CN101536453A - 对双栈操作进行互通授权的方法和装置 - Google Patents
对双栈操作进行互通授权的方法和装置 Download PDFInfo
- Publication number
- CN101536453A CN101536453A CNA2007800308612A CN200780030861A CN101536453A CN 101536453 A CN101536453 A CN 101536453A CN A2007800308612 A CNA2007800308612 A CN A2007800308612A CN 200780030861 A CN200780030861 A CN 200780030861A CN 101536453 A CN101536453 A CN 101536453A
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- protocol version
- authorized
- mandate
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种允许对双栈操作进行互通授权的方法。该方法允许在终端得到授权和认证以使用IPv4和IPv6两个版本时在这两个版本中同时操作。该方法包括以下步骤:请求由无线通信系统中的授权实体进行认证;如果所述认证成功,则从所述授权实体接收认证消息,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
Description
基于35 U.S.C.S.119要求优先权
本申请要求于2006年8月21日递交的、名称为“WLAN-CDMA2000INTERWORKING AUTHORIZATION OF IPV4-IPV6 DUAL-STACKOPERATION”、序号为60/839,212的美国临时专利申请的利益。上述申请的全部内容以引用方式并入本文。
技术领域
概括地说,本发明涉及通信系统,具体地说,本发明涉及对双栈操作进行互通(interworking)授权的方法和装置。
背景技术
近几年来,无线通信技术呈现出快速的发展。这种发展在某种程度上受到以下各项的推动:无线技术所提供的移动自由度,以及在无线介质上语音和数据通信的显著改善的质量。语音业务连同附加数据业务的质量已经得到改善,并且将依旧对通信中的公众有着明显的影响。附加业务包括在漫游时使用移动设备访问互联网。
在移动时保证数据会话的能力对于用户和系统操作者来说都是很重要的。因为较多的用户使用移动互联网协议操作,所以用户期望使用双栈操作来同时访问相同的分组数据互通功能,从而允许同时使用2个版本的移动互联网协议。分组数据互通功能(PDIF)用作保护蜂窝式网络的安全网关。
图1示出无线局域网(WLAN)的互通架构。该网络可以是根据由名称为“第三代合作伙伴计划2(3rd Generation Partnership Project 2)”(在本文表示为3GPP2)的协会提供的标准所定义的3GPP2标准运行的无线通信系统的一部分。架构100包括移动站(MS)102,其连接至WLAN系统104。WLAN系统104包括接入点(AP)106和接入路由器(AR)108。WLAN系统连接至3G家庭网络110。WLAN系统经由分组数据互通功能(PDIF)122连接至3G家庭网络110。PDIF 114连接至家庭认证、授权和计费(H-AAA)设备112。
MS通过PDIF建立安全IP隧道,其用作3G家庭网络中的安全网关。H-AAA 112对隧道建立进行认证和授权。在建立隧道之后,MS可访问3G家庭网络110中的业务。图1中的虚线表示认证、授权和计费信息的路径,并表示在H-AAA 112和PDIF 114之间的信息传送。实线示出用户数据业务的承载路径,管道表示用于保护在MS 102和PDIF 114之间的用户数据业务的安全隧道。
MS预先配置有PDIF地址信息(IP地址或完全合格的域名)。如果MS配置有PDIF的FQDN,则MS将通过域名系统(DNS)进行中继,以解析与FQDN相关的IP地址。MS使用互联网密钥交换版本2(IKEv2)来建立具有PIDF的安全隧道(已知为用于数据传送的IP-sec隧道)。建立安全隧道的一部分需要通过图1中的H-AAA 112对MS进行认证和授权。MS可使用多个过程进行相互认证。在MS和H-AAA之间交换的可扩展认证协议(EAP)消息中传送包括凭证和随机挑战的认证信息。EAP消息通过MS和PDIF之间的IKEv2消息进行传输,还通过PDIF和H-AAA之间交换的RADIUS消息进行传输。
MS期望使用IPv4和IPv6两者同时访问同一PDIF。这种双栈操作对PDIF提出了认证问题,即,PDIF需要知道针对IPv4和/或IPv6是否对MS进行了授权。此外,PDIF需要向MS指示,在针对IPv4和IPv6两者,请求双栈操作的MS都没有得到授权的情况下,对于上述IP版本之一,MS没有得到授权。需要一种方法和装置,用于向MS指示得到IP授权,还用于向MS指示对于两种IP版本该MS都没有得到授权。
发明内容
一种在通信系统中用于双栈授权和操作的方法,包括:请求由通信系统中的授权实体进行认证;然后,如果所述认证成功,则从所述授权实体接收认证消息,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
另一实施例提供一种方法,包括:请求双栈操作,所述双栈操作使用多于一个互联网协议版本;接收双栈操作的授权,所述双栈操作使用多于一个互联网协议版本;建立每个互联网协议版本的独立从属安全授权,其中,所述从属安全授权从属于互联网密钥交换安全授权;建立用于通信的至少一个安全隧道;以及使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本。
另一实施例提供一种方法,包括:请求双栈操作,所述双栈操作使用多于一个互联网协议版本;通过消息接收一个互联网协议版本的授权,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;建立被授权的互联网协议版本的安全授权,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;建立用于通信的安全隧道;以及使用所述安全隧道进行通信。
另一实施例提供一种装置,包括以下元件:发射机,用于请求由无线通信系统中的授权实体进行认证;接收机,用于在所述认证成功时从所述授权实体接收认证消息,其中,所述认证消息包含对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
另外的实施例提供一种装置,包括以下元件:用于请求双栈操作的发射机,所述双栈操作使用多于一个互联网协议版本;接收机,用于接收双栈操作的授权,所述双栈操作使用多于一个互联网协议版本;存储器,用于存储每个互联网协议版本的独立从属安全授权,其中,所述从属安全授权从属于互联网密钥交换安全授权;处理器,使用所述发射机建立用于通信的至少一个安全隧道;以及用于访问互联网协议版本的发射机,使用所述用于通信的至少一个安全隧道同时访问多于一个互联网协议版本。
另一实施例提供一种装置,包括以下元件:发射机,用于请求双栈操作,所述双栈操作使用多于一个互联网协议版本;接收机,用于通过消息接收一个互联网协议版本的授权,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;处理器,用于建立被授权的互联网协议版本的安全授权,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;存储器,用于存储所述被授权的互联网协议版本的安全授权;发射机,建立用于通信的安全隧道;发射机,使用所述安全隧道进行通信。
另一实施例提供一种装置,包括以下元件:用于请求由无线通信系统中的授权实体进行认证的模块;以及用于在所述认证成功时从所述授权实体接收认证消息的模块,其中,所述认证消息包含对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
另外的实施例提供一种方法,包括以下步骤:请求双栈操作的模块,所述双栈操作使用多于一个互联网协议版本;接收双栈操作的授权的模块,所述双栈操作使用多于一个互联网协议版本;建立每个互联网协议版本的独立从属安全授权的模块,其中,所述从属安全授权从属于互联网密钥交换安全授权;建立用于通信的至少一个安全隧道的模块;以及使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的模块。
另一实施例提供一种装置,包括:请求双栈操作的模块,所述双栈操作使用多于一个互联网协议版本;通过消息接收一个互联网协议版本的授权的模块,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;建立被授权的互联网协议版本的安全授权的模块,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;建立用于通信的安全隧道的模块;以及使用所述安全隧道进行通信的模块。
提供一种计算机程序产品实施例,包括:计算机可读介质,其包括:使得计算机请求由无线通信系统中的授权实体进行认证的指令;以及使得计算机在所述认证成功时从所述授权实体接收认证消息的指令,其中所述认证消息包含对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
另一实施例提供一种计算机程序产品实施例,包括:计算机可读介质,其包括:使得计算机请求双栈操作的指令,所述双栈操作使用多于一个互联网协议版本;使得计算机接收双栈操作的授权的指令,所述双栈操作使用多于一个互联网协议版本;使得计算机建立每个互联网协议版本的独立从属安全授权的指令,其中所述从属安全授权从属于互联网密钥交换安全授权;使得计算机建立用于通信的至少一个安全隧道的指令;以及使得计算机使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的指令。
另外的实施例提供一种计算机程序产品,包括:计算机可读介质,其包括:使得计算机请求双栈操作的指令,所述双栈操作使用多于一个互联网协议版本;使得计算机通过消息接收一个互联网协议版本的授权的指令,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;使得计算机建立被授权的互联网协议版本的安全授权的指令,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;使得计算机建立用于通信的安全隧道的指令;以及使得计算机使用所述安全隧道进行通信的指令。
附图说明
图1是示出根据本发明实施例用于支持对双栈操作进行互通授权的互通架构框图。
图2示出根据本发明实施例的CREATE_CHILD_SA请求的内容。
图3示出根据本发明实施例的CREATE_CHILD_SA响应的内容。
图4A示出根据本发明实施例的IPsec隧道建立。
图4B示出根据本发明实施例的隧道建立流程。
图5示出根据本发明实施例的IP版本授权RADIUS VSA的结构。
图6示出根据本发明实施例的经授权的IPv4-IPv6双栈操作的流程图。
图7示出根据本发明实施例在仅IPv4被授权时的操作流程图。
图8示出根据本发明实施例在仅IPv6被授权时的操作流程图。
具体实施方式
在本文中,词语“示例性”用于表示“用作实例、例子或图示”。本文中描述为“示例性”的任一实施例不应被解释为比其它实施例优选或有利。
期望访问分组数据业务的MS需要获得对IP接入网络的访问。MS启动作为接入过程一部分的隧道建立。这些隧道建立在MS和PDIF之间,并在建立隧道和开始分组数据业务之前需要几个步骤。
MS进行的第一步骤是开始认证、授权和计费。认证是通常按照用户名和密码来识别个人的过程。认证过程假设用户名和密码唯一地识别用户。
在认证之后,授权过程允许用户访问网络资源。可以改变访问的等级,并且根据授权的等级来准许或拒绝用户访问网络资源。
计费是在用户访问网络资源时对用户行为的跟踪,包括在网络上花费的时间量、在网络上使用的业务以及在网络会话期间传送的数据量。
在MS尝试访问分组数据业务时执行用于访问网络资源的认证和授权。业务授权通常独立于WLAN认证和授权。H-AAA服务器使用访问协议(例如远端认证拨入用户服务(RADIUS)或DIAMETER)来进行认证和授权。RADIUS是许多互联网服务提供商使用的认证和计费系统。
IP安全(IPsec)提供机密性、数据完整性、访问控制以及对IP数据报的数据源认证。通过保持在IP数据报源和IP数据报宿之间的共享状态来提供这些服务。这种状态定义了向数据报提供的具体服务,其中将使用加密算法来提供服务,并将密钥用作加密算法的输入。将已知为互联网密钥交换(IKE)的协议用于建立这种共享状态。
IKE在双方之间进行相互认证,还建立IKE安全关联(SA),其包括共享秘密信息以及由SA用于保护它们携带的信息流的一组加密算法,所述共享秘密信息可用于针对封装安全载荷(ESP)和/或认证报头(AH)有效地建立SA。发起方提出用于保护SA的一组加密算法。IKE SA称为“IKE_SA”。通过所述IKE_SA建立的ESP和/或AH的SA已知为“CHILD_SA(子_SA)”。
所有IKE通信包括如下消息对:请求和响应。这种消息对已知为交换。建立IKE_SA的第一消息是初始交换“IKE_SA_INIT”和“IKE_AUTH”。建立子SA的随后交换已知为“CREATE_CHILD_SA(创建_子_SA)”或信息交换。通常,首先存在单个IKE_SA_INIT交换和单个IKE_AUTH交换,使用总共4个消息来建立IKE_SA和第一CHILD_SA。在某些情况下,可能需要多于一个的交换。在所有情况下,IKE_SA_INIT交换必须在任一其它交换类型之前完成。接下来,必须完成所有IKE_AUTH交换。随后,任意数目的CREATE_CHILD_SA交换和信息(INFORMATIONAL)交换可以以任意顺序出现。随后的交换可在相同认证对的端点之间建立附加CHILD_SA。
IKE消息流包括随后有响应的请求。保证可靠性是请求方的责任。如果在超时的时间间隔内没有接收到响应,则请求方需要重发请求或放弃连接。
IKE会话的第一请求/响应对IKE_SA的安全参数进行协商,发送随机数(nonces)和Diffie-Hellman值。
第二请求响应IKE_AUTH发送身份,证明知道与2个身份对应的秘密,并建立用于第一AH的SA和/或ESP CHILD_SA。
随后的交换可创建CHILD_SA(CREATE_CHILD_SA)和信息(INFORMATIONAL),其可删除SA,报告错误状态或其它辅助功能。每个请求需要一个响应。直到完成初始交换之后才进行随后的交换。
CREATE_CHILD交换包括单对请求/响应,并且可在初始交换完成之后通过任一IKE_SA端启动。使用IKE交换的前2个消息的协商加密集以加密方式来保护在初始交换后的所有消息。任一端点可启动CREATE_CHILD_SA交换。通过发送CREATE_CHILD_SA请求来创建CHILD_SA。CREATE_CHILD_SA请求可包含用于附加Diffie-Hellman交换的载荷,以便稳健地保证CHILD_SA的前向保密性。CHILD_SA的密钥材料是在建立IKE_SA期间建立的函数、在CREATE_CHILD_SA交换期间交换的随机数以及Diffie-Hellman值(如果密钥交换载荷包括在CREATE_CHILD_SA交换中)。
在初始交换期间创建的CHILD_SA中,不得发送第二密钥交换载荷和随机数。将来自初始交换的随机数用于计算CHILD_SA的密钥。
图2示出CREATE_CHILD_SA的内容。发起方在SA载荷中发送SA要约(offer)。在Ni载荷中发送随机数。将这个随机数以及在IKE_SA_INIT消息中包含的其它随机数用作加密函数的输入。在CREATE_CHILD_SA请求和响应中,随机数用于对密钥导出技术增加新鲜度,用以获得CHILD_SA的密钥,以及保证从Diffie-Hellman密钥创建强伪随机比特。在IKEv2中使用的随机数被随机选择,并且其大小为至少128比特,是协商的伪随机函数的密钥大小的至少一半。可以在KEi载荷中发送Diffie-Hellman值。在TSi和TSr载荷中发送所提出的业务选择器。如果SA要约包括不同的Diffie-Hellman组,则KEi必须是发起方期望响应方接受的组的元素。如果猜测错误,则CREATE_CHILD_SA交换失败,并需要通过不同的KEi重试。
利用IKE_SA的协商加密算法,对报头之后的消息加密,并对包括报头的消息进行完整性保护。
图3示出CREATE_CHILD_SA响应的内容。如果在请求中包括KEi并且协商密码集包括该组,则响应方使用具有SA载荷中接受的要约以及KEr中的Diffie-Hellman值的相同的消息标识符来应答。如果响应方选择具有不同组的密码集,则它必须拒绝该请求。然后发起方应重复该请求,但是具有来自响应方选择的组的KEi载荷。用于在该SA上要发送的业务的业务选择器在业务选择器(TS)载荷中指定,其可以是所提出的CHILD_SA的发起方的子集。如果CREATE_CHILD_SA请求正用于改变IKE_SA的密钥,则业务选择器可忽略。
一旦创建了CHILD_SA,则下一步骤是建立IPsec隧道。以下详细描述隧道建立过程。
MS可预先规定有PDIF的IP地址,或可使用DNS机制来检索PDIF的IP地址。在建立用于DNS请求的FQDN时,MS应该识别操作者的网络。为了便于对网络进行访问,MS可预先规定有多个PDIF的FQDN。一旦MS接收了包括一个或多个PDIF IP地址的响应,MS选择具有与其本地IP地址(其是在成功关联时通过WLAN分配的IP地址)相同的IP版本的PDIFIP地址。这个选择可通过用户执行,或可通过MS自动执行。可使用几个机制来发现PDIF,它们取决于实施方式而定。
消息交换用于在MS和PDIF之间建立IPsec隧道。图4示出这种信息交换。在步骤1,MS对WLAN接入网络进行认证,并获得对互联网的访问。这可涉及WLAN与H-AAA相核对以便进行授权。
在步骤2,MS从接入网络获得IP地址。MS还发现缺省路由器和DNS服务器地址。
在步骤3,MS开始与PDIF的IKEv2交换。在这个交换中发送的第一组消息是初始交换,指定为IKE_SA_INIT。
在步骤4,MS启动与PDIF的IKE_AUTH交换。这些消息被加密,并通过在IKE_SA_INIT交换期间建立的密钥来保护完整性。
在步骤5,MS通过在IKE_AUTH请求中设置配置(CONFIGURATION)载荷来请求隧道内部IP地址(TIA)。MS在载荷中加入网络访问标识符(NAI)。如果MS希望使用可扩展认证协议(EAP),则它在IKE_AUTH消息中不加入认证(AUTH)载荷。
在步骤6,PDIF接收没有AUTH载荷的IKE_AUTH请求,其通过发送RADIUS访问请求消息或Diameter-EAP请求(DER)命令中的EAP-响应/身份消息来联系H-AAA以便请求服务授权和用户认证信息。
在步骤7,在MS和H-AAA之间交换EAP消息。H-AAA将RADIUS访问-挑战中或Diameter-EAP应答(DEA)命令中的EAP请求消息发送至PDIF。PDIF将包括EAP请求消息的IKE_AUTH答复消息发送至MS。
在步骤8,MS通过包括EAP响应消息的IKE_AUTH请求消息进行响应。PDIF将RADIUS访问-请求消息或Diameter-EAP请求命令中的EAP响应消息发送至H-AAA。步骤7和8可发生多次。
如果认证成功,则在步骤9,H-AAA发送RADIUS访问-接受消息中的EAPSuccess(EAP成功),或具有表示成功认证的代码的DEA命令。
在步骤10,在接收到RADIUS访问-接受消息或具有表示成功认证的结果代码的DEA命令时,PDIF发送包括EAP成功的IKE_AUTH响应消息。如果PDIF接收到RADIUS-拒绝消息或具有表示授权失败的结果代码的DEA命令,则PDIF拒绝对MS进行隧道建立,并发送具有被设置为“AUTHENTICATION FAILED(认证失败)”的通知载荷的IKE_AUTH响应消息。
然后在步骤11,MS发送IKE_AUTH请求消息,包括根据在成功EAP认证时生成的主会话密钥(MSK)计算出的AUTH载荷。
在步骤12,PDIF通过IKE_AUTH响应消息进行答复,其包括分配的TIA、AUTH载荷和安全授权。PDIF使用MSK来计算AUTH载荷。PDIF从上述步骤9中的H-AAA获得MSK。
在步骤13,在完成IKE_AUTH交换时,在MS和PDIF之间建立IPsec隧道。
图4B示出在正常隧道建立流程中的步骤。这可用于在建立如随后所述的多个隧道时。
可对同一PDIF建立多个隧道。一旦IKE安全关联(SA)通过认证,则在IKE SA中可协商多于一个的子SA。交换是已知的,因为CREATE_CHILD_SA受到保护并使用在IKE交换的前2个消息中协商的加密算法和密钥,如上所述。因此,在MS和PDIF之间的附加CHILD_SA的创建不再触发向H-AAA传送认证消息。
MS期望使得IPv4和IPv6同时访问相同的PDIF。尽管IKEv2标准允许在相同或单独IPsec隧道中进行这种同时访问,但是不对授权进行寻址,并且PDIF需要知道针对IPv4和IPv6是否对请求双栈授权的MS授权。
第一实施例解决PDIF需要知道针对IPv4和/或IPv6是否对请求MS授权的问题。在上述IPsec隧道建立期间,如果EAP授权成功,则H-AAA返回RADIUS访问-接受消息中的IP-版本-授权VSA,以表示IPv4和/或IPv6是否被授权。如果IP-版本-授权VSA不存在于RADIUS访问-接受消息中,则PDIF将其本地策略用于双栈操作的授权。图5示出IP-版本-授权RADIUSVSA的结构。
在MS期望同时使用IPv4和IPv6并被授权使用两者时,使用另一实施例。图6示出这个实施例的方法。当MS请求IPv4-IPv6双栈操作时,该方法600开始于步骤602。这个请求是以消息形式通过PDIF发送至AAA服务器的。在步骤604,AAA服务器判断是否对MS授权以使用IPv4和IPv6两者。在步骤606,AAA服务器通知PDIF对请求MS进行授权以使用IPv4和IPv6两者。在步骤608,PDIF通知MS对IPv4-IPv6双栈操作的请求得到授权。在步骤610,MS和PDIF针对IPv4和IPv6在相同IKE_SA下建立独立CHILD_SA。如果针对IPv4和IPv6没有对MS授权,则在步骤612,AAA服务器通知PDIF。然后在步骤614,PDIF通知MS未得到授权,还通知MS哪个IP版本没有得到授权。
当MS期望同时使用IPv4和IPv6两者但是仅针对IPv4被授权时,使用另一实施例。图7示出这个实施例的操作的方法。当MS请求IPv4-IPv6双栈操作时,方法700从步骤702开始。在步骤704,AAA服务器进行核对以查看针对IPv4和IPv6两者是否对MS授权。如果针对IPv4和IPv6两者都对MS授权,则该方法返回图6的方法的步骤606。如果仅针对IPv4对MS授权,则AAA服务器通知PDIF仅针对IPv4对MS授权。在步骤710,PDIF发送具有被设置为特定消息类型的通知消息类型的通知载荷,特定消息类型表示仅对IPv4授权。如果无线通信系统使用3GPP2标准进行操作,则在IKE_AUTH响应消息中将消息类型设置为8193。其它操作系统可使用不同的消息类型,但是不影响本实施例的操作。在这种情况下,在步骤712,仅建立IPv4的IPsec隧道。为了防止MS建立与网络的IPv6会话,MS CFG在请求载荷中将IINTERNAL_IP6_ADDRESS属性t设置为0:0。PDIF CFG在答复载荷中将INTERNAL_IP6_ADDRESS属性的长度设置为0。PDIF可通过发送具有表示错误的特定消息类型的通知载荷来通知MS,MS没有得到授权来进行IPv6访问。如果MS尝试从PDIF获得IPv6前缀,则PDIF丢弃该消息而不通知MS。
图8示出当MS期望利用IPv4和IPv6双栈操作但是仅针对IPv6被授权时使用的实施例。当MS请求IPv4-IPv6双栈操作时,方法800从步骤802开始。在步骤804,AAA服务器进行核对以查看是否针对IPv4和IPv6对MS授权。如果针对IPv4和IPv6两者都对MS授权,则该方法返回图6的方法的步骤606。如果针对IPv4和IPv6没有对MS授权而仅针对IPv6对MS授权,则在步骤808,AAA服务器通知PDIF,仅针对IPv6对MS授权。在步骤810,PDIF发送具有被设置为特定消息类型的通知消息类型的通知载荷消息,所述特定消息类型表示在IKE_AUTH响应消息中仅针对IPv6对MS授权。如果无线通信系统使用3GPP2标准操作,则将消息类型设置为8194。在步骤812,建立IPv6的IPsec隧道。通过使得MS在CFG请求载荷中将INTERNAL_IP4_ADDRESS属性设置为0.0.0.0,防止MS与网络建立内部IPv4会话。同样,PDIF在CFG答复载荷中将INTERNAL_IP4_ADDRESS属性的长度设置为0。PDIF可通过发送具有特定消息类型的通知载荷来通知MS,针对IPv4访问没有对MS授权。如果MS尝试从PDIF获得IPv4前缀,则PDIF丢弃该消息而不通知MS。
在其它实施例中,本领域普通技术人员可以理解,以上方法可通过执行在计算机可读介质(例如计算机平台的存储器)上的程序来实现。指令可存储在多种类型的信号承载或数据存储主、二级或三级介质中。例如,介质可包括通过客户端设备和/或服务器可访问的RAM或位于客户端设备和/或服务器中的RAM。不管是否包含在RAM、盘或其它二级存储介质中,指令都可存储在各种机器可读数据存储介质上,例如DASD存储器(例如传统“硬盘驱动器”或RAID阵列)、磁带、电子只读存储器(例如ROM或EEPROM)、闪存卡、光存储设备(例如CD-ROM、WORM、DVD、数字光带)、纸“穿孔”卡或包括数字和模拟传输介质的其它适合的数据存储介质。
尽管以上内容示出了本发明的示例性实施例,但是应注意,在不脱离由所附权利要求限定的本发明的范围的情况下可以进行各种变化和修改。根据本文所述的本发明实施例的方法权利要求的行为或步骤不需要以任一特定顺序执行。此外,尽管用单数描述或主张了本发明的元素,但是还可以假设成复数,除非清楚阐述了对单数的限制。
因此,已经示出和描述了本发明的优选实施例。然而,对于本领域普通技术人员来说,在不脱离本发明的精神或范围的情况下对本文公开的实施例进行多种改变是显而易见的。因此,本发明不限于此,除非符合所附权利要求。
Claims (24)
1、一种方法,包括:
请求由无线通信系统中的授权实体进行认证;
如果所述认证成功,则从所述授权实体接收认证消息,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
2、如权利要求1的方法,其中,对使用至少一个互联网协议的授权是在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
3、如权利要求2的方法,其中,如果所述IP-版本-授权VSA不存在于RADIUS访问-接受消息中,则无线通信网络中的分组数据互通功能应用本地策略对双栈操作进行授权。
4、一种方法,包括:
请求双栈操作,所述双栈操作使用多于一个互联网协议版本;
接收双栈操作的授权,所述双栈操作使用多于一个互联网协议版本;
对每个互联网协议版本建立独立的从属安全授权,其中,所述从属安全授权从属于互联网密钥交换安全授权;
建立用于通信的至少一个安全隧道;
使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本。
5、如权利要求4的方法,其中,所述多于一个互联网协议版本使用相同的安全隧道同时进行访问。
6、如权利要求4的方法,其中,所述多于一个互联网协议版本在多个独立的安全隧道中同时进行访问。
7、一种方法,包括:
请求双栈操作,所述双栈操作使用多于一个互联网协议版本;
通过消息接收一个互联网协议版本的授权,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;
建立被授权的互联网协议版本的安全授权,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;
建立用于通信的安全隧道;
使用所述安全隧道进行通信。
8、一种装置,包括:
发射机,用于请求由无线通信系统中的授权实体进行认证;
接收机,用于在所述认证成功时从所述授权实体接收认证消息,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
9、如权利要求8的装置,其中,对使用至少一个互联网协议的授权是在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
10、如权利要求9的装置,还包括:
处理器,用于存储对双栈操作进行授权的本地策略,其中,如果所述IP-版本-授权VSA不存在于所述RADIUS访问-接受消息中,则无线通信网络中的分组数据互通功能应用本地策略对双栈操作进行授权。
11、一种装置,包括:
用于请求双栈操作的发射机,所述双栈操作使用多于一个互联网协议版本;
接收机,用于接收双栈操作的授权,所述双栈操作使用多于一个互联网协议版本;
存储器,用于存储每个互联网协议版本的独立从属安全授权,其中,所述从属安全授权从属于互联网密钥交换安全授权;
处理器,使用所述发射机来建立用于通信的至少一个安全隧道;以及
用于访问互联网协议版本的发射机,使用所述用于通信的至少一个安全隧道来同时访问多于一个互联网协议版本。
12、如权利要求11的装置,其中,所述多于一个互联网协议版本使用相同的安全隧道同时进行访问。
13、如权利要求11的装置,其中,所述多于一个互联网协议版本在多个独立的安全隧道中同时进行访问。
14、一种装置,包括:
用于请求双栈操作的发射机,所述双栈操作使用多于一个互联网协议版本;
接收机,用于通过消息接收一个互联网协议版本的授权,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;
处理器,用于建立被授权的互联网协议版本的安全授权,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;
存储器,用于存储所述被授权的互联网协议版本的安全授权;
建立用于通信的安全隧道的发射机;
使用所述安全隧道进行通信的发射机。
15、一种装置,包括:
用于请求由无线通信系统中的授权实体进行认证的模块;
用于在所述认证成功时从所述授权实体接收认证消息的模块,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
16、如权利要求15的装置,其中,对使用至少一个互联网协议的授权是在RADIUS访问-接受消息中发送的IP-版本-授权VSA。
17、如权利要求16的装置,其中,如果所述IP-版本-授权VSA不存在于RADIUS访问-接受消息中,则无线通信网络中的分组数据互通功能应用本地策略对双栈操作进行授权。
18、一种方法,包括:
用于请求双栈操作的模块,所述双栈操作使用多于一个互联网协议版本;
用于接收双栈操作的授权的模块,所述双栈操作使用多于一个互联网协议版本;
用于建立每个互联网协议版本的独立从属安全授权的模块,其中,所述从属安全授权从属于互联网密钥交换安全授权;
建立用于通信的至少一个安全隧道的模块;
使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的模块。
19、如权利要求18的装置,其中,所述多于一个互联网协议版本使用相同的安全隧道同时进行访问。
20、如权利要求4的方法,其中,所述多于一个互联网协议版本在独立的安全隧道中同时进行访问。
21、一种装置,包括:
用于请求双栈操作的模块,所述双栈操作使用多于一个互联网协议版本;
用于通过消息接收一个互联网协议版本的授权的模块,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;
用于建立被授权的互联网协议版本的安全授权的模块,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;
建立用于通信的安全隧道的模块;
使用所述安全隧道进行通信的模块。
22、一种计算机程序产品,包括:
计算机可读介质,包括:
使得计算机请求由无线通信系统中的授权实体进行认证的指令;
使得计算机在所述认证成功时从所述授权实体接收认证消息的指令,其中,所述认证消息包括对使用至少一个互联网协议版本来建立用于通信的至少一个安全隧道的授权。
23、一种计算机程序产品,包括:
计算机可读介质,包括:
使得计算机请求双栈操作的指令,所述双栈操作使用多于一个互联网协议版本;
使得计算机接收双栈操作的授权的指令,所述双栈操作使用多于一个互联网协议版本;
使得计算机建立每个互联网协议版本的独立从属安全授权的指令,其中,所述从属安全授权从属于互联网密钥交换安全授权;
使得计算机建立用于通信的至少一个安全隧道的指令;
使得计算机使用所述用于通信的至少一个安全隧道来同时访问两个互联网协议版本的指令。
24、一种计算机程序产品,包括:
计算机可读介质,包括:
使得计算机请求双栈操作的指令,所述双栈操作使用多于一个互联网协议版本;
使得计算机通过消息接收一个互联网协议版本的授权的指令,其中,所述消息标识出被授权的至少一个互联网协议版本,所述消息还标识出没有被授权的至少一个互联网协议版本;
使得计算机建立被授权的互联网协议版本的安全授权的指令,其中,所述被授权的互联网协议版本的安全授权从属于互联网密钥交换安全授权;
使得计算机建立用于通信的安全隧道的指令;
使得计算机使用所述安全隧道进行通信的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610016421.2A CN105656901B (zh) | 2006-08-21 | 2007-08-21 | 对双栈操作进行互通授权的方法和装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US83921206P | 2006-08-21 | 2006-08-21 | |
| US60/839,212 | 2006-08-21 | ||
| US11/840,735 | 2007-08-17 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610016421.2A Division CN105656901B (zh) | 2006-08-21 | 2007-08-21 | 对双栈操作进行互通授权的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101536453A true CN101536453A (zh) | 2009-09-16 |
Family
ID=41105186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800308612A Pending CN101536453A (zh) | 2006-08-21 | 2007-08-21 | 对双栈操作进行互通授权的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101536453A (zh) |
| TW (1) | TWI448128B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724714A (zh) * | 2012-05-18 | 2012-10-10 | 中兴通讯股份有限公司 | 一种自动修正ip类型的方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7710964B2 (en) * | 2004-06-22 | 2010-05-04 | Nokia Corporation | Discovering a network element in a communication system |
| TWI254546B (en) * | 2004-08-03 | 2006-05-01 | Zyxel Communications Corp | Assignment method and system of home agent in mobile VPN |
| US20060067284A1 (en) * | 2004-09-28 | 2006-03-30 | Utstarcom, Inc. | Prepaid internet protocol-based services facilitation method and apparatus |
-
2007
- 2007-08-21 CN CNA2007800308612A patent/CN101536453A/zh active Pending
- 2007-08-21 TW TW096130993A patent/TWI448128B/zh not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724714A (zh) * | 2012-05-18 | 2012-10-10 | 中兴通讯股份有限公司 | 一种自动修正ip类型的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI448128B (zh) | 2014-08-01 |
| TW200828924A (en) | 2008-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| KR100759489B1 (ko) | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 | |
| JP4663011B2 (ja) | 通信コネクションを保護するために少なくとも1つの第1の通信加入者と少なくとも1つの第2の通信加入者との間で秘密鍵を一致させるための方法 | |
| JP4643657B2 (ja) | 通信システムにおけるユーザ認証及び認可 | |
| US8259942B2 (en) | Arranging data ciphering in a wireless telecommunication system | |
| US9686669B2 (en) | Method of configuring a mobile node | |
| JP5069320B2 (ja) | Uiccなしコールのサポート | |
| CN101437223B (zh) | 一种家庭基站接入的方法、系统和装置 | |
| JP6067651B2 (ja) | デュアルスタック・オペレーションの認可を織り込むための方法および装置 | |
| US8978103B2 (en) | Method and apparatus for interworking authorization of dual stack operation | |
| CN101610241B (zh) | 一种绑定认证的方法、系统和装置 | |
| KR20030075224A (ko) | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 | |
| WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN101536453A (zh) | 对双栈操作进行互通授权的方法和装置 | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| US20110153819A1 (en) | Communication system, connection apparatus, information communication method, and program | |
| EP1722503A1 (en) | Method used by an access point of a wireless LAN and related apparatus | |
| Asokan et al. | Man-in-the-middle in tunnelled authentication | |
| Mizikovsky et al. | CDMA 1x EV-DO security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1136123 Country of ref document: HK |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1136123 Country of ref document: HK |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090916 |