專利名稱:用于網(wǎng)絡(luò)接入的設(shè)備和/或用戶認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及通信系統(tǒng),并且尤其是涉及在準(zhǔn)予接入到接入服
務(wù)網(wǎng)絡(luò)(ASN)之前通過連通性服務(wù)網(wǎng)絡(luò)(CSN)來對無線設(shè)備進(jìn)行認(rèn)證。
背景技術(shù):
WiMAX (微波存取全球互通)網(wǎng)絡(luò)接入提供商(NAP)(例如批 發(fā)商)和網(wǎng)絡(luò)服務(wù)提供商(NSP)(例如通信公司)感興趣的是在可使 設(shè)備進(jìn)入到它們的網(wǎng)絡(luò)之前對照一致性標(biāo)準(zhǔn)來驗證無線設(shè)備的認(rèn)證狀 態(tài)。NAP和NSP還顯然感興趣的是對設(shè)備的最終用戶進(jìn)行認(rèn)證以為來 自本地服務(wù)提供商的服務(wù)建立用戶訂購的有效性。將WiMAX設(shè)備制 造成具有來自信任的WIMAX設(shè)備證書授權(quán)中心(Certificate Authority) 的X.509數(shù)字證書以由NAP和NSP這兩者來對這些設(shè)備的身份進(jìn)行強(qiáng) 認(rèn)證。通常,接入提供商感興趣的是在可使設(shè)備進(jìn)入到它們的網(wǎng)絡(luò)之 前驗證設(shè)備與標(biāo)準(zhǔn)的一致性。此外,還可利用諸如用戶名一口令組合、 生物特征數(shù)據(jù)、智能卡或者可移動的SIM卡的另一憑證來對用戶的身 份進(jìn)行認(rèn)證。
IEEE 802.16-2005定義了 一種意在依次支持兩個擴(kuò)展認(rèn)證協(xié)議 (EAP)方法的方法。將該方法稱為雙層EAP,但是由于其復(fù)雜性和 與IEEE 802.16空中接口的相互作用而不包含在WiMAX配置之內(nèi)。雙 層EAP復(fù)雜之處在于成功地完成一個EAP方法,利用第一認(rèn)證服務(wù)器 建立EAP密鑰材料,并且隨后啟動第二 EAP方法,在該第二EAP方 法中來自第一會話的密鑰材料用于利用第二認(rèn)證服務(wù)器對第二 EAP方 法的EAP消息進(jìn)行認(rèn)證。這些EAP會話的建立需要相當(dāng)多的空中傳送 消息。因此,希望具有一種用于對無線設(shè)備和該設(shè)備的用戶進(jìn)行認(rèn)證的 方法和裝置,該方法和裝置能夠降低當(dāng)今技術(shù)的一些消息傳送和延遲 特征。
圖1是描述根據(jù)本發(fā)明多個實施例的無線通信系統(tǒng)的方框圖。 圖2是描述根據(jù)本發(fā)明多個實施例的無線通信系統(tǒng)的方框圖。 圖3是描述根據(jù)本發(fā)明多個實施例的認(rèn)證交換的信令流程圖,通
過所述認(rèn)證交換對無線設(shè)備和/或訂購(基于設(shè)備身份的訂購)進(jìn)行認(rèn)
證和驗證。
圖4是描述根據(jù)本發(fā)明多個實施例的兩個認(rèn)證交換的信令流程圖,
通過所述兩個認(rèn)證交換對無線設(shè)備和用戶訂購進(jìn)行認(rèn)證和驗證。
圖5是根據(jù)本發(fā)明特定實施例的用于對嘗試對無線設(shè)備進(jìn)行認(rèn)證
和驗證的這類信令的示例進(jìn)行描述的詳細(xì)信令流程圖。
圖6是根據(jù)本發(fā)明特定實施例的用于對嘗試對無線設(shè)備和用戶訂 購進(jìn)行認(rèn)證和驗證的這類信令的示例進(jìn)行描述的詳細(xì)信令流程圖。
下面參考圖l一6公開本發(fā)明的特定實施例。為提高理解撰寫了該 描述和說明。例如, 一些附圖元件的大小相對于其它元件而言是放大 的,并且未對商業(yè)成功實現(xiàn)有益的或乃至所必需的已知元件進(jìn)行描述, 以較少地模糊并且更清楚地呈現(xiàn)實施例。此外,雖然參考按照特定順 序而交換的特定信令描述并示出了上述信令流程圖,但是在不脫離權(quán) 利要求的范圍的情況下可省去一些信令或者可對一些信令進(jìn)行組合、 子劃分或者重新排序。因此,除非明確表示,所描述的信令的順序和 分組不局限于屬于權(quán)利要求范圍之內(nèi)的其他實施例。
說明和描述的簡單性和清楚性是設(shè)法使本領(lǐng)域普通技術(shù)人員在考 慮到本領(lǐng)域所已知的情況下有效地形成、使用并且最好地實施本發(fā)明。 本領(lǐng)域普通技術(shù)人員應(yīng)清楚的是在不脫離本發(fā)明的精神和范圍的情況下可對如下所述的特定實施例做出修改和改變。因此,應(yīng)認(rèn)為該說明 書和附圖是說明性和示意性的而不是限制性的或者包括所有的,并且 對如下所述的特定實施例的所有這種修改意在包含在本發(fā)明的范圍之 內(nèi)。
具體實施例方式
描述對無線設(shè)備和/或相關(guān)用戶訂購進(jìn)行認(rèn)證的各種實施例。利用 與無線設(shè)備的單個認(rèn)證交換來獲得設(shè)備憑證,連通性服務(wù)網(wǎng)絡(luò)(CSN) 對該設(shè)備憑證進(jìn)行認(rèn)證和驗證以建立設(shè)備身份。對于基于設(shè)備身份的 訂購而言,該設(shè)備身份用于驗證訂購。對于用戶訂購認(rèn)證而言,利用
第一認(rèn)證交換(a.k.a,外部交換)所建立的加密連接來執(zhí)行第二認(rèn)證交 換。通過僅利用一個外部認(rèn)證交換,可形成這樣的實施例,即與已知 技術(shù)相比該實施例展現(xiàn)出減少的消息傳送以及較低的復(fù)雜性。
參考圖l一6可進(jìn)一步充分理解所公開的實施例。圖1是根據(jù)本發(fā) 明多個實施例的描述無線通信系統(tǒng)100的方框圖?,F(xiàn)今,諸如OMA(開 放移動聯(lián)盟)、3GPP (第三代合作伙伴計劃)、3GPP2 (第三代合作 伙伴計劃2) 、 IEEE (電氣與電子工程師協(xié)會)802、以及WiMAX論 壇這樣的標(biāo)準(zhǔn)主體開發(fā)了無線電信系統(tǒng)的標(biāo)準(zhǔn)規(guī)范。(這些組分另U通 過以 f""進(jìn)行耳關(guān)系http : 〃 www.openmobilealliance.com 、 http〃 www.3gpp.org/、 http〃 www.3gpp2.com/、 http〃www. ieee802.org/、 以及 http〃 www.wimaxforum.org/)通信系統(tǒng)100表示具有根據(jù)WiMAX論壇 和/或IEEE 802技術(shù)中的一個或多個體系結(jié)構(gòu)的系統(tǒng),可對該系統(tǒng)進(jìn)行 適當(dāng)修改以實現(xiàn)本發(fā)明。本發(fā)明的替換實施例可以是在下述通信系統(tǒng) 中實現(xiàn)的,該通信系統(tǒng)采用諸如但并不局限于在OMA、 3GPP禾B/或 3 GPP2規(guī)范中所描述的那些其他的或另外的技術(shù)。
以非常概括的方式來描述通信系統(tǒng)100。尤其是,示出了接入服務(wù) 網(wǎng)絡(luò)(ASN) 121通過無線接口 111與無線設(shè)備101進(jìn)行通信,該無線 接口 111,諸如基于IEEE 802.16的無線接口,依照ASN121所使用的特定接入技術(shù)。此外,示出了 CSN 131具有與ASN 121和因特網(wǎng)140 的網(wǎng)絡(luò)連通性。本領(lǐng)域普通技術(shù)人員應(yīng)清楚圖1未對系統(tǒng)100要進(jìn)行 操作所必需的所有物理固定網(wǎng)路部件進(jìn)行描述,而是在這里僅對尤其 是與實施例的描述有關(guān)的那些系統(tǒng)部件和邏輯實體進(jìn)行了描述。
例如,圖1描述了分別包括處理單元123和133以及網(wǎng)絡(luò)接口 127 和137的ASN 121和連通性服務(wù)網(wǎng)絡(luò)(CSN) 131。此外,圖1描述包 括收發(fā)器125的ASN 121。通常,諸如處理單元、收發(fā)器以及網(wǎng)絡(luò)接 口這樣的部件已為公眾所熟知。例如,已知處理單元包括諸如但既不 局限于又不必需的微處理器、微控制器、存儲設(shè)備、專用集成電路 (ASIC)、和/或邏輯電路這樣的基本部件。這種部件典型地適于實現(xiàn) 利用高級設(shè)計語言或描述所表示的、利用計算機(jī)指令所表示的、利用 信令流程圖所表示的、和/或利用邏輯流程圖所表示的算法和/或協(xié)議。
l天l此,給定高級描述、算法、邏輯流程、消息傳送/信令流和/或協(xié) 議規(guī)范,本領(lǐng)域普通技術(shù)人員可知可用于實現(xiàn)執(zhí)行給定邏輯的處理單 元的許多設(shè)計和開發(fā)技術(shù)。因此,根據(jù)這里的描述,ASN 121和CSN 131 表示適于實現(xiàn)本發(fā)明的多個實施例的已知設(shè)備。此外,本領(lǐng)域普通技 術(shù)人員應(yīng)認(rèn)識到可在各種物理部件中和部件間實現(xiàn)本發(fā)明的方面并且 決不必需局限于單個平臺實現(xiàn)。例如,可以在諸如一個或多個基站(BS) 和/或ASN網(wǎng)關(guān)的一個或多個網(wǎng)絡(luò)部件之中或之間實現(xiàn)處理單元123、 收發(fā)器125以及網(wǎng)絡(luò)接口 127。類似地,可以在諸如一個或多個路由器、 認(rèn)證代理/服務(wù)器、數(shù)據(jù)庫和/或互相作用的網(wǎng)關(guān)設(shè)備的--個或多個網(wǎng)絡(luò) 部件之中或之間實現(xiàn)處理單元133和網(wǎng)絡(luò)接口 137。
示出了無線設(shè)備101和ASN 121通過技術(shù)相關(guān)的無線接口進(jìn)行通 信。將無線設(shè)備、訂戶站(SS)、或者用戶裝置(UE)看作移動站(MS); 然而,無線設(shè)備不是必須移動的,也不是必須能夠移動。另外,所熟 知的無線設(shè)備平臺是指諸如但并不局限于移動站(MS)、接入終端 (AT)、終端裝置、移動設(shè)備、游戲設(shè)備、個人計算機(jī)以及個人數(shù)字助理(PDA)的廣泛多樣化的消費電子平臺。尤其是,無線設(shè)備101
包括處理單元(105)和收發(fā)器(107)。根據(jù)該實施例,無線設(shè)備101 另外包括小鍵盤(未示出)、揚聲器(未示出)、麥克風(fēng)(未示出) 以及顯示器(未示出)。在無線設(shè)備中所使用的處理單元、收發(fā)器、 小鍵盤、揚聲器、麥克風(fēng)以及顯示器為本領(lǐng)域所熟知。因此,給定高 級描述、算法、邏輯流程、消息傳送/信令流和/或協(xié)議規(guī)范,本領(lǐng)域普 通技術(shù)人員可知可用于實現(xiàn)執(zhí)行給定邏輯的處理單元的許多設(shè)計和開 發(fā)技術(shù)。因此,根據(jù)這里的描述,無線設(shè)備101表示適于實現(xiàn)本發(fā)明 的多個實施例的已知設(shè)備。
圖2是描述根據(jù)本發(fā)明多個實施例的無線通信系統(tǒng)200的方框圖。 以非常概括的方式來描述通信系統(tǒng)200。示出接入提供商網(wǎng)絡(luò)220包括 訪問認(rèn)證、授權(quán)以及計費代理服務(wù)器(V—AAA) 223和ASN221,該 ASN221具有與MS 201對接的無線接口 211。示出CSN231包括本地 認(rèn)證、授權(quán)、以及計費服務(wù)器(H — AAA) 235。再次,本領(lǐng)域普通技 術(shù)人員可知圖2未對系統(tǒng)200要進(jìn)行操作所必需的所有物理固定網(wǎng)路 部件進(jìn)行描述,而是在這里僅對尤其是與實施例的描述有關(guān)的系統(tǒng)部 件和邏輯實體進(jìn)行了描述。
例如,遵照WiMAX論壇規(guī)范的ASN需要可使它提供與WiMAX MS的WiMAX層一2 (L2)連通性的網(wǎng)絡(luò)元件,以支持將包含在AAA 消息之內(nèi)的EAP傳送到WiMAX訂戶本地網(wǎng)絡(luò)服務(wù)提供商(H — NSP) 以對訂戶會話進(jìn)行認(rèn)證、授權(quán)以及會話計費,基于設(shè)備認(rèn)證提供策略 和準(zhǔn)入控制,以支持網(wǎng)絡(luò)發(fā)現(xiàn)以及對WiMAX訂戶優(yōu)選NSP的選擇, 支持用于建立與WiMAX MS (即IP地址分配)的層一3 (L3)連通性 的中繼功能,提供無線電資源管理,以支持ASN — CSN隧道,支持ASN 錨點移動性,支持CSN錨點移動性,并且提供尋呼和位置管理。另外, 多于一個CSN共享ASN。遵照WiMAX論壇規(guī)范的CSN需要可使它 向WiMAX訂戶提供IP連通性服務(wù)的網(wǎng)絡(luò)元件。因此,這種CSN需要 提供用戶會話的MS IP地址和終點參數(shù)分配,以提供到因特網(wǎng)的接入,基于設(shè)備或用戶訂購文檔提供策略和準(zhǔn)入控制,以支持ASN—CSN隧 道,支持WiMAX訂購賬單和操作者間結(jié)算,支持用于漫游的CSN間 隧道,并且支持ASN間移動性。WiMAXCSN還必需提供諸如基于位 置服務(wù)的WiMAX服務(wù),點對點服務(wù)的連通性,供給、授權(quán)、和/或?qū)?IP多媒體服務(wù)的連通性,并且便于支持諸如遵照通信協(xié)助法律實施法 案(CALEA)過程的那些的合法監(jiān)聽服務(wù)。
首先參考圖1,根據(jù)本發(fā)明的實施例的操作基本上如下進(jìn)行。 一旦 從無線設(shè)備101接收到對網(wǎng)絡(luò)接入的請求,則ASN 121請求CSN 131 對無線設(shè)備101進(jìn)行認(rèn)證。根據(jù)該實施例,處理單元123和網(wǎng)絡(luò)接口 127的一部分包括V — AAA (或者其一些部分)、網(wǎng)絡(luò)認(rèn)證器和/或代理 認(rèn)證器。類似地,根據(jù)該實施例,處理單元133和網(wǎng)絡(luò)接口 137的一 部分包括H — AAA (或者其一些部分)和/或網(wǎng)絡(luò)認(rèn)證器。CSN處理單 元133和無線設(shè)備處理單元105通過網(wǎng)絡(luò)接口 137、 ASN 121和收發(fā)器 107執(zhí)行認(rèn)證交換。
在該認(rèn)證交換中,CSN 131向無線設(shè)備101請求設(shè)備憑證。隨后 CSN處理單元133嘗試建立無線設(shè)備的身份。如果從無線設(shè)備獲得了 設(shè)備憑證,那么建立設(shè)備身份涉及對該設(shè)備憑證進(jìn)行認(rèn)證和驗證。典 型地,使用諸如遵照X.509數(shù)字證書的數(shù)字證書。在WiMAX實施例 中,使用從WiMAX證書授權(quán)中心所獲得的且通過無線設(shè)備制造商所 安裝的數(shù)字證書。在一些實施例中,在認(rèn)證交換期間設(shè)備處理單元105 向CSN處理單元133請求服務(wù)器憑證以對服務(wù)器進(jìn)行驗證。
作為CSN嘗試建立無線設(shè)備的身份的結(jié)果,CSN處理單元133通 過網(wǎng)絡(luò)接口 127和137向ASN處理單元123指示設(shè)備101的認(rèn)證相關(guān) 信息。指示什么信息主要取決于該實施例。例如,可指示以下任何信 息已建立的無線設(shè)備的身份(例如MAC地址),是否對無線設(shè)備進(jìn) 行成功認(rèn)證和驗證、是否執(zhí)行證書撤銷列表(CRL)檢查、無線設(shè)備的 硬件版本、無線設(shè)備的制造商、從設(shè)備憑證所獲得的信息、網(wǎng)絡(luò)互操作性證書一致性等級(諸如WiMAX最小證書等級)、根證書授權(quán)中
心的身份、包含相關(guān)識別信息的設(shè)備證書之內(nèi)的對象身份的整個內(nèi)容
或者其他WiMAX專用字段、會話認(rèn)證密鑰(諸如主會話密鑰)、允 許的QoS (服務(wù)質(zhì)量)、允許的移動性類別、移動性參數(shù)、禾P/或計費 參數(shù)。
利用所接收到的設(shè)備101的認(rèn)證相關(guān)信息,ASN處理單元123確 定是否準(zhǔn)予接入設(shè)備101。當(dāng)然,使用接入策略確定網(wǎng)絡(luò)接入當(dāng)然隨一 個實施例到下一個實施例不同,并且由于網(wǎng)絡(luò)條件而動態(tài)變化或者乃 至實時變化。隨后ASN處理單元123向設(shè)備處理單元105指示是否準(zhǔn) 予設(shè)備101接入。
除了設(shè)備認(rèn)證之外,如上所述,在一些實施例中CSN 131還驗證 服務(wù)訂購。對于基于設(shè)備身份的訂購而言,CSN處理單元133利用從
設(shè)備憑證所獲得的設(shè)備身份以驗證基于設(shè)備身份的訂購。對于涉及用 戶認(rèn)證的訂購而言,CSN處理單元133使用能夠在CSN處理單元133 與設(shè)備處理單元105之間建立諸如加密隧道的加密連接的認(rèn)證交換方法。
此后處理單元133和105使用加密連接以執(zhí)行第二認(rèn)證交換。在 該第二交換中,CSN處理單元133向設(shè)備101請求用戶訂購憑證。根 據(jù)該實施例,處理單元105提供用戶訂購憑證,該用戶訂購憑證釆取 用戶名與口令組合、生物特征信息、預(yù)共享密鑰和/或訂戶身份信息(例 如諸如來自智能卡或SIM卡)的形式。隨后CSN處理單元133嘗試?yán)?用所接收到的用戶訂購憑證來驗證用戶訂購。隨后CSN處理單元133 繼續(xù)向ASN處理單元123指示設(shè)備101的認(rèn)證相關(guān)信息。
圖3是根據(jù)本發(fā)明多個實施例的描述下述認(rèn)證交換的信令流程圖 300,通過所述認(rèn)證交換對無線設(shè)備和/或訂購(基于設(shè)備身份的訂購) 進(jìn)行認(rèn)證和驗證。圖5是根據(jù)信令流程圖300描述WiMAX實施例的這類附加信令的更加詳細(xì)的信令流程圖500。嘗試通過接入提供商網(wǎng)絡(luò)
(諸如接入提供商網(wǎng)絡(luò)220)獲得網(wǎng)絡(luò)接入的無線設(shè)備執(zhí)行一些起始信 令以請求接入并且可能開始認(rèn)證過程。由信令流程圖500中的信令510 來表示這類起始信令的示例。
隨后無線設(shè)備和CSN執(zhí)行認(rèn)證交換310,在該認(rèn)證交換中通過 CSN對來自無線設(shè)備的設(shè)備憑證進(jìn)行認(rèn)證和驗證以建立無線設(shè)備的身 份。存在各種可根據(jù)該實施例和/或即將到來的狀況而使用各種認(rèn)證交 換方法。例如,利用諸如EAP — TLS (EAP —傳輸層安全)的擴(kuò)展認(rèn)證 協(xié)議(EAP)方法來執(zhí)行認(rèn)證交換。通常由信令520和信令流程圖500 來表示其示例。對于CSN還執(zhí)行訂購驗證的情況而言,它使用從設(shè)備 憑證所獲得的設(shè)備身份來驗證基于設(shè)備身份的訂購。
在執(zhí)行了設(shè)備和/或訂購驗證之后,CSN向接入提供商網(wǎng)絡(luò)指示 320與設(shè)備和認(rèn)證交換有關(guān)的授權(quán)相關(guān)信息。隨后接入提供商網(wǎng)絡(luò)基于 所接收到的指示來確定是否準(zhǔn)予接入無線設(shè)備并且向無線設(shè)備指示 330是否準(zhǔn)予它接入網(wǎng)絡(luò)。
由信令流程圖500中的信令530來表示這類信令的三個示例。在 這些示例中,在成功地完成認(rèn)證之后,RADIUS (AAA協(xié)議)返回"接 入一接受"消息。該消息指示認(rèn)證服務(wù)器(在這里H-AAA)完成了所有 其驗證檢査并且同意MS接入網(wǎng)絡(luò)。利用RADIUS,屬性值對(AVPs) 用于將授權(quán)相關(guān)信息傳遞到接入提供商網(wǎng)絡(luò)。
接入提供商網(wǎng)絡(luò)中的認(rèn)證器(在這里V — AAA)對接入接受數(shù)據(jù) 進(jìn)行檢驗并且基于本地策略確定存在于接入接收中的設(shè)備信息是否足 以允許該設(shè)備在接入提供商網(wǎng)絡(luò)上。選擇不接受該設(shè)備并且拒絕認(rèn)證 會話,防止設(shè)備獲得接入,或者如果它接受了設(shè)備信息,那么它將接 入接受轉(zhuǎn)發(fā)到WiMAX無線電裝置(ASN)上并且允許該設(shè)備在其網(wǎng) 絡(luò)卜.。另外或者可替換地,ASN基于本地策略來確定存在于接入接受中的設(shè)備信息是否足以允許該設(shè)備接入。因此,V — AAA和/或ASN中 任一個或兩者可以是認(rèn)證策略執(zhí)行器(enforcer)。
此外,在信令510中的RADIUS接入-請求信令中,接入提供商網(wǎng) 絡(luò)使用一個或多個AVP向請求設(shè)備認(rèn)證的H — AAA指示其設(shè)備接入策 略或者僅僅進(jìn)行通告。例如,AVP指示如果H — AAA無法對設(shè)備進(jìn)行 成功認(rèn)證(即設(shè)備不具有證書或者證書是無效的),那么H — AAA將 不會接受認(rèn)證。如果CSN對執(zhí)行設(shè)備認(rèn)證不感興趣并且它知道ASN沒 有請求它,那么具有該信息則可使H — AAA不執(zhí)行設(shè)備認(rèn)證。AVP還 (可選地)指示如果執(zhí)行設(shè)備認(rèn)證,那么向接入提供商網(wǎng)絡(luò)通知憑證, 但是如果沒有執(zhí)行設(shè)備認(rèn)證,那么指示原因(例如對證書請求無響應(yīng)、 未知證書等等)。
圖4是根據(jù)本發(fā)明多個實施例的描述下述兩個認(rèn)證交換的信令流 程圖400,通過所述這兩個認(rèn)證交換對無線設(shè)備和用戶訂購進(jìn)行認(rèn)證和 驗證。圖6是描述附加信令的一個示例的更加詳細(xì)的信令流程圖600, 根據(jù)信令流程圖400的WiMAX實施例可利用該附件信令。嘗試通過 接入提供商網(wǎng)絡(luò)(諸如接入提供商網(wǎng)絡(luò)220)獲得網(wǎng)絡(luò)接入的無線設(shè)備 執(zhí)行一些啟動信令以請求接入并且可能開始認(rèn)證處理。山信令流程圖 600中的信令610來表示這類啟動信令的示例。
無線設(shè)備和CSN隨后執(zhí)行認(rèn)證交換410,在認(rèn)證交換410中CSN 對來自無線設(shè)備的設(shè)備憑證進(jìn)行認(rèn)證和驗證以建立無線設(shè)備的身份。 '丄根據(jù)該實施例和/或即將到來的狀況而使用各種認(rèn)證交換方法。例如, 利用諸如EAP — TTL S (EAP —隧道傳輸層安全)或者PEAP (保護(hù)EAP ) 的擴(kuò)展認(rèn)證協(xié)議(EAP)方法來執(zhí)行認(rèn)證交換。由信令流程圖600中的 信令620來表示該示例。EAP — TTLS和PEAP 二者利用數(shù)字證書以對 無線設(shè)備的服務(wù)器進(jìn)行認(rèn)證,并且二者提供能夠向無線設(shè)備請求數(shù)字 證書的選項。在本發(fā)明的優(yōu)選實施例中,利用這些協(xié)議的可選行為取 回設(shè)備憑證,從而能夠由CSN且最終由ASN來對設(shè)備進(jìn)行驗證。諸如EAP — TTLS或者PEAP的EAP方法可用作外部EAP方法, 因為這兩個協(xié)議意在創(chuàng)建安全路徑(即加密連接),通過該安全路徑 來執(zhí)行認(rèn)證的第二 (或者內(nèi)部)方法。(實際上, 一旦建立了加密連 接,那么通過加密連接來執(zhí)行多個內(nèi)部認(rèn)證交換)例如, 一旦利用認(rèn) 證服務(wù)器建立了 EAP — TTLS隧道,那么MS執(zhí)行基于MS — CHAP — v2 (微軟公司質(zhì)詢一握手認(rèn)證協(xié)議版本2)用戶名/口令的認(rèn)證。EAP 一TTLS對用戶身份和用作MS — CHAP — v2 —部分的質(zhì)詢消息的交換 進(jìn)行加密并對其進(jìn)行完整性檢査。
事實上, 一旦利用認(rèn)證服務(wù)器建立加密連接,MS利用許多不同方 法來執(zhí)行認(rèn)證交換。這些中的一些包括CHAP(質(zhì)詢認(rèn)證一握手協(xié)議)、 MS — CHAP (微軟公司質(zhì)詢一握手認(rèn)證協(xié)議)、MS —CHAP — v2 (參 見RFC 2759) 、 PAP (口令認(rèn)證協(xié)議)、EAP —SIM (全球移動通信系 統(tǒng)(GSM)用訂戶身份模塊的擴(kuò)展認(rèn)證協(xié)議)(參見RFC 4186) 、 EAP 一AKA (第三代認(rèn)證和密鑰協(xié)定的擴(kuò)展認(rèn)證協(xié)議方法)(參見RFC 4187)以及EAP — PSK (擴(kuò)展認(rèn)證協(xié)議預(yù)共用密鑰EAP方法)(參見 draft —bersani — eap — pskl 1.txt)。通過http:〃 www.ietf.org/可得至lj IETF 請求注解(RFC)文檔和草案。
因此,利用作為認(rèn)證交換410結(jié)果在CSN與無線設(shè)備之間的加密 連接,執(zhí)行認(rèn)證交換415。 CSN利用在交換415期間從無線設(shè)備所獲得 的用戶訂購憑證來對用戶訂購進(jìn)行驗證。在執(zhí)行設(shè)備和訂購驗證之后, CSN向接入提供商網(wǎng)絡(luò)指示420與設(shè)備和認(rèn)證交換有關(guān)的授權(quán)相關(guān)信 息。接入提供商網(wǎng)絡(luò)隨后基于所接收到的指示來確定是否準(zhǔn)予接入無 線設(shè)備并且向無線設(shè)備指示430是否準(zhǔn)予接入網(wǎng)絡(luò)。由信令流程圖600 中的信令630來表示這類信令的三個示例。就RADIUS信令而言的上 述描述以及就示意圖500而言的認(rèn)證策略執(zhí)行通常也可應(yīng)用于示意圖 600 (例如信令610和630)。本領(lǐng)域普通技術(shù)人員應(yīng)清楚的是在不脫離本發(fā)明的精神和范圍的 情況下可對上述特定實施例進(jìn)行各種修改和變化。因此,應(yīng)認(rèn)為上述 對某些實施例更詳細(xì)地討論是說明性的和示例性的而不是限制性的或 者包括所有的,并且上述對特定實施例的所有這種修改意在包含在本 發(fā)明的范圍之內(nèi)。
上面己對關(guān)于本發(fā)明的特定實施例的益處、其他優(yōu)點以及問題的 解決方案進(jìn)行了描述。然而,不應(yīng)認(rèn)為會引起或產(chǎn)生這種益處、優(yōu)點 或解決方案或者會使這種益處、優(yōu)點、或解決方案變得更清晰的益處、 優(yōu)點、問題的解決方案、以及任何元件是任何或所有權(quán)利要求的關(guān)鍵、 所需的或必要特征或者元件。
如在這里所使用的并且在所附權(quán)利要求中,術(shù)語"包括"或者其
任何其他變化是指非專門包含,因此包括元件列表的過程、方法、制
品或者裝置不僅包括該列表中的那些單元,而是可包括未明確列表或
者為該過程、方法、制品或者裝置固有的其他元件。如在這里所使用
的,將術(shù)語"一個"定義為一個或多于一個。如在這里所使用的,將
術(shù)語多個定義兩個或多于兩個。如在此所使用的,將術(shù)語另一個第一
為至少第二個或多個。除非在這里另有指示,即使有的話,諸如第--和第二等等這樣的關(guān)系術(shù)語的使用僅用于區(qū)別一個實體或動作與另一
實體或動作而不必需耍求或者意味著這種實體與動作之間的仟何實際 這種關(guān)系或順序。
將這里所使用的術(shù)語"包括"和/或"具有"定義為包括(即開放 性語言)。將這里所使用的術(shù)語耦合定義為連接,雖然不一定是直接 地也未必是機(jī)械地。從詞"指示(indicating)"所得到的術(shù)語(例如"指 示(indicates)"和指示"indication")意在包括可用于通信或者參考所 指示的對象的所有各種技術(shù)。 一些但不是所有的可用于通信或者參考 所指示對象的技術(shù)的示例包括對所指示對象的傳達(dá)、對所指示對象的 標(biāo)識符的傳達(dá)、對用于產(chǎn)生所指示對象的信息的傳達(dá)、對所指示對象的一部分的傳達(dá)、對所指示對象的一些衍生物的傳達(dá)、以及對表示所 指示對象的一些符號的傳達(dá)。將這里所使用的術(shù)語程序、計算機(jī)程序 以及計算機(jī)指令定義為用于在計算機(jī)系統(tǒng)上執(zhí)行的指令序列。該指令 序列包括但并不局限于子程序、功能、過程、對象方法、對象實現(xiàn)、
可執(zhí)行應(yīng)用、小程序、服務(wù)器端的小程序(servlet)、共享庫/動態(tài)加 載庫、源代碼、目標(biāo)代碼、和/或匯編碼。
權(quán)利要求
1. 一種用于在準(zhǔn)予接入到接入服務(wù)網(wǎng)絡(luò)(ASN)之前通過連通性服務(wù)網(wǎng)絡(luò)(CSN)來對無線設(shè)備進(jìn)行認(rèn)證的方法,該方法包括CSN通過ASN來執(zhí)行與所述無線設(shè)備的認(rèn)證交換,在所述認(rèn)證交換中請求設(shè)備憑證;CSN建立所述無線設(shè)備的身份,建立所述身份包括如果從所述無線設(shè)備獲得了所述設(shè)備憑證,那么對所述設(shè)備憑證進(jìn)行認(rèn)證和驗證;CSN向ASN的認(rèn)證器指示下述至少一個已建立的所述無線設(shè)備的身份,是否成功地對所述無線設(shè)備進(jìn)行認(rèn)證和驗證、是否執(zhí)行證書撤銷列表(CRL)檢查、所述無線設(shè)備的硬件版本、所述無線設(shè)備的制造商、從所述設(shè)備憑證獲得的信息、網(wǎng)絡(luò)互操作性證書一致性等級、根證書授權(quán)中心的身份以及會話認(rèn)證密鑰。
2. 根據(jù)權(quán)利要求1的方法,其中,CSN包括本地認(rèn)證、授權(quán)以及 計費服務(wù)器(H — AAA),并且其中ASN的認(rèn)證器包括訪問認(rèn)證、授 權(quán)以及計費代理服務(wù)器(V — AAA) d
3. 根據(jù)權(quán)利要求l的方法,其中,執(zhí)行所述認(rèn)證交換包括 利用擴(kuò)展認(rèn)證協(xié)議(EAP)方法執(zhí)行所述認(rèn)證交換。
4. 根據(jù)權(quán)利要求3的方法,其中,所使用的EAP方法是EAP — TLS (EAP —傳輸層安全)。
5. 根據(jù)權(quán)利要求l的方法,進(jìn)一步包括作為所述認(rèn)證交換的結(jié)果,在CSN與所述無線設(shè)備之間建立加密連接;利用從所述設(shè)備憑證獲得的設(shè)備身份來對基于設(shè)備身份的訂購進(jìn) 行驗證,其中,向ASN的認(rèn)證器指示包括響應(yīng)于成功地驗證基于設(shè)備身份的訂購而進(jìn)行指示。
6. 根據(jù)權(quán)利要求l的方法,進(jìn)一步包括作為所述認(rèn)證交換的結(jié)果,在CSN與所述無線設(shè)備之間建立加密 連接;CSN通過所述加密連接來執(zhí)行與所述無線設(shè)備的第二認(rèn)證交換, 在所述第二認(rèn)證交換中請求用戶訂購憑證;利用所獲得的用戶訂購憑證對用戶訂購進(jìn)行驗證,其中,向ASN的認(rèn)證器指示包括響應(yīng)于成功地驗證所述用戶訂購而進(jìn)行指示。
7. 根據(jù)權(quán)利要求6的方法,其中,執(zhí)行所述認(rèn)證交換包括 利用擴(kuò)展認(rèn)證協(xié)議(EAP)方法執(zhí)行所述認(rèn)證交換,其中,所使用的EAP方法是EAP — TTL S (EAP —隧道傳輸層安全) 和PEAP (受保護(hù)的EAP)中的 一 個。
8. 根據(jù)權(quán)利要求6的方法,其中,CSN通過所述加密連接執(zhí)行所 述第二認(rèn)證交換包括利用下述至少--個來執(zhí)行所述第二認(rèn)證交換CHAP (質(zhì)詢認(rèn)證一 握手協(xié)議)、MS — CHAP (微軟質(zhì)詢一握手認(rèn)證協(xié)議)、MS — CHAP 一v2 (微軟質(zhì)詢一握手認(rèn)證協(xié)議版本2) 、 PAP ( 口令認(rèn)證協(xié)議)、EAP 一SIM (全球移動通信系統(tǒng)(GSM)訂戶身份模塊的擴(kuò)展認(rèn)證協(xié)議)、 EAP — AKA (第三代認(rèn)證和密鑰協(xié)定的擴(kuò)展認(rèn)證協(xié)議方法)以及EAP —PSK (擴(kuò)展認(rèn)證協(xié)議預(yù)共享密鑰EAP方法)。
9. 根據(jù)權(quán)利要求6的方法,其中,所述用戶訂購憑證包括用戶名 和口令組合、生物特征信息、訂戶身份信息以及預(yù)共享密鑰中的至少
10. --種用于在準(zhǔn)予接入到接入服務(wù)網(wǎng)絡(luò)(ASN)之前通過連通性服務(wù)網(wǎng)絡(luò)(CSN)來對無線設(shè)備進(jìn)行認(rèn)證的方法,該方法包括所述無線設(shè)備通過ASN來執(zhí)行與CSN的第一認(rèn)證交換,在所述第一認(rèn)證交換中由所述無線設(shè)備提供設(shè)備憑證,所述第一認(rèn)證交換在CSN與所述無線設(shè)備之間產(chǎn)生加密連接;所述無線設(shè)備通過所述加密連接執(zhí)行與CSN的第二認(rèn)證交換,在 所述第二認(rèn)證交換中由所述無線設(shè)備提供用戶訂購憑證;作為所述第一和所述第二認(rèn)證交換的結(jié)果,所述無線設(shè)備接收是 否已準(zhǔn)予所述無線設(shè)備接入到ASN上的指示。
11. 根據(jù)權(quán)利要求10的方法,其中,執(zhí)行所述第一認(rèn)證交換包括 執(zhí)行與CSN的所述第一認(rèn)證交換,在所述第一認(rèn)證交換中所述無線設(shè)備請求服務(wù)器憑證。
12. 根據(jù)權(quán)利要求10的方法,其中,執(zhí)行所述第一認(rèn)證交換包括 利用擴(kuò)展認(rèn)證協(xié)議(EAP)方法執(zhí)行所述認(rèn)證交換, 其中,所使用的EAP方法是EAP —TTLS(EAP—隧道傳輸層安全)和PEAP (受保護(hù)的EAP)巾的 一 個。
13. 根據(jù)權(quán)利要求10的方法,其中,所述執(zhí)行第二認(rèn)證交換包括 利用下述至少--個來執(zhí)行所述第二認(rèn)證交換CHAP (質(zhì)詢認(rèn)證一握手協(xié)議)、MS — CHAP (微軟質(zhì)詢一握手認(rèn)證協(xié)議)、MS — CHAP 一v2 (微軟質(zhì)詢一握手認(rèn)證協(xié)議版本2) 、 PAP (口令認(rèn)證協(xié)議)、EAP 一SIM (全球移動通信系統(tǒng)(GSM)訂戶身份模塊的擴(kuò)展認(rèn)證協(xié)議)、 EAP — AKA (第三代認(rèn)證和密鑰協(xié)定的擴(kuò)展認(rèn)證協(xié)議方法)以及EAP 一PSK (擴(kuò)展認(rèn)證協(xié)議預(yù)共享密鑰EAP方法)。
14. 根據(jù)權(quán)利要求10的方法,其中,所述用戶訂購憑證包括用戶 名和口令組合、生物特征信息、訂戶身份信息以及預(yù)共享密鑰中的至 少一個。
15. —種用于在準(zhǔn)予接入到接入服務(wù)網(wǎng)絡(luò)(ASN)之前通過連通 性服務(wù)網(wǎng)絡(luò)(CSN)來對無線設(shè)備進(jìn)行認(rèn)證的方法,該方法包括通過接入提供商網(wǎng)絡(luò)請求CSN對所述無線設(shè)備進(jìn)行認(rèn)證,其中, 所述接入提供商網(wǎng)絡(luò)包括ASN;通過所述接入提供商網(wǎng)絡(luò)從CSN接收對下述至少一個的指示已 建立的所述無線設(shè)備的身份,是否對所述無線設(shè)備進(jìn)行成功認(rèn)證、是 否執(zhí)行證書撤銷列表(CRL)檢查、所述無線設(shè)備的硬件版本、所述無 線設(shè)備的制造商、從所述設(shè)備憑證獲得的信息、網(wǎng)絡(luò)互操作性證書一 致性等級、根證書授權(quán)中心的身份以及會話認(rèn)證密鑰;通過所述接入提供商網(wǎng)絡(luò)基于所接收到的指示來確定是否準(zhǔn)予接 入所述無線設(shè)備;ASN向所述無線設(shè)備指示是否準(zhǔn)予所述無線設(shè)備接入。
16. 根據(jù)權(quán)利要求15的方法,其中,請求CSN以對所述無線設(shè)備進(jìn)行認(rèn)證包括指示是否請求設(shè)備認(rèn)證以及所述接入提供商網(wǎng)絡(luò)的設(shè)備 接入策略中的至少 ---個。
17. 根據(jù)權(quán)利要求15的方法,其中,所述接入提供商網(wǎng)絡(luò)包括ASN 和訪問網(wǎng)絡(luò)認(rèn)證器,并且其中,基于所接收到的指示來確定是否準(zhǔn)予接入所述無線設(shè)備包 括通過A SN和訪問網(wǎng)絡(luò)認(rèn)證器中的至少 一 個來確定是否利用設(shè)備接入 策略來準(zhǔn)予接入所述無線設(shè)備。
18. 根據(jù)權(quán)利要求17的方法,其中,CSN包括本地認(rèn)證、授權(quán)以 及計費服務(wù)器(H — AAA)并且其中所述訪問網(wǎng)絡(luò)認(rèn)證器包括訪問認(rèn)證、 授權(quán)以及計費代理服務(wù)器(V — AAA)。
19. 一種無線設(shè)備,包括收發(fā)器;處理單元,可通信地耦合到所述收發(fā)器,適于通過所述收發(fā)器和接入服務(wù)網(wǎng)絡(luò)(ASN)執(zhí)行與連通性服務(wù) 網(wǎng)絡(luò)(CSN)的第一認(rèn)證交換,在所述第一認(rèn)證交換中由所述無線設(shè)備 提供設(shè)備憑證,所述第一認(rèn)證交換在CSN與所述無線設(shè)備之間產(chǎn)生加 密連接,適于通過所述收發(fā)器和所述加密連接執(zhí)行與CSN的第二認(rèn)證交 換,在所述第二認(rèn)證交換中由所述無線設(shè)備提供用戶訂購憑證,以及適于通過所述收發(fā)器并且作為所述第一和所述第二認(rèn)證交換的結(jié) 果,接收是否已準(zhǔn)予所述無線設(shè)備接入到ASN上的指示。
全文摘要
描述了對無線設(shè)備(101)和/或相關(guān)用戶訂購進(jìn)行認(rèn)證的各種實施例。通過利用與無線設(shè)備的單個認(rèn)證交換以獲得設(shè)備證書,連通性服務(wù)網(wǎng)絡(luò)(CSN)(231)對設(shè)備憑證進(jìn)行認(rèn)證和驗證以建立設(shè)備身份。對于基于設(shè)備身份的訂購,設(shè)備身份用于對訂購進(jìn)行驗證。對于用戶訂購認(rèn)證,利用第一認(rèn)證交換(a.k.a,外部交換)所建立的加密連接來執(zhí)行第二認(rèn)證交換。通過僅利用一個外部認(rèn)證交換,可形成與已知技術(shù)相比呈現(xiàn)出減少了消息傳送并且降低了復(fù)雜性的實施例。
文檔編號H04M1/66GK101536480SQ200780041069
公開日2009年9月16日 申請日期2007年10月15日 優(yōu)先權(quán)日2006年11月3日
發(fā)明者史蒂文·D·厄普 申請人:摩托羅拉公司