專利名稱:用于獨立網(wǎng)絡間的公共認證和授權的方法
技術領域:
本發(fā)明涉及用于在具有不同訪問技術的獨立網(wǎng)絡間進行公共認證和授權的方法。
背景技術:
高速分組數(shù)據(jù)服務的用戶可能包括雖然在連接時是靜止時,但是卻是便攜的(即,可從不同位置連接)用戶,以及在連接時是移動的用戶。某些訪問技術(例如,IEEE 802.11b)致力于在相對小的(城市內(nèi))覆蓋區(qū)域內(nèi)相對靜止但是便攜的無線用戶?;谶@些訪問技術的網(wǎng)絡或通信系統(tǒng)可被稱為無線局域網(wǎng)(WLAN)。其他無線技術,例如那些使用碼分多址(CDMA)技術的,通常是用于廣域覆蓋以及適用于高速(例如,在車輛或火車中)遠距離(城市間、跨國、跨海洋)移動的數(shù)據(jù)用戶的。
使用廣域覆蓋技術的系統(tǒng),例如通用分組無線業(yè)務(GPRS),cdma2000,或通用移動電信系統(tǒng)(UMTS),一般可被稱為2.5G或3G系統(tǒng)。無線2.5G和第三代(3G)通信系統(tǒng)當前正在引進技術,以便在頻譜上實現(xiàn)高效率的同時增加容量以及支持數(shù)據(jù)服務。這些努力已引起了例如3G-1x、1xEV-DO和1xEV-DV標準的發(fā)展。同樣地,UMTS標準已引進幾種高級技術或改進,作為高速下行分組接入(HSDPA)規(guī)范的一部分,以便適用于以高速通過遠距離的數(shù)據(jù)用戶。但是,2.5G/3G廣域無線網(wǎng)絡供應商當前實現(xiàn)的數(shù)據(jù)速率通常不如WLAN中實現(xiàn)的速率那么高。
因此,由于2.5G/3G系統(tǒng)(例如,GPRS、CDMA、UMTS)和WLAN(例如,實現(xiàn)IEEE 802.11b的系統(tǒng))具有互補的長處,用戶可能希望使用兩者。被使用兩個系統(tǒng)的要求影響的一個方面是認證和授權(AA),以便獲得對任一網(wǎng)絡的訪問權限。認證是網(wǎng)絡或系統(tǒng)驗證訪問的用戶或訂戶符合其聲稱的身份的過程。授權是是驗證一個特定訂戶具有有效帳戶,可為服務付費,和/或被允許使用一個特定服務的過程。但是,目前用戶對于每個被訪問的系統(tǒng)要求單獨的帳戶和授權證書。從而,網(wǎng)絡間的完全連續(xù)的用戶轉換是不可能的,因為用戶(或用戶的客戶端軟件)必須重復認證和獲取授權,以便獲得多個不同的網(wǎng)絡間的訪問權限。
發(fā)明內(nèi)容
提供具有不同訪問技術的獨立網(wǎng)絡之間的公共認證和授權(AA)的方法使得能夠實現(xiàn)網(wǎng)絡間的完全連續(xù)的用戶轉換。可接收來自一個嘗試訪問網(wǎng)絡之一的用戶的一個AA證書集合,且另一個網(wǎng)絡的訂戶數(shù)據(jù)庫可被用于驗證這個AA證書集合。可使用對于各網(wǎng)絡公共的通信協(xié)議。另外,用戶可采用可在多個通信協(xié)議層上使用的單個認證和授權(AA)證書集合。此外,通過在一個AA詢問和答復會話期間在一個數(shù)據(jù)鏈路層收集用戶的關鍵材料,一個用戶在兩個或多個網(wǎng)絡之間漫游時,可執(zhí)行一個單個認證和授權(AA)操作。當用戶在網(wǎng)絡間轉換時,收集到的材料可用于一個更高的網(wǎng)絡層處的一個AA詢問或用于另一網(wǎng)絡的一個AA詢問。
在另一個示例性實施方式中,用戶的AA證書集合可作為一個認證請求的一部分從一個被訪網(wǎng)絡轉發(fā)到一個獨立的代理AAA服務器,并且來自代理AAA服務器的認證請求可被傳遞到用戶的蜂窩服務提供商。用戶的蜂窩服務提供商可將用戶的AA證書集合作為一個認證請求的一部分直接轉發(fā)到用戶的私有本地網(wǎng)絡,或者可將所述請求代理到另一個代理AAA服務器,該代理AAA服務器接下來則將包含用戶的AA證書集合的請求傳遞到用戶的私有本地網(wǎng)絡。
從此處以下給出的詳細說明和附圖中將更充分地理解本發(fā)明的示例性實施方式,在附圖中相同的元素由相同的參考數(shù)字代表,這些附圖只是以說明方式給出的,因此不限于本發(fā)明的示例性實施方式,附圖中圖1說明了根據(jù)本發(fā)明的一個示例性實施方式的一個用戶和用戶的本地網(wǎng)絡之間的一個網(wǎng)絡配置;圖2是說明根據(jù)本發(fā)明的一個示例性實施方式的一個方法的一個流程圖;圖3是說明根據(jù)本發(fā)明的另一個示例性實施方式的一個方法的一個流程圖;以及圖4是說明了根據(jù)本發(fā)明的另一個示例性實施方式的一個用戶和用戶的本地網(wǎng)絡之間的一個網(wǎng)絡配置。
具體實施例方式
雖然本發(fā)明的原理是結合廣域蜂窩無線通信系統(tǒng)(例如2.5G/3G系統(tǒng)和無線局域網(wǎng)(WLAN)的公共認證和授權(AA))來說明的,并且將在此處示例性上下文中說明,但是應該注意此處顯示和說明的示例性實施方式只是為了說明,而絕不是為了限制。因此,對于那些本領域技術熟練者,在應用到其他傳輸系統(tǒng)時進行不同的修改將是顯而易見的,并且是被此處的講解所預期的。例如,示例性的實施方式可被配置為集成用于公共AA的任何兩個系統(tǒng),其中系統(tǒng)1和系統(tǒng)2具有不同的訪問網(wǎng)絡技術,即,系統(tǒng)1可為一個有線xDSL系統(tǒng)而系統(tǒng)2可為一個3G cdma2000系統(tǒng)。
如果用在此處,則基站、接入網(wǎng)絡、無線接入網(wǎng)絡(RAN)或無線網(wǎng)絡(RN)、系統(tǒng)設備或節(jié)點B等詞語都可以是同義的。每個詞語都可描述提供一個分組數(shù)據(jù)網(wǎng)絡(PDN),例如Internet,以及一個或多個移動臺之間的數(shù)據(jù)連接的設備。另外,移動臺、移動用戶、用戶、用戶設備(UE)、移動、遠程臺、移動訂戶和訂戶等詞,如果用在此處,均可被視為同義的,并且可描述一個無線通信網(wǎng)絡中的無線資源的一個遠程用戶或一個向用戶提供數(shù)據(jù)連接的設備。
本發(fā)明的示例性實施方式是針對提供獨立網(wǎng)絡間的公共認證和授權(AA)的方法。在一個示例性實施方式中,接收來自一個嘗試接入至少兩個網(wǎng)絡的用戶的一個AA證書集合,并且訪問由兩個網(wǎng)絡之一所擁有的一個訂戶數(shù)據(jù)庫來驗證AA證書集合。
另一個示例性實施方式使用兩個網(wǎng)絡公用的一個通信協(xié)議來認證和授權用戶的AA證書。還有一個實施方式是針對一個用戶訪問兩個或多個獨立網(wǎng)絡的方法,其中用戶采用可在多個通信協(xié)議層上使用的一個單個認證和授權(AA)證書集合來訪問任一網(wǎng)絡。另一個示例性實施方式是針對當一個用戶在至少兩個獨立和不同的訪問網(wǎng)絡之間漫游時用于執(zhí)行單個認證和授權(AA)操作的方法,其中在一個AA詢問期間在一個數(shù)據(jù)鏈路層收集用戶認證和關鍵材料,并且當用戶從一個接入網(wǎng)絡轉換到另一接入網(wǎng)絡時,收集到的關鍵材料被傳輸以用于一個更高網(wǎng)絡層處的一個AA詢問。
圖1說明了根據(jù)本發(fā)明的一個示例性實施方式的一個用戶和用戶本地網(wǎng)絡之間的一個網(wǎng)絡配置。參見圖1,一個用戶110通過一個鏈接115與一個無線網(wǎng)絡120通信,該無線網(wǎng)絡120為用戶110所處的一個特定地區(qū)提供服務。用戶110可發(fā)送一個認證請求消息以訪問用戶110的本地網(wǎng)絡。在圖1中,RN 120恰好是一個被訪問的接入提供商網(wǎng)絡130的一部分。
一個被訪問的認證、授權和帳戶服務器132(V-AAA服務器)是位于被訪問的接入提供商網(wǎng)絡130中的AAA服務器。被訪問的服務提供商通過與一個本地服務提供商建立一個服務協(xié)議來向一個用戶提供訪問服務。在圖1中,被訪問的訪問提供商網(wǎng)絡130可實現(xiàn)為一個被訪問的WLAN系統(tǒng)網(wǎng)絡。
V-AAA服務器132可實現(xiàn)為一個遠程認證撥號用戶服務(RADIUS)服務器,它根據(jù)RADIUS協(xié)議操作;但是,示例性實施方式不限于此,因為V-AAA服務器132可配置為根據(jù)其他協(xié)議操作,例如直徑協(xié)議(Diameter protocol)。這些協(xié)議旨在為諸如網(wǎng)絡訪問、IP移動等應用程序提供一個AAA框架。V-AAA 132可與一個諸如分組數(shù)據(jù)服務節(jié)點(PDSN)或網(wǎng)關GPRS支持節(jié)點(GGSN)的路由器135通信。
在移動互聯(lián)網(wǎng)協(xié)議中(移動IP或MIP),被訪問網(wǎng)絡中的一個路由器作為移動節(jié)點的一個外來移動代理。正如互聯(lián)網(wǎng)工程任務組(IETF)RFC 3344中指定的,一個外來代理(FA)可與另一類型的稱為本地代理(HA)的移動代理連接以支持一個連接到互聯(lián)網(wǎng)中不同于本地網(wǎng)絡的的位置的設備的互聯(lián)網(wǎng)業(yè)務轉發(fā)。HA將用于移動節(jié)點的數(shù)據(jù)包(分組)引到一個轉交地址,該地址或者是FA的IP地址,或者是通過諸如動態(tài)主機配置協(xié)議(DHCP)等某種外部方法獲取的IP地址。FA接收分組并將它們發(fā)送到移動節(jié)點。
PDSN存在于每個cdma2000數(shù)據(jù)網(wǎng)絡中。對于移動訂戶,一個PDSN是進入無線分組數(shù)據(jù)網(wǎng)絡的點。PDSN執(zhí)行兩個基本功能(1)在無線網(wǎng)絡上與移動臺交換分組;以及(2)與其他IP網(wǎng)絡交換分組。為執(zhí)行這些功能,PDSN可與一個無線網(wǎng)絡節(jié)點(通常稱為一個分組控制功能或PCF)、一個RADIUS AAA服務器(用于用戶認證、授權和會話帳戶)以及與用于移動IP應用程序的HA接口。GGSN是一個UMTS網(wǎng)絡中的一個網(wǎng)關,它允許移動用戶訪問一個公共數(shù)據(jù)網(wǎng)絡(PDN)或指定的私有IP網(wǎng)絡。GGSN執(zhí)行的功能與PDSN執(zhí)行的功能相仿。但PDSN包含F(xiàn)A功能,GGSN可能包括也可能不包括。
在移動IP情況下,包含一個FA的路由器135和HA155可通過互聯(lián)140通信,而V-AAA服務器132和一個本地認證、授權和帳戶服務器152(H-AAA服務器152)可通過一個代理AAA服務器145通信。代理AAA服務器145的一個功能是查找用戶110的H-AAA服務器152。正如下文將要進一步詳細說明的,H-AAA服務器152可擁有一個稱為低權目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫156的訂戶數(shù)據(jù)庫。LDAP數(shù)據(jù)庫156可被本地網(wǎng)絡150和被訪網(wǎng)絡130用于認證和授權(AA)。
由于被訪網(wǎng)絡130可能不能識別用戶的本地域,因此代理AAA服務器145可能是有用的。例如,一個澳大利亞的ISP(被訪網(wǎng)絡130)可能不能識別由用戶域“user@verizon.com”所指示的一個Verizon網(wǎng)絡,因此它將域信息轉發(fā)到一個代理AAA服務器,以便代理AAA服務器145能夠將請求傳遞到用戶110的正確的本地網(wǎng)絡,其中存儲了用戶的AA證書。
H-AAA服務器152位于本地IP網(wǎng)絡150中。本地IP網(wǎng)絡150是向用戶110提供基于IP的數(shù)據(jù)服務的本地網(wǎng)絡。網(wǎng)絡150可根據(jù)用戶110的網(wǎng)絡訪問標識符(NAI)訪問。NAI具有user@domain的結構,它標識了用戶及其本地IP網(wǎng)絡。本地IP網(wǎng)絡150可為一個私有網(wǎng)絡、企業(yè)網(wǎng)絡、公共可訪ISP網(wǎng)絡、cdma 2000無線網(wǎng)絡等。在圖1中,本地IP網(wǎng)絡150可實現(xiàn)為一個蜂窩無線2.5G/3G系統(tǒng)的本地網(wǎng)絡。
H-AAA 152可實現(xiàn)為一個遠程認證撥號用戶服務(RADIUS)服務器。但是,示例性實施方式不限于此,因為H-AAA服務器可被配置為根據(jù)直徑協(xié)議理解和操作。H-AAA服務器152與一個本地代理(HA)155通信。在移動互聯(lián)網(wǎng)協(xié)議(移動IP)中,HA是一個移動節(jié)點的本地網(wǎng)絡中的一個路由器,它保存了關于設備的當前位置的信息,正如其轉交地址中所標識的那樣。與FA一樣,HA 155是一種例如IETFRFC 3344規(guī)范中定義的移動代理。
為了使蜂窩無線提供商能夠在用戶在接入技術間完全無縫地漫游時承認用戶110并對其進行計費,應該使每個被訪網(wǎng)絡中的授權和認證代理(H-AAA 152/V-AAA 132)使用單個的認證證書集合。換句話說,WLAN(被訪網(wǎng)絡130)的認證實體可能需要與由蜂窩無線服務提供商(例如,在此示例性實施方式中,這可為本地IP網(wǎng)絡150,它可能實現(xiàn)為一個2.5G/3G CDMA或UMTS網(wǎng)絡)所擁有的一個預定認證數(shù)據(jù)庫連接。WLAN和3G基礎設備之間能夠進行認證和授權的通信使得用戶的本地ISP 150在WLAN系統(tǒng)130和2.5G/3G系統(tǒng)150均能夠認證用戶110。
例如,廣域蜂窩無線服務提供商的現(xiàn)有后臺基礎設備可被再次使用,以為一個獨立被訪網(wǎng)絡130提供認證和授權。在所述AA的上下文中,廣域蜂窩無線服務提供商(WSP)的現(xiàn)有后臺基礎設備是指用于為無線用戶執(zhí)行分組數(shù)據(jù)服務的授權和認證的設備。具體細節(jié)可能根據(jù)服務提供商而不同,但可以由某種用于供應所有訂戶的數(shù)據(jù)庫組成,例如低權目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫。LDAP是由互聯(lián)網(wǎng)工程任務組(IETF)定義的在線目錄服務協(xié)議,它是目錄訪問協(xié)議(DAP)的簡化。一個LDAP目錄條目是屬性的集合,其具有一個被稱為辨別名稱(DN)的唯一的標識符。目錄系統(tǒng)可以處于一個分層結構中。在此示例性實施方式中,本地IP網(wǎng)絡150可以說擁有LDAP 156。
H-AAA服務器152和LDAP 156可為后臺基礎設備151的一個例子,如圖1的虛線內(nèi)部所示,雖然本發(fā)明不限于此。任何具有一個為分組數(shù)據(jù)服務授權和認證用戶的AAA服務器的cdma2000分組數(shù)據(jù)網(wǎng)絡可代表現(xiàn)有后臺基礎設備。另外,諸如VERIZON WIRELESS和SPRINT PCS的服務提供商提供3G分組數(shù)據(jù)服務;從而這樣的后臺基礎設備已經(jīng)存在。在一個示例性實施方式中,網(wǎng)絡130和150可由不同的服務提供商所擁有,而在另一個示例性實施方式中,它們可能均由同一服務提供商所擁有。
圖2是說明根據(jù)本發(fā)明的一個示例性實施方式的一個方法的流程圖。現(xiàn)參見圖2,H-AAA服務器152可從用戶110接收(步驟S10)單個用戶標識符和認證關鍵字(例如密碼)。此AA證書集合已被分配經(jīng)用戶110,可被用于網(wǎng)絡130或150中任何一個上的認證和或加密。單個用戶標識符和密碼可被發(fā)送(步驟S20)到用戶110的本地網(wǎng)絡的現(xiàn)有后臺基礎設備151。在此示例性實施方式中,本地IP網(wǎng)絡150(3G系統(tǒng))現(xiàn)有后臺基礎設備151被使用或訪問(步驟S30),以相對一個存儲的AA證書集合來驗證用戶110的AA證書集合。從而,LDAP數(shù)據(jù)庫156和H-AAA服務器152可提供一個配置,該配置向與本地網(wǎng)絡簽有服務級協(xié)議的獨立被訪網(wǎng)絡提供認證和從一個特定服務提供商的現(xiàn)有后臺基礎設備獲取授權的能力。
依靠AAA基礎設備使得廣域蜂窩無線提供商能夠在網(wǎng)絡130和150中使用相同的認證證書認證訂戶110。WLAN和2.5G/3G系統(tǒng)可均使用一個公共的AAA協(xié)議,例如RADIUS或直徑,以便在一個AAA服務器(也許通過一個代理AAA服務器145)處認證用戶。認證服務器(H-AAA服務器152/252和V-AAA服務器132)可能是同一個,也可能是不同的,只要每個AAA服務器可訪問LDAP數(shù)據(jù)庫156以取得用戶110的公共認證關鍵字和/或密碼。
但是,可能出現(xiàn)這樣的情況,即一個網(wǎng)絡可能需要將用戶的AA證書集合傳遞到另一個不具有證書但為了AA卻需要證書的網(wǎng)絡。因此,一個基于AAA代理的方法對于此應用可能更適當。當一個AAA代理服務器145接收到一條認證請求消息時,它使用用戶110的NAI以解析認證AAA服務器(例如,H-AAA服務器152),并將認證請求消息轉發(fā)到適當?shù)腍-AAA服務器。不同服務提供商的AAA基礎設備之間的連接可直接或通過AAA代理服務器145完成。
例如,一個用戶110可訪問一個被訪網(wǎng)絡130,該網(wǎng)絡130可在公共通信協(xié)議中使用不同屬性(例如RADIUS中的特定制造商屬性)來將用戶的AA證書集合和被訪網(wǎng)絡130的標識信息(例如,網(wǎng)絡類型、標識等)轉發(fā)給代理AAA服務器145。AAA代理操作一般需要屬性翻譯,以便將RADIUS消息中使用的不同私有特定制造商屬性映射到用戶的本地IP網(wǎng)絡150所使用的屬性。當這些屬性在不同服務提供商之間發(fā)送時,有多種標準化這些屬性的行動,例如Wi-Fi聯(lián)盟內(nèi)的無線互聯(lián)網(wǎng)服務提供商漫游(WISPr)委員會,以及第三代合作項目2(3GPP2)。
在另一個示例性實施方式中,即使在多個網(wǎng)絡之間漫游時,用戶110也只需要認證一次。當前的WLAN認證方案可要求兩個單獨的認證第一個在數(shù)據(jù)層(層2)認證設備(例如,PDA、PC、移動電話等),第二個在網(wǎng)絡層(層3)認證用戶(用戶標識符和密碼)。多個通信層之間或不同技術的多個網(wǎng)絡(例如,廣域移動網(wǎng)絡和WLAN)之間的一次認證當前是無法實現(xiàn)的,因為層1和層2處的設備認證及其后的層3用戶認證中涉及多個數(shù)據(jù)庫。如果用戶還運行IP安全(IPSec)或會話啟動協(xié)議,還需要另一個認證層(應用層)。當終端在最初連接上和技術間的切換時忙于認證請求時,這些多層認證可能引起一個數(shù)據(jù)會話暫停。這為用戶和/或客戶端軟件添加了負擔,并且增加了延時和供應復雜度。
對于cdma2000中的移動IP(MIP)協(xié)議,認證程序已經(jīng)可以視為一次認證過程。在cdma2000中,當一個用戶要求一個MIP注冊時,層2與認證代理(H-AAA、V-AAA或代理服務器)協(xié)商以指示用戶是一個移動IP用戶。在這些條件下,層2認證被繞過,并且可在沒有AA的情況下建立一個鏈路層連接。因此,在cdma2000的MIP中,是由層3來完成AA協(xié)商的。這種類型的層2建立除向用戶提供協(xié)商層3 AA的選擇外不提供其他任何服務。目前WLAN和UMTS網(wǎng)絡沒有與此相同的技術。
本發(fā)明的示例性實施方式用一個一次認證方案取代了兩次認證,其中同一證書集合可用于多層,并且從而避免了對AAA基礎設備的多次訪問,減少了延時和等待時間。在本發(fā)明的示例性實施方式中,可采用幾種方法來提供諸如被訪網(wǎng)絡130的WLAN系統(tǒng)中的一次認證。一種方法可為在層2和3采用相同的證書和關鍵字材料來認證。另一種方法可為直接進行到層3,完全忽略層2認證。這與上文說明的cdma2000網(wǎng)絡的MIP的程序相似。
圖3是說明根據(jù)本發(fā)明的另一個示例性實施方式的一種方法的流程圖。參見圖3,可能需要對AAA基礎設備(AAA服務器)的多次訪問,但是可只進行一次穿過網(wǎng)絡獲取關鍵字材料。在協(xié)商詢問結束時(步驟S300)在層2AA成功回復過程中收集的關鍵字材料,可被位于用戶110終端處的一個客戶端軟件使用,以對有效載荷加密或響應由AAA實體(即V-AAA、H-AAA等)向用戶110提出的未來的AA詢問。
在層3處的詢問階段期間,網(wǎng)絡向用戶110提供一個種子(步驟S310)。用戶110或用戶的客戶端軟件用預定的關鍵字(步驟S300a的虛線內(nèi))或先前從步驟S300獲取的關鍵字材料處理種子,生成對于該關鍵字材料唯一的簽名(步驟S320)??杀皇褂没驅嵤┮陨晌ㄒ缓灻乃惴ɡ影ㄏ⒄姹?(MD 5),安全哈西算法(SHA)等。AAA實體相似地計算一個唯一簽名(步驟S330),其中加載相同的用戶關鍵字,并且結果與用戶客戶端計算的唯一簽名相比較。在驗證簽名后,AAA實體授權用戶110(步驟S340),并且可發(fā)送一個加密關鍵字,以及一個用于將來的認證過程中的新的關鍵字材料(步驟S350)。
相同的一次認證方案可用于WLAN和3G系統(tǒng);從而在用戶110任何時候在空氣接口技術之間移動(例如,從WLAN到3G或反之)時,用戶110處的客戶端軟件可自動提供用戶110的認證證書。用戶110的客戶端軟件可提供認證證書以獲取對域的訪問權限,并且,如果用戶110在一個被訪域中,客戶端軟件可建立與用戶110的本地網(wǎng)絡150的安全關聯(lián)。
用戶NAI中的領域可向被訪AAA服務器(例如,V-AAA服務器132)提供域信息,該域信息用于確定用于認證用戶110的本地域。從而客戶端軟件可向層3傳輸在先前的層2處的AA認證期間收集的關鍵字材料。從而,用戶110在初始AA階段期間可能被要求輸入一個唯一的密碼或關鍵字材料,但在移動到一個新的域時不需要再次輸入,并且可與底層的認證活動屏蔽開來,促進無間斷的透明數(shù)據(jù)會話移動。因此,一次認證可減少AAA通信量,可能減少延時、等待時間以及在各層輸入密碼和/或唯一的關鍵字信息所需的用戶間斷量。
圖4說明了根據(jù)本發(fā)明的另一個示例性實施方式的一個用戶和用戶的本地網(wǎng)絡之間的一個網(wǎng)絡配置。正如前文參考圖1所說明的那樣,WLAN的認證實體可能需要與一個由蜂窩無線服務提供商所擁有的預定認證數(shù)據(jù)庫相連接。在WLAN和3G基礎設備之間啟動用于認證和授權的通信使得用戶的本地ISP 150在WLAN系統(tǒng)130和2.5G/3G系統(tǒng)150處均能認證用戶110。圖4說明了一個示例性實施方式,其中用戶的蜂窩服務提供商(有時也稱為“用戶的公共本地網(wǎng)絡”)出現(xiàn)在用戶的本地ISP外部,但是用戶的“私有本地IP網(wǎng)絡”是用戶的企業(yè),而不是WLAN或用戶的蜂窩服務提供商。
圖4與圖1相似,因此為清楚起見只討論不同之處。參見圖4,用戶的公共本地網(wǎng)絡480可實現(xiàn)為一個蜂窩網(wǎng)絡,而用戶的私有本地IP網(wǎng)絡可實現(xiàn)為企業(yè)網(wǎng)絡460。在此示例性實施方式中,WLAN(被訪網(wǎng)絡430)的認證實體可能需要與由企業(yè)網(wǎng)絡460所擁有的一個預定認證數(shù)據(jù)庫(LDAP數(shù)據(jù)庫456)相連接。V-AAA服務器432,或一個代理AAA服務器445可使用用戶410的NAI的一部分來解析蜂窩服務提供商(公共本地網(wǎng)絡480)的AAA服務器482,并將認證請求轉發(fā)到用戶的公共本地網(wǎng)絡480。蜂窩服務提供商的AAA服務器482可能需要進一步通過一個代理AAA服務器475代理AAA請求。它可通過使用用戶410的NAI的另一部分解析位于企業(yè)網(wǎng)絡460中的H-AAA服務器452。
如圖4中所示,企業(yè)網(wǎng)絡460的后臺基礎設備451可包括H-AAA服務器452和LDAP數(shù)據(jù)庫456。因此,如圖4的示例性實施方式所示,用戶410的NAI可為user@lucent.verizon.com,其中Verizon(Verizon是用戶的移動服務提供商)的AAA服務器482是從WLAN430訪問的(可能通過代理服務器445)。Verizon的AAA服務器482接下來可通過代理AAA服務器475將請求代理到用戶的企業(yè)網(wǎng)絡460(即,Lucent)中的H-AAA服務器452。
通過這樣說明本發(fā)明的示例性實施方式,很明顯相同的方法可以以許多方式變化。這些變化不會被視為背離本發(fā)明的示例性實施方式的精神和范圍,并且所有這些對于本領域技術熟練者顯而易見的修改將被包括在以下的權利要求書的范圍內(nèi)。
權利要求
1.一種向至少兩個獨立網(wǎng)絡提供公共的認證和授權(AA)的方法,包括接收來自一個嘗試訪問所述至少兩個網(wǎng)絡中任何一個的用戶的一個AA證書集合;以及使用兩個獨立訪問網(wǎng)絡之一的一個訂戶數(shù)據(jù)庫驗證所述AA證書集合以訪問所述至少兩個網(wǎng)絡的另一個。
2.權利要求1的方法,其中通過所述AA證書集合可訪問所述至少兩個獨立網(wǎng)絡中的任何一個,該方法進一步包括分配對所述至少兩個網(wǎng)絡是公共的一個單個用戶標識和密碼,其中所述至少兩個網(wǎng)絡中的至少一個是用戶的本地網(wǎng)絡。
3.一種向至少兩個獨立網(wǎng)絡提供公共認證和授權(AA)的方法,包括接收來自一個嘗試訪問所述至少兩個網(wǎng)絡中任何一個的用戶的一個AA證書集合;以及使用對所述至少兩個網(wǎng)絡是公共的一個通信協(xié)議認證和授權用戶的AA證書。
4.權利要求3的方法,其中所述使用步驟包括使用所述公共通信協(xié)議來訪問由所述至少兩個網(wǎng)絡共享的一個訂戶數(shù)據(jù)庫,以相對一個存儲的AA證書集合來驗證所述用戶的AA證書集合,該方法進一步包括向所述至少兩個網(wǎng)絡之一分配一個單個用戶標識和密碼;將所述AA證書集合分配給用戶,其中所述兩個網(wǎng)絡的至少一個是用戶的本地網(wǎng)絡,并且所述至少兩個網(wǎng)絡的一個是接收所述用戶AA證書的被訪網(wǎng)絡;將所述用戶的AA證書集合作為一個認證請求的一部分從被訪網(wǎng)絡轉發(fā)到一個獨立代理AAA服務器,被訪網(wǎng)絡使用公共協(xié)議內(nèi)的不同屬性將所述用戶AA證書集合以及被訪網(wǎng)絡的標識信息傳送到代理AAA服務器;以及通過所述代理AAA服務器將所述AA證書集合從接收到的屬性映射到用戶的本地網(wǎng)絡使用的屬性,將來自代理AAA服務器的認證請求傳遞到用戶的本地網(wǎng)絡。
5.一種由一個用戶用于訪問兩個或多個獨立網(wǎng)絡的方法,包括采用可在多個通信協(xié)議層上使用的一個單個認證和授權(AA)證書集合來訪問所述至少兩個網(wǎng)絡中的任何一個。
6.權利要求5的方法,其中所述采用步驟進一步包括對于一個數(shù)據(jù)鏈路層處的認證和一個網(wǎng)絡層處的認證使用相同的AA證書,以及所述AA證書包括可用于訪問所述至少兩個網(wǎng)絡的用戶標識信息和認證關鍵字信息或關鍵字材料。
7.一種由一個用戶在至少兩個獨立網(wǎng)絡間漫游時執(zhí)行一個單個認證和授權(AA)操作的方法,包括在一個數(shù)據(jù)鏈路層在一個AA詢問和回復會話期間收集用戶認證和關鍵字材料;以及在用戶從一個網(wǎng)絡轉換到另一網(wǎng)絡時,對于一個隨后的AA詢問使用該關鍵字材料。
8.權利要求7的方法,其中所述隨后的詢問位于同一層和一個更高層之一中,并且不需要用戶參與,所述使用步驟包括將關鍵字材料用于數(shù)據(jù)加密,或者在另一個網(wǎng)絡詢問期間使用收集的用戶的關鍵字材料,以及所述至少兩個網(wǎng)絡包括一個被訪網(wǎng)絡和用戶的本地網(wǎng)絡,并使用一個公共協(xié)議的不同屬性。
9.一種向至少兩個獨立網(wǎng)絡提供公共認證和授權(AA)的方法,包括接收來自一個嘗試訪問一個被訪網(wǎng)絡的用戶的一個AA證書集合;將所述用戶AA證書集合作為一個認證請求的一部分從被訪網(wǎng)絡轉發(fā)到一個獨立的代理AAA服務器;將認證請求從所述代理AAA服務器傳遞到用戶的公共本地網(wǎng)絡;以及將所述用戶AA證書集合作為一個認證請求的一部分從用戶的公共本地網(wǎng)絡轉發(fā)到用戶的一個私有本地網(wǎng)絡。
10.權利要求1、3、5、7和9中任何一個的方法,其中所述至少兩個網(wǎng)絡包括一個無線局域網(wǎng)(WLAN)和一個廣域蜂窩通信系統(tǒng),所述廣域蜂窩通信系統(tǒng)是GPRS、cdma2000系統(tǒng)和UMTS中的一個。
全文摘要
通過具有不同訪問技術的網(wǎng)絡之間的公共認證和授權(AA)可進行網(wǎng)絡間的連續(xù)用戶轉換??山邮諄碜砸粋€嘗試獲取對網(wǎng)絡之一的訪問權限的用戶的一個AA證書集合,并且另一個網(wǎng)絡的一個訂戶數(shù)據(jù)庫可被用于驗證該AA證書集合??墒褂酶骶W(wǎng)絡公用的一個通信協(xié)議。另外,用戶可采用可在多個通信協(xié)議層使用的單個認證和授權(AA)證書集合。此外,通過在一個數(shù)據(jù)鏈路層處的AA詢問和回復會話期間收集用戶的關鍵字材料,一個用戶可在兩個或多個網(wǎng)絡間漫游時執(zhí)行單次認證和授權(AA)操作。收集到的材料可用于更高網(wǎng)絡層處的一個AA詢問,或在用戶在網(wǎng)絡間轉換時用于其他網(wǎng)絡處的AA詢問。
文檔編號H04L9/32GK1534921SQ20041003180
公開日2004年10月6日 申請日期2004年3月30日 優(yōu)先權日2003年3月31日
發(fā)明者戴維·本尼納蒂, 皮萊茲·M.·費德, 南?!.·李, 希爾維阿·馬丁-里昂, 利尤文·沙皮拉, M. 費德, 沙皮拉, Y. 李, 戴維 本尼納蒂, 阿 馬丁-里昂 申請人:朗迅科技公司