153]在902处，可由ue106(例如，该ue可为ikev2客户端)向epdg传输ike_sa_init分组。可在上文中在图4的描述中找到对ue和epdg之间的通信系统的详细描述。在一些实施方案中，ue可由eap客户端使用。ike_sa_init分组可用于请求ue和epdg之间的经加密的隧道。[0154]在904处，可由epdg向ue传输ike_sa_init分组。向ue传输ike_sa_init分组可用于建立ue和epdg之间的经加密的连接。ike_sa_init分组可为标准eap‑aka协议和eap‑sim协议的部分，可在例如rfc7296中找到详细描述。可理解的是，可由经加密的连接来对来自步骤906‑920的在ue和epdg之间的所有后续通信进行加密。[0155]在906处，可由ue向epdg利用匿名用户名来传输ike_authidi分组。例如，ike_authidi分组可被结构化为“<anonymous>@<nairealm>”。该匿名用户名可为载体可配置的，使得每个匿名用户名对应于特定无线载体。在一些实施方案中，该ue可被预先配置以各自对应于特定的无线载体的一个或多个匿名id。例如，该ue可被预先配置以被存储在ue的载体设置文件中的载体捆绑，该载体设置文件存储匿名id和相关联的无线载体。在这些实施方案中，该匿名用户名可用于通知epdgue正在尝试使用哪个无线载体来建立wi‑fi呼叫，使得epdg知道在认证过程期间联系哪个aaa服务器。换言之，该匿名用户名可充当用于通知epdg要向ue传输哪个服务器证书的服务器标识符。[0156]在一些实施方案中，过大的证书尺寸可导致不希望的ip分割。在这些实施方案中，本文所述的方法可被配置为以如ikev2执行大消息分割那样的方式支持rfc7383。在这些实施方案中，可利用一系列更小的消息来替代大消息(例如，大服务器证书)。[0157]在一些实施方案中，该ike_authidi分组可任选地包括证书请求消息(certreq)。该certreq可通知epdg，根据以下步骤，该ue被配置为接受服务器证书。在一些实施方案中，该ue可被配置为逐个服务器地发送certreq(例如，ue可仅在与需要发送certreq的服务器建立wi‑fi呼叫时发送certreq)。在一些实施方案中，如果确定ue未被配置为接受服务器证书，则epdg可采用另选的认证方法。例如，该epdg可回退到标准认证方法，或者该epdg可采用使用经加密的imsi的认证方法，如本公开别处详细所述的。[0158]在一些实施方案中，在908处，该epdg可通过向ue发送ike_auth响应eap请求/aka身份分组来对所接收的ike_authidi分组作出响应。该eap请求/aka消息可用于发起ue的身份认证过程。该eap请求/aka身份分组可包含认证有效载荷，该认证有效载荷包括服务器证书。该服务器证书可为唯一地识别将在wi‑fi呼叫中涉及的3gppaaa服务器的唯一标识符(例如，符号或数字串)。在一些实施方案中，该服务器证书可由证书机构(ca)发出。在一些实施方案中，该ue可被预先配置(例如，在载体设置文件中)以分别与一个或多个aaa服务器对应的一个或多个服务器证书。例如，该ue可被预先配置以被存储在ue的载体设置文件中的载体捆绑，该载体设置文件存储服务器证书和相关联的aaa服务器。在各个实施方案中，包含服务器证书的载体捆绑可为与用于为ue配置与一个或多个无线载体相关联的匿名id的相同载体捆绑或不同载体捆绑。[0159]在910处，ue可将所接收的服务器证书和与ue通过其尝试建立wi‑fi呼叫的服务器相关联的预配置服务器证书进行比较。如果所接收的服务器证书匹配ue的载体设置中的服务器证书，则ue可向epdg传输包含imsi的ike_autheap响应/身份分组，其又可(例如，使用diameter协议)被转发到3gppaaa服务器作为直径‑eap‑请求分组，该直径‑eap‑请求分组以用户名作为身份。在图9中所示的示例中，该eap响应/aka身份分组可以<imsi>@nairealm的形式来传送imsi(或其他标识符)。因为ue已在其发送imsi之前从epdg接收到有效的服务器证书，所以ue可确认端点为有效的epdg并且不是主动攻击者。[0160]在912处，包括at_rand属性，at_autn属性、和at_mac属性的eap请求/aka质询分组(例如，直径‑eap‑应答)可由3gppaaa服务器经由epdg传输至ue。这些属性为标准eap‑aka协议和eap‑sim协议的一部分，可在例如rfc4186和rfc4187中找到其描述。[0161]在914处，包括at_res属性和at_mac属性的ike_autheap响应/aka质询分组可由ue传输至epdg，其可作为直径‑eap‑请求分组而被转发到3gppaaa服务器。这些属性为标准eap‑aka协议和eap‑sim协议的一部分，可在例如rfc4186和rfc4187中找到其描述。[0162]在916处，可由3gppaaa服务器向epdg传输用于指示认证过程成功的eap成功消息作为直径‑eap‑应答，接着由epdg向ue传输ike_autheap成功消息。[0163]在918处，可由ue向epdg传输ike_auth消息，并且在920处，可由epdg向ue传输ike_auth消息，由此将在ue和epdg之间建立iwlan/ipsec隧道。[0164]以下编号的段落描述了本发明的附加实施方案。[0165]在一个实施方案中，描述了一种用于在用户设备装置(ue)和认证服务器之间执行认证过程的方法。该方法包括从分组数据网关(pdg)通过wlan接入点向ue传输第一服务器证书。该ue将第一服务器证书与在ue上存储的第二服务器证书进行比较，其中该第二服务器证书与认证服务器相关联。[0166]在本实施方案中，响应于第一服务器证书匹配第二服务器证书的确定，该ue经由wlan接入点来向pdg传送与ue相关联的国际移动用户身份(imsi)，以用于转发到认证服务器。[0167]在一个实施方案中，该ue向pdg发送服务器证书，其中该服务器证书与认证服务器相关联，并且其中响应于pdg接收到服务器证书而传输第一服务器证书。[0168]在一个实施方案中，该服务器证书包括指示ue被配置为接收第一服务器证书的证书请求。[0169]在一个实施方案中，该认证过程实现了使用互联网密钥交换版本2(ikev2)协议与远程一方进行wi‑fi呼叫。[0170]在一个实施方案中，该ue被配置为连接至wlan接入点，以通过所述wlan接入点向蜂窝分组数据网关传输分组化语音数据；[0171]在一个实施方案中，在ue连接至wlan接入点时执行认证过程。[0172]可以各种形式中的任一种形式来实现本公开的实施方案。例如，可将一些实施方案实现为计算机实现的方法、计算机可读存储器介质、或计算机系统。可使用一个或多个定制设计的硬件装置诸如asic来实现其他实施方案。可使用一个或多个可编程硬件元件诸如fpga来实现其他实施方案。[0173]在一些实施方案中，非暂态计算机可读存储器介质可被配置成使得其存储程序指令和/或数据，其中如果由计算机系统执行该程序指令，则使得计算机系统执行一种方法，例如本文所述的方法实施方案中的任一种方法实施方案，或本文所述的方法实施方案的任何组合，或本文所述的任何方法实施方案的任何子集、或此类子集的任何组合。[0174]在一些实施方案中，无线装置(或无线站)可被配置为包括处理器(或一组处理器)和存储器介质，其中存储器介质存储程序指令，其中该处理器被配置为从该存储器介质中读取程序指令并执行该程序指令，其中该程序指令为可执行的，以使得无线装置实现本文所述的各种方法实施方案中的任一种方法实施方案(或本文所述方法实施方案的任何组合，或本文所述的任何方法实施方案中的任何子集或此类子集的任何组合)。该装置可以各种形式中的任何形式来实现。[0175]尽管已相当详细地描述了上述实施方案，但是一旦完全理解上述公开，许多变型形式和修改形式对于本领域的技术人员而言将变得显而易见。本发明旨在使以下权利要求书被解释为涵盖所有此类变型形式和修改形式。当前第1页12当前第1页12