CN101675644A - 无线通信网络中的用户概况、策略、及pmip密钥分发 - Google Patents
无线通信网络中的用户概况、策略、及pmip密钥分发 Download PDFInfo
- Publication number
- CN101675644A CN101675644A CN200880014415A CN200880014415A CN101675644A CN 101675644 A CN101675644 A CN 101675644A CN 200880014415 A CN200880014415 A CN 200880014415A CN 200880014415 A CN200880014415 A CN 200880014415A CN 101675644 A CN101675644 A CN 101675644A
- Authority
- CN
- China
- Prior art keywords
- network
- pmip
- node
- user identifier
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
认证服务器可适配成(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与该认证对等体相关联的用户概况信息;和/或(c)向帮助实现对该认证对等体的通信服务的网络网关节点发送该用户概况信息。PMIP网络节点可适配成:(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)在PMIP网络节点处接收来自请求实体的重新路由该认证对等体的通信的请求;和/或(e)验证请求实体是否知道该PMIP密钥。
Description
背景
根据35 U.S.C.§119的优先权要求
本专利申请要求2007年3月16日提交且被转让给本申请受让人并因而被明确援引纳入于此的题为“3GPP2 Network Evolution:User ProfilePolicy,and PMIP Key(3GPP2网络演进:用户概况策略、及PMIP密钥)”的美国临时申请No.60/895,298的优先权。
领域
至少一个特征涉及通信系统,尤其涉及一种用于帮助在诸如超移动宽带(UMB)网络之类的无线网络内实现移动设备信息的安全分发的方法。
背景
在3GPP2内的各种无线通信网络的演进中,一种类型的网络架构被称为超移动宽带(UMB)网络并旨在针对下一代应用和要求来改善CDMA2000移动电话标准。UMB分组数据网络基于运行在下一代无线电系统上的因特网(TCP/IP)组网技术并旨在变得更高效以及能够提供比其所取代的诸技术更多的服务。UMB旨在成为第四代(4G)技术并使用高带宽、低等待时间、其上建有诸如语音之类的高级别服务的基底TCP/IP网络。(与先前几代相比)大得多的带宽量以及低得多的等待时间使得能够使用先前所不可能使用的各种应用类型,而同时继续投放高质量(或更高质量)的语音服务。
UBM网络对其称为演进基站(eBS)的网络接入点具有集中性较低的管理。例如,此类接入点可以执行许多与CDMA网络中的基站(BS)和基站控制器(BSC)相同的功能。由于此分布性较高的网络架构,在试图维护接入终端(AT)的网络接入标识符(NAI)安全时会产生若干问题。
在一些现有技术网络架构下,NAI(或者其等效的接入终端标识符)由接入终端通过空中向分组数据服务节点(PDSN)传送,该分组服务节点(PDSN)将该NAI用于认证、记账报告、和/或策略检索功能。在空中传送NAI使得该NAI易被窥探并且不安全。
在UMB网络中,该NAI不是通过空中发送的。取而代之的是,依靠可扩展认证协议(EAP)方法,接入终端的NAI可以不为认证者所知。这可被称为“匿名NAI”。然而,在当实现匿名NAI之时如何认证AT上产生问题。
在UMB网络中,用户概况及服务质量(QoS)用户概况是从本地和归属认证、授权和记账(LAAA/HAAA)经由成功的接入认证来向会话参考网络控制器(SRNC)发送的。然而,用户概况还需被发送给接入网关(AGW)(例如,经由IP服务授权)。由此,在当实现匿名NAI之时如何向AGW发送用户概况上存在问题。
如果在UMB网络内的eBS与AGW之间使用PMIPv4隧道,那么MN-HA密钥(例如,可以是基于每AT的密钥或者每eBS-AGW对的密钥)需要被发送给eBS和AGW双方。因此,在如何向SRNC和AGW发送用于eBS与AGW之间的PMIPv4隧道的MN-HA密钥上产生问题。
结果,需要能在UMB网络内实现匿名NAT时解决这些议题的途径。
概述
提供了一种在无线通信网络的认证服务器中操作的用于保护主用户密钥的方法。接收来自无线认证对等体的接入认证请求。生成副用户标识符,其中该副用户密钥与用于该无线认证对等体的主用户标识符相关联。向与该认证对等体相关联的认证者提供副用户标识符。可以基于主用户标识符来检索用户概况信息。可向认证者发送该用户概况信息。
通信网络可包括超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个。认证服务器可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。服务基站可与会话参考网络控制器(SRNC)同处。
副用户标识符可以是随机生成的随后与主用户标识符相关联的数字。该副用户标识符也可以是主用户标识符。该副用户标识符可以是主用户标识符的函数。
提供了一种包括处理电路的认证服务器,该处理电路适配成:(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(c)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;(e)向认证者提供用户概况信息。
认证服务器还可包括通信接口,该通信接口适配成在超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个上进行通信。认证服务器可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。副用户标识符可以是(a)随机生成的随后与主用户标识符相关联的数字、(b)主用户标识符、和/或(c)主用户标识符的函数。
结果,还提供了一种认证服务器,包括:(a)用于接收来自无线认证对等体的接入认证请求的装置;(b)用于生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符的装置;(c)用于向与该认证对等体相关联的认证者提供副用户标识符的装置;(d)用于基于主用户标识符检索用户概况信息的装置;和/或(e)用于向认证者提供用户概况信息的装置。
还提供了一种在认证服务器上操作的用于保护主用户标识符的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(c)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;和/或(e)向认证者提供用户概况信息。
还提供了一种由认证服务器执行的用于在通信网络内分发用户概况和/或策略信息的方法。对寻求经由第一网络接入节点来建立通信的认证对等体进行认证。检索与该认证对等体相关联的用户概况信息并将其发送给帮助实现对该认证对等体的通信服务的网络网关节点。还将该用户概况信息发送给帮助为该认证对等体实现通信的认证者。认证服务器可以是作为通信网络的一部分的认证、授权和记账(AAA)实体。
在一个示例中,向网络网关节点发送用户概况信息可包括使通信网络的认证者向该网络网关节点发送该用户概况信息。在另一个示例中,向网络网关节点发送用户概况信息包括使认证服务器向该网络网关节点发送该用户概况信息。用户概况信息可包括用户概况、用户策略、对用户概况的服务质量、对认证对等体的通信服务的服务质量中的至少一个。
补充地,该方法还可包括:(a)从网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求;(b)从PCRF实体向认证服务器发送主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;(c)从认证服务器向PCRF实体发送答复,该答复包括所请求的主用户标识符;(d)在PCRF实体处使用该主用户标识符为认证对等体获得用户策略;和/或(e)从PCRF实体向网络网关节点发送该用户策略。
认证者可以是超移动宽带(UMB)兼容网络中与为认证对等体服务的基站(BS)相关联的会话参考网络控制器(SRNC),而机密标识符是用于无线接入终端的网络接入标识符。
还提供了一种包括处理电路的认证服务器,该处理电路适配成:(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与该认证对等体相关联的用户概况信息;(c)向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助实现为该认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。
结果,提供了一种认证服务器,包括:(a)用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;(b)用于检索与认证对等体相关联的用户概况信息的装置;(c)用于向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息的装置;(d)用于向帮助为该认证对等体实现通信的认证者发送用户概况信息的装置;(e)用于接收来自PCRF实体的主用户标识符请求的装置,其中该主用户标识符唯一性地与该认证对等体相关联;和/或(f)用于向PCRF实体发送答复的装置,该答复包括所请求的主用户标识符。
还提供了一种在认证服务器上操作的用于提供用户信息的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(c)向帮助实现对该认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为该认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。
提供了一种在通信网络中操作的方法。经由第一网络接入节点向认证对等体提供无线网络连通性。将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端。随后,向与第一网络接入节点相关联的第一认证者提供该PMIP密钥。通信可被路由至第一网络接入节点。
随后,可在PMIP网络节点处接收来自请求实体的重新路由给该认证对等体的通信的请求。PMIP网络节点可验证请求实体是否知道该PMIP密钥。在一个示例中,如果请求实体成功证明其知道该PMIP密钥,则通信可被路由至第二网络接入节点。在另一个示例中,如果请求实体成功证明其知道该PMIP密钥,则通信可被路由至第二网络网关节点。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。在一个示例中,PMIP密钥可在认证、授权和记账(AAA)实体或者网络网关节点处生成。PMIP网络节点可以是网络网关节点。
还提供了一种包括处理电路的PMIP网络节点,该处理电路适配成:(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求实体的重新路由该认证对等体的通信的请求;(e)验证请求实体是否知道该PMIP密钥;(f)如果请求实体成功证明其知道该PMIP密钥,则将通信重新路由至第二网络接入节点;和/或(g)如果请求实体成功证明其知道该PMIP密钥,则将通信重新路由至第二网络网关节点。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
结果,还提供了一种PMIP网络节点,包括:(a)用于经由第一网络接入节点向认证对等体提供无线网络连通性的装置;(b)用于将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端的装置;(c)用于向与第一网络接入节点相关联的第一认证者提供该PMIP密钥的装置;接收来自请求实体的重新路由该认证对等体的通信的请求的装置;(d)用于验证请求实体是否知道该PMIP密钥的装置;(e)用于在如果请求实体成功证明其知道该PMIP密钥的情况下将通信重新路由至第二网络接入节点的装置;和/或(f)用于在如果请求实体成功证明其知道该PMIP密钥的情况下将通信重新路由至第二网络网关节点的装置。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
还提供了一种在PMIP网络节点上操作的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求实体的重新路由该认证对等体的通信的请求;(e)验证请求实体是否知道该PMIP密钥;(f)如果请求实体成功证明其知道该PMIP密钥则将通信重新路由至第二网络接入节点;和/或(g)如果请求实体成功证明其知道该PMIP密钥则将通信重新路由至第二网络网关节点。
附图简述
在结合附图理解下面阐述的详细描述时,各种特征、本质、和优点会变得明显,在附图中,相像的附图标记贯穿始终作相应标识。
图1是根据一个示例的UMB网络的框图,在该UMB网络中可实现安全NAI、安全用户概况和策略分发、和/或PMIP密钥分发中的一个或更多个特征。
图2是图解了认证方法的流程图,藉由该方法,在接入终端(AT)与归属认证、授权和记账(HAAA)实体之间进行网络接入认证期间不通过空中传送网络接入标识符(NAI)。
图3图解了一种在无线通信网络的认证服务器(例如,HAAA)中操作的用于保护主用户密钥的方法。
图4是图解了随着AT在UMB网络中从第一eBS移到第二eBS,如何向该AT提供无线服务的框图。
图5图解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可向PCRF请求用户策略。
图6图解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可向PCRF请求用户策略。
图7图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。
图8图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。
图9图解了在分布式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户策略。
图10图解了在集中式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户策略。
图11图解了在认证服务器上操作的用于向认证者提供用户概况信息的方法。
图12图解了在通信网络中操作的用于向网络网关节点提供用于认证对等体的用户策略信息的方法。
图13图解了用于在通信网络中验证新的隧道请求的方法。
图14图解了在一些通信网络中见到的认证架构。
图15是图解了认证服务器的框图。该认证服务器可包括耦合至网络通信接口的处理电路1504。
图16是图解了PMIP网络节点设备的示例的框图。
详细描述
在以下说明中,给出了具体细节以提供对诸配置的透彻理解。但是,本领域普通技术人员将可理解,没有这些具体细节也可实践这些配置。例如,电路可能以框图形式示出,以免因不必要的细节而湮没这些配置。在其他实例中,公知的电路、结构、和技术可能被详细示出以免湮没这些配置。
还注意到,这些配置可能是作为被描绘为流程图、流图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多可以并行或并发执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可以对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,其终止对应于该函数返回到调用方函数或主函数。
在一个或更多个示例和/或配置中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,后者包括有助于将计算机程序从一地转移到另一地的任何介质。存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合需程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其它介质。任何连接被称为计算机可读介质也是正当的。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的碟和盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软碟和蓝光盘,其中碟往往以磁的方式再现数据,而盘用激光以光学方式再现数据。上述的组合也被包括在计算机可读介质的范围内。
不仅如此,存储介质可以代表用于存储数据的一个或更多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备、和/或其他用于存储信息的机器可读介质。
此外,诸配置可以由硬件、软件、固件、中间件、微码、或其任何组合来实现。当在软件、固件、中间件、或微码中实现时,用于执行必要任务的程序代码或代码段可以被存储在诸如存储介质或其他存储之类的计算机可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。
在以下描述中,使用某些术语来描述某些特征。术语“接入终端”和“通信设备”可以被可互换地用来指代移动设备、移动电话、无线终端、和/或能够在无线网络上通信的其他类型的移动或固定通信装置。
网络环境
在本文中所描述的特征可在包括UMB、WiMAX和LTE兼容网络在内的各种类型的网络中实现。
图14图解了在一些通信网络中见到的认证架构。通信网络1400(例如,UMB、WiMAX、或者长期演进(LTE)网络)可包括多个IP节点1404和1408以及认证对等体1402、认证者1406和认证服务器1410。在操作期间,可由认证者1406在认证服务器1410的协助下对认证对等体1402(例如,接入终端)进行认证。在一个示例中,认证者1406可以是会话参考网络控制器(SRNC),而认证服务器1410可以是归属认证、授权和记账(HAAA)实体。补充地,IP节点1404和1408可包括基站、网关、和/或其他网络实体。策略实体1412(例如,PCRF)可存储用于认证对等体1402的策略信息。
在向通信网络1400中的认证对等体1402提供通信服务之时,需要用来向认证者1406和IP B节点(网关)双方分发用于认证对等体1402的用户概况的机制或方法。本例尤为如此,因为认证者1406与IP B节点(网关)1408并不同处。
补充地,当伪NAI被用来向通信网络标识认证对等体1402时,这使得难以从策略实体(例如,归属PCRF)向IP节点1404和1408分发用户策略。
补充地,要在需要建立PMIP隧道的两个节点之间生成并分发PMIP密钥也是成问题的。例如,在UMB网络中,PMIP密钥可被分发给基站和网关或者网关和本地移动性锚(LMA)。
虽然本文中的各种示例可能是从UMB网络的观点来解说的,但是本文中所描述的特征可适用于诸如举例而言WiMAX和LTE之类的其他类型的网络。
图1是根据一个示例的UMB网络的框图,在该UMB网络中可实现安全NAI、用户概况和策略分发、和/或PMIP密钥分发中的一个或更多个特征。UMB网络可使用不依赖诸如基站控制器(BSC)之类的集中式实体来协调跨UMB的演进基站(eBS)的连接的平坦架构。eBS可将传统的基站、BSC的功能以及分组服务节点(PDSN)的一些功能组合到单个节点中,以使得UMB网络的部署变得更简单。由于组件的数目减少了(与现有技术中的网络相比),因此UMB网络可以更可靠、更灵活、更易于部署和/或运行成本更低。例如,在传统网络中,BS、BSC、BSC、PDSN和移动IP归属代理(HA)全都协作以服务用户话务。UMB网络重用核心网络基础设施中的绝大部分但将诸功能合并到较少的网络组件中。将这些功能组合成较少的节点减少了等待时间,降低了资本和维护成本,并减小了节点之间用以投递端对端QoS的交互的复杂性。
此示例图解了UMB接入网络102和服务网络113如何可在重用核心网络基础设施(例如,归属网络103)时向多个接入终端AT 106、108、110、122(例如,认证对等体)提供无线网络接入。服务网络113可以是用于AT 106、108、110、122的“归属”网络,但这些AT也可以漫游或者访问其他网络并从这样的其他网络获得无线网络连通性。
在此示例中,UMB接入网络102包括允许一个或更多个接入终端(AT)106、108和110与服务网络113和归属网络103连接的第一eBS 104和第二eBS 107(这些eBS被宽泛地称为“网络接入节点”)。第一eBS 104可耦合至第一会话参考网络控制器(SRNC)114(其被宽泛地称为“认证者”)以及服务网络113中的第一接入网关(AGW)112(其被宽泛地称为“网络网关节点”),该服务网络113被耦合至归属网络基础设施103。类似地,第二eBS 107可耦合至第二SRNC 109以及第一AGW 112。服务网络113可包括耦合至本地认证、授权和记账(LAAA)124的AGW-a 112和AGW-b 120以及访问策略控制和资源功能(vPCRF)132以帮助为诸eBS和诸AT实现通信和/或连通性。归属网络103可包括归属代理(HA)126、归属AAA(HAAA)128以及归属PCRF(hPCRF)130。补充地,其他接入网络105也可被耦合至HA 126和/或LAAA 124以向诸接入终端提供无线网络连通性。
在各种实现中,UMB接入网络102可包括可向其他AT 122提供无线网络连通性的其他eBS 116和117、SRNC 118以及AGW 120。网络102、113、105和/或103旨在作为在其中本文中所描述的一个或更多个新颖特征可工作的通信系统的示例。然而,在这些网络中的诸设备和/或那些设备的功能性可位于所示的其他网络中(即不同的网络中),而不脱离本文中所描述的操作和特征。
根据各种示例,AT 106、108、110和/或122可以是无线通信设备、移动电话、无线终端、以及支持经由UMB网络的无线的无线电连通性的其他类型的移动和/或无线设备。
eBS 104、107和116支持UMB空中接口。eBS 104、107和/或116可包括UMB物理和/或MAC协议并可执行无线电资源管理、无线电信道管理、层2密文编译和/或IP头压缩(例如,ROHC)。
AGW 112和/或120可向归属网络103提供层3IP连通性。AGW 112和/或120可包括诸如认证、空闲状态缓冲、和/或代理移动IP客户机之类的各种功能。例如,AGW 112和/或120可包括IP地址管理、用于MIPv4的区外代理、DHCP中继、代理移动IP(PMIP)客户机、IP分组分类/管辖、EAP认证者和/或AAA客户机。
SRNC 114、109和118可控制包括会话信息存储、寻呼功能、以及位置管理在内的各种功能以支持无线电资源控制。SRNC功能可包括例如,(a)空中接口会话信息存储、(b)寻呼控制器、(c)位置管理、和/或(d)针对AT的EAP认证者。第一SRNC 114可维护关于AT 106和108的无线电接入专有信息,而第二SRNC 107可维护关于AT 110的无线接入专有信息。SRNC可负责在AT空闲时维护会话参考(例如,关于商定的空中接口上下文的会话存储点)、支持空闲状态管理、以及提供寻呼控制功能。SRNC还可负责对AT的接入认证。SRNC功能可由eBS主存或者与eBS同处,或者可位于单独的(非无线电的)实体中。注意,SRNC既可实现在集中式配置中也可实现在分布式配置中。在集中式配置中,单个SRNC 118与若干eBS 116和117以及AGW 120连接。在分布式配置中,每一eBS包括SRNC。
对归属网络103的认证、授权和记账(AAA)服务可在归属代理126、本地AAA(LAAA)124以及归属AAA(HAAA)128之间分配。HAAA 128可负责与AT 106、108、110和/或112对网络资源的使用相关联的认证、授权和记账。归属代理(HA)126可提供支持例如客户移动IP(CMIP)和/或代理移动IP(PMIP)并且还可帮助实现技术间移动性的移动性解决方案。
策略控制和资源功能(PCRF)可存储和分发用于AT 106、108、110和/或122的策略。在一个实现中,归属PCRF(hPCRF)130可负责归属网络策略,而访问PCRF(vPCRF)可负责访问网络策略。hPCRF 130和vPCRF132分别向AGW 112和120提供本地和访问规则。这些规则可包括例如,(a)对对属于服务数据流的分组的检测、(b)提供对服务数据流的策略控制、和/或(c)提供对服务数据流适用的收费参数。
保护匿名网络接入标识符
在诸如高速率分组数据(HRPD)网络之类的现有技术网络下,接入终端AT在认证过程期间通过空中发送其网络接入标识符(NAI)。此类空中传输可能将NAI曝露给第三方并且危及通信的安全。补充地,该NAI可能为PDSN所知以用于例如进行账户报告以及从PCRF检索策略。
图2是图解了一种认证方法的流程图,藉由该方法,在接入终端(AT)与归属认证、授权和记账(HAAA)实体之间进行网络接入认证期间不通过空中传送网络接入标识符(NAI)。例如,在初始订阅期间,AT 202和HAAA 216双方都可获得与该AT 202相关联的NAI。此NAI可被存储在例如AT 202处的订户身份模块(SIM)卡中并且为HAAA 216所知。在一些实现中,在初始订阅过程期间还可获得伪NAI。该伪NAI或可由HAAA 216或可由AT 202生成并为HAAA 216和AT 202双方所知。该伪NAI可与用于AT 202的NAI相关联,以使得HAAA 216和AT 202双方都能在后续的接入认证过程期间使用它。
为了与服务eBS 204建立通信,AT 202可建立UMB会话224。AT随后可经由eBS 204向HAAA 216发送接入认证请求226a和226b。接入认证请求226可在UMB上的可扩展认证协议(EAP)(或者其他某个安全认证协议)中被发送给eBS 204并且随后在AAA协议上的EAP中被发送给HAAA 216。认证请求226可包括伪NAI(例如,在初始订阅期间获得),以使得请求方AT 202可为认证目的由HAAA 216标识。在未从HAAA获得伪NAI的其他实现中,AT 202可在认证请求226中发送真NAI。然而,这仅在第一次执行,并且后续可以使用伪NAI(例如,由HAAA 216提供),藉此限制通过空中传输真NAI。
HAAA 216生成用户ID,其可将该用户ID与NAI或者请求方AT 228相关联。例如,该用户ID可以是由HAAA生成的随机数、或者可以(至少部分地)是NAI的函数、或者(在一些实现中)它可以是NAI。
HAAA 216还可基于NAI检索用于请求方AT 202的用户概况以及QoS用户概况(例如,从hPCRF 214或vPCRF 208检索)。在一个示例中,用户概况和QoS用户概况可定义与请求方AT 202相关联的服务类型、服务计划、服务限制等。在一些实现中,HAAA 216还可生成新的伪NAI,后者可由其发送给AT 202以被用在后续的认证请求中。
成功接入认证消息232可随后被发送给LAAA 210,该消息232可包括用户ID、用户概况、QoS用户概况,并且(可能)包括新的伪NAI。LAAA210可进而将该用户ID、用户概况和QoS用户概况、以及PMIP MN-HA密钥转发给SRNC 204。SRNC 204可向AGW 206提供PMIP MN-HA密钥;继而,SRNC 204和/或AGW 206可在不知道NAI1的情况下将此用户ID用于记账报告和策略检索。
在用户ID是随机数(例如,由HAAA将其与NAI相关联)的实例中,可由服务网络在不知道该NAI的情况下使用该用户ID。此方案的结果是,请求方AT的NAI不通过空中发送并且为有限数目的核心基础设施实体(例如,HAAA)所知。
在其他实例中,用户ID可以是NAI,但是其由HAAA 216向服务网络分发,而不由AT 202通过空中传送。
图3图解了一种在无线通信网络的认证服务器(例如,HAAA)中操作的用于保护主用户密钥的方法。接收来自无线认证对等体(例如,AT)的接入认证请求302。可生成副用户标识符(例如,用户ID),其中该副用户密钥与用于无线认证对等体的主用户标识符(例如,NAI)相关联304。可基于主用户标识符来检索用户概况信息(例如,用户概况)306。可向与认证对等体相关联的认证者(例如,SNRC)提供副用户标识符308。可向认证者(例如,SRNC)发送用户概况信息。通信网络可包括超移动宽带(UMB)兼容网络、WiMAX兼容网络、或者长期演进(LTE)兼容网络中的至少一个。认证服务器(例如,HAAA)可以是认证、授权、和记账实体(AAA),而认证对等体是无线接入终端(AT)。认证者可以是超移动宽带(UMB)兼容网络中与为无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),而主用户标识符是用于无线接入终端的网络接入标识符(NAI)。服务基站可与会话参考网络控制器(SRNC)同处。
副用户标识符可以是随机生成的、随后与主用户标识符相关联的数字。该副用户标识符也可以是主用户标识符。该副用户标识符可以是主用户标识符的函数。
图15是图解了认证服务器的框图。认证服务器1500可包括耦合至网络通信接口1506的处理电路1504。处理电路1504可适配成:(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(c)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;(e)向认证者提供用户概况信息。
结果,可提供一种认证服务器,包括:(a)用于接收来自无线认证对等体的接入认证请求的装置;(b)用于生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符的装置;(c)用于向与该认证对等体相关联的认证者提供副用户标识符的装置;(d)用于基于主用户标识符检索用户概况信息的装置;和/或(e)用于向认证者提供用户概况信息的装置。
还可提供一种在认证服务器上操作的用于保护主用户标识符的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)接收来自无线认证对等体的接入认证请求;(b)生成与用于该无线认证对等体的主用户标识符相关联的副用户标识符;(c)向与该认证对等体相关联的认证者提供副用户标识符;(d)基于主用户标识符检索用户概况信息;和/或(e)向认证者提供用户概况信息。
向AGW分发用户概况和策略
图4是图解了随着AT在UMB网络中从第一eBS移到第二eBS,如何可向该AT提供无线服务的框图。在UMB网络中,更多功能是在与AT 406的无线接口附近执行的。这些功能之一是允许AT 406在接入网络402的eBS之间移动或者漫游(例如,从时间t0的第一eBS-A 408到时间t1的第二eBS-B 410),而同时使这样的移动性对归属网络404透明。为了保持向归属网络404隐瞒AT 406的移动性,服务网络403中的AGW 412管理向当前服务eBS的转发。
如图2中所图解的,SRNC-A 412可以是认证过程的一部分。图4中图解了(图2的)认证请求消息226a和226b以及成功认证消息232和234的路径。如果AT 406被HAAA 416成功认证,则SRNC-A 412接收用户ID、用户概况、QoS用户概况、PMIP MN-HA密钥。然而,随着AT在相同的接入网络402内从第一eBS 408移到第二eBS 410,AGW 414可向归属网络基础设施404隐瞒该AT的移动性。然而,为了达成此目的,AGW 404应当知道关于AT 406的用户概况和策略信息以正当地确定应当经由第二eBS-B 410来提供的服务类型(例如,服务质量等)。
提出了三种用于向AGW提供用户概况信息的替换方法。第一,AGW414可在新的PMIP隧道被建立时从LAAA 418检索用户概况并且从PCRF检索用户策略。图5和图6分别图解了在分布式和集中式SRNC配置中,AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及如何可从PCRF检索用户策略。第二,AGW 414可在认证过程期间获得用户概况信息,并且从PCRF获得用户策略信息。图7和图8分别图解了在分布式和集中式SRNC配置中,AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。第三,LAAA 418可将用户概况推送给AGW 414,并且该AGW可随后向PCRF请求用户策略。图9和图10分别图解了在分布式和集中式SRNC配置中,LAAA如何可将用户概况推送给AGW 414以及该AGW如何可向PCRF请求用户策略。
注意到在分布式SRNC配置中,SRNC可与eBS同处(例如,图1-eBS-a114和SRNC-a 104),而在集中式SRNC配置中,SRNC可与eBS分开并服务一个或更多个eBS(例如,图1-SRNC-c 118、eBS-c 116和eBS-d 117)。
图5图解了在分布式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA检索用户概况以及向PCRF请求用户策略。可执行认证过程520、522、524和525,在其中AT 502向HAAA 516发送认证请求。如果AT得到HAAA 616认证,则HAAA 616生成用户ID和其他用户概况信息以作为响应。作为认证响应525的一部分,eBS/SRNC 504可从LAAA 510接收用户概况。
一旦接入认证已被执行,AT 502就可从数据锚点(DAP)eBS 504移到新的服务eBS。该新的服务eBS可经由新的服务eBS/SRNC发送DAP移动请求530。由新的服务eBS/SRNC向AGW 506发送代理移动IP(PMIP)注册请求(RRQ)消息532(包括用于AT 502的用户ID),AGW 506进而向LAAA 510发送AAA请求(用户ID)消息534。LAAA 510检索与请求方AT相关联的用户概况信息(例如,用户概况、PMIP MN-HA密钥等)并将其发送给AGW 506。AGW 506可向eBS/SRNC 504发送PMIP注册响应(RRP)消息538,eBS/SRNC 504随后向AT 502发送DAP移动指派消息540。
在其中新的IP地址和/或配置542可与AT 502相关联的过程期间,AGW 506(其具有用户ID的知识)能够获得用于与该用户ID相关联的AT的用户策略。AGW 506可向vPCRF 508发送策略请求(用户ID)544,该请求可被转发给hPCRF 514。因为hPCRF 514不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 514可随后向HAAA 516发送NAI请求(用户ID)548。HAAA 516以NAI响应(用户ID,NAI)550作答,hPCRF 514可使用该NAI响应550来获得与用户ID和NAI相关联的用户策略。即,hPCRF 514使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 514向vPCRF 508发送策略响应(用户ID,用户策略)552,vPCRF 508随后向AGW 506发送策略响应(用户ID,用户策略)554。AGW 506可随后将用户策略推送或者发送556给eBS/SRNC 504。
根据一个示例,AT 502可通过将MAC包括在DAP移动请求消息530中来授权对用户概况和/或策略信息的检索。可基于一些静态数据随诸如序列号之类的一些动态信息一起来创建该MAC。用于MAC生成的密钥可从AT 502与HAAA 516(或LAAA)之间共享的EAP密钥制定阶层体系推导(例如,来自DSRK——域专有根密钥的密钥)。例如,MAC生成密钥可基于作为EAP密钥阶层体系一部分的授权密钥AK(例如,AK=f(DSRK),其中f是诸如像HMAC_SHA256那样的伪随机函数之类的某个函数)。来自AT 502的DAP移动请求530消息中所包括的授权数据可经由AGW 506发送给LAAA 510。一旦成功验证了MAC,LAAA 510就向AGW 506发送用户概况。
对于从PCRF中检索策略而言,可使用类似的办法。在此情形中使用的密钥应当来自在AT与HAAA之间共享的密钥(可以与上面类似的方式生成来自EAP EMSK的密钥)。
图6图解了在集中式SRNC配置中AGW如何可在新的PMIP隧道被建立时从LAAA中检索用户概况以及如何可向PCRF请求用户策略。可执行认证过程622、624、626和625,在其中AT 602向HAAA 618发送认证请求。如果AT 602得到HAAA 618成功认证,则HAAA 618生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 606可从LAAA 610接收625用户概况。
一旦接入认证已被执行,AT 602就可从数据锚点(DAP)eBS 604移到新的服务eBS。由新的服务eBS向AGW 608发送代理移动IP(PMIP)RRQ消息632(包括用于AT 602的用户ID),AGW 608进而向LAAA 612发送AAA请求消息634(包括用于AT 602的用户ID)。LAAA 612检索与请求方AT 602相关联的用户概况信息(例如,用户概况、PMIP MN-HA密钥等)并将其发送给AGW 608。AGW 608可向新的服务eBS发送PMIPRRP消息637,该新的eBS随后向AT 602发送DAP移动指派消息639。
对于图5和图6中所图解的实现而言,如果关注安全性,那么可将AT的签名(例如,MN-HA密钥的散列)包括在DAP移动请求/PMIP RRQ中,并且HAAA可在向hPCRF发送(与请求方AT相关联的)NAI以检索用户概况和/或策略信息之前检查该签名。
在其中新的IP地址和/或配置638可与AT 602相关联的过程期间,AGW 608(其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 608可向vPCRF 610发送策略请求(用户ID)640,该请求640可被转发642给hPCRF 616。因为hPCRF 616不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 616可随后向HAAA 618发送NAI请求(用户ID)644。HAAA 618以NAI响应(用户ID,NAI)646作答,hPCRF 616可使用该NAI响应646来获得与用户ID和NAI相关联的用户策略。即,hPCRF 616使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 616向vPCRF 610发送策略响应(用户ID,用户策略)648,vPCRF 608随后向AGW 608发送策略响应(用户ID,用户策略)650。AGW 608可随后将用户策略推送或者发送给SRNC 606,后者可将此类信息654中的部分或者全部复制给eBS 604。
图7图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。可执行认证过程720、722、724、728,在其中AT 702向HAAA 716发送认证请求。如果AT 702得到HAAA 716成功认证,则HAAA 716生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 706可从LAAA710接收用户概况。eBS/SRNC 704可随后从AGW 706接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。
在其中新的IP地址和/或配置738可与AT 702相关联的过程期间,AGW 706(其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 706可向vPCRF 708发送策略请求(用户ID)740,该请求可被转发742给hPCRF 714。因为hPCRF 714不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 714可随后向HAAA 716发送NAI请求(用户ID)744。HAAA 716以NAI响应(用户ID,NAI)746作答,hPCRF 714可使用该NAI响应746来获得与用户ID和NAI相关联的用户策略。即,hPCRF 714使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 714向vPCRF 708发送策略响应(用户ID,用户策略)748,vPCRF 708随后向AGW 706发送策略响应(用户ID,用户策略)748。AGW 706可随后将用户策略推送或者发送给eBS/SRNC 704。
图8图解了在分布式SRNC配置中AGW如何可作为认证过程的一部分获得用户概况信息以及如何可从PCRF获得用户策略。作为接入认证的一部分,SRNC 806可接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。SRNC 806可在AAA请求消息828中向AGW 808推送或发送该用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)并从AGW 808接收AAA ACK(确认)消息830。
可执行认证过程822、824、826、828,在其中AT 802向HAAA 818发送认证请求。如果AT 802得到HAAA 818成功认证,则HAAA 818生成用户ID并获得其他用户概况信息以作为响应。作为认证响应的一部分,AGW 808可从LAAA 812接收用户概况信息(例如,用户ID、用户概况、和/或PMIP MN-HA密钥)。AGW 808可随后将此用户概况信息转发给SRNC 806,后者可将该用户概况信息中的一些或全部复制832给eBS 804。
一旦接入认证已被执行,AT 802就可从数据锚点(DAP)eBS 804移到新的服务eBS。在其中新的IP地址和/或配置842可与AT 802相关联的过程期间,AGW 808(其具有用户ID的知识)将能够获得用于与该用户ID相关联的AT的用户策略。AGW 808可向vPCRF 810发送策略请求(用户ID)844,该请求844可被转发846给hPCRF 816。因为hPCRF 816不知道用户ID与同用户策略相关联的NAI之间的映射,所以hPCRF 816可随后向HAAA 818发送NAI请求(用户ID)848。HAAA 818以NAI响应(用户ID,NAI)850作答,hPCRF 816可使用该NAI响应850来获得与用户ID和NAI相关联的用户策略。即,hPCRF 816使用NAI来获得对应于与该用户ID相关联的AT的用户策略。由hPCRF 816向vPCRF 810发送策略响应(用户ID,用户策略)852,vPCRF 810随后向AGW 808发送策略响应(用户ID,用户策略)854。AGW 808可随后将用户策略推送或者发送856给SRNC 806,后者可将此类信息中的部分或者全部复制858给eBS 804。
图9图解了在分布式SRNC配置中LAAA如何可将用户概况推送给AGW 414以及该AGW如何可向PCRF请求用户概况。可执行认证过程920、922和924,在其中AT 902向HAAA 916发送认证请求。如果AT得到HAAA916认证,则HAAA 916生成用户ID和其他用户概况信息以作为响应。作为认证响应的一部分,eBS/SRNC 904可从LAAA 910接收用户概况。随后,LAAA 910可将AAA消息(用户ID、用户概况、PMIP MN-HA密钥)926推送或者发送给AGW 906。AGW 906可确认928收到了消息926。用户策略可由AGW藉与图5和7中所图解的过程相类似的过程来获得。
图10图解了在集中式SRNC配置中LAAA如何可将用户概况推送给AGW以及该AGW如何可向PCRF请求用户概况。可执行认证过程1022、1024和1026,在其中AT 1002向HAAA 1018发送认证请求。如果AT 1002得到HAAA 1018认证,则HAAA 1018生成用户ID和其他用户概况信息以作为响应。作为认证响应的一部分,SRNC 1006可从LAAA 1012接收用户概况。随后,LAAA 1012可将AAA消息(用户ID、用户概况、PMIP MN-HA密钥)1028推送或者发送给AGW 1008。AGW 1008可确认1030收到了消息1028。用户策略可由AGW藉与图5、7和9中所图解的过程相类似的过程来获得。
图11图解了在认证服务器上操作的用于向认证者提供用户概况信息的方法。认证服务器(例如,HAAA)可接收来自认证对等体(例如,AT)的接入认证请求1100并验证该认证对等体是否是通信网络(例如,UMB网络)的有效订户。认证服务器可对寻求经由第一网络接入节点来建立通信的认证对等体进行认证1102。如果该认证对等体得到认证服务器成功认证1104,则该认证服务器检索与认证对等体相关联的用户概况信息1106。认证服务器随后向帮助实现对认证对等体的通信服务的网络网关节点发送该用户概况信息1108。类似地,认证服务器还可向帮助为认证对等体实现通信的认证者发送该用户概况信息1110。此类用户概况信息可提供例如针对认证对等体的服务级别或质量。在一个示例中,认证服务器可以是作为通信网络的一部分的认证、授权和记账(AAA)实体。在一个实现中,向网络网关节点发送用户概况信息可包括令认证者向该网络网关节点发送该用户概况信息。可以根据图5-10中所图解的一个或更多个方法来提供该用户概况信息。
再次参照图15,认证服务器1500的处理电路1504可适配成:(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(c)向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。
结果,可提供一种认证服务器,包括:(a)用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;(b)用于检索与该认证对等体相关联的用户概况信息的装置;(c)用于向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息的装置;(d)用于向帮助为认证对等体实现通信的认证者发送用户概况信息的装置;(e)用于接收来自PCRF实体的主用户标识符请求的装置,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)用于向PCRF实体发送答复的装置,该答复包括所请求的主用户标识符。
类似地,还可提供在认证服务器上操作的用于提供用户信息的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;(b)检索与认证对等体相关联的用户概况信息;(c)向帮助实现对认证对等体的通信服务的网络网关节点发送用户概况信息;(d)向帮助为认证对等体实现通信的认证者发送用户概况信息;(e)接收来自PCRF实体的主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联;和/或(f)向PCRF实体发送答复,该答复包括所请求的主用户标识符。
图12图解了在通信网络中操作的用于向网络网关节点提供用于认证对等体的用户策略信息的方法。该方法可包括:(a)从网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求1202,其中该策略请求可以是针对用于该网络网关节点帮助其实现通信的认证对等体的用户策略;(b)从PCRF实体向认证服务器发送主用户标识符请求,其中该主用户标识符唯一性地与认证对等体相关联1204;(c)从认证服务器向PCRF实体发送答复,该答复包括所请求的主用户标识符1206;(d)在PCRF实体处使用主用户标识符为认证对等体获得用户策略1208;和/或(e)从PCRF实体向网络网关节点发送用户策略1210。例如,可以根据图5-10中所图解的一个或更多个方法来提供该用户策略信息。认证者可以是超移动宽带(UMB)兼容网络中与为认证对等体服务的基站(BS)相关联的会话参考网络控制器(SRNC),而机密标识符是用于无线接入终端的网络接入标识符。
分发PMIP密钥以验证新的隧道请求
随着AT漫游或者移到不同的eBS,为该AT管理通信的AGW建立去往新的服务eBS的代理移动IP(PMIP)隧道。然而,AGW必须防止其他eBS(或入侵者)在它们并没有向该AT提供无线连通性时声称其正在向该AT提供了该无线连通性。AGW应当能够防止未获授权的实体改变PMIP隧道绑定。因此,可以使用移动节点归属代理(MN-HA)密钥来保护eBS与AGW之间以及SRNC与AGW之间的PMIP隧道。
至少有两种类型的PMIP隧道:eBS与AGW之间的RAN PMIP隧道以及AGW与SRNC之间和第一AGW与第二AGW之间的网络PMIP隧道。随着AT(在服务网络内的)eBS间移动,可由AGW与新的服务eBS一起建立新的RAN PMIP隧道。类似地,随着该AT移动或者漫游到新的接入或服务网络中,归属AGW可与此新的接入或服务网络一起建立网络PMIP隧道。
有若干种途径来获得能用来验证是否应当由AGW建立新的PMIP隧道的MN-HA密钥的途径。LAAA可简单地捡选随机数作为PMIP隧道MN-HA密钥并将其提供给AGW。由于AT并不需要知道此密钥,因而“推导”此密钥的唯一实体是LAAA。因此,没有推导的必要,因为简单的强随机数生成就足够了。可将所生成的随机数(即,MN-HA密钥)给予SRNC和/或AGW以供用在验证是否应建立新的PMIP隧道(例如,PMIPv4隧道)中。
替换地,如在认证密钥的情形中那样,可以从EAP阶层体系中创建MN-HA密钥。例如,MN-HA密钥可以是在AT与LAAA之间共享的DSRK(域专有根密钥)的函数(例如,DSRK->P4K(PMIPv4 MN-HA密钥)或者P4K=f(DSRK),其中f是某个函数(例如,诸如HMAC_SHA256之类的伪随机函数))。可将所生成的P4K(即,MN-HA密钥)给予SRNC和/或AGW以供用在保护PMIP隧道(例如,PMIPv4隧道)中。
在一些实现中,可将MN-HA密钥与用户概况一起发送给AGW。例如,可经由成功接入认证将MN-HA密钥发送给服务SRNC。在另一些实现中,MN-HA密钥可由AGW自己生成并被分发给当前服务eBS。
当移动设备首次经由eBS在服务网络上建立通信时,该eBS及其AGW被提供MN-HA密钥(可以如上面所讨论的那样获得该MN-HA密钥)。当DAP移动请求被AGW接收时,该AGW可检查请求方eBS是否知道该MN-HA密钥。如果其知道,则AGW可以同意该移动请求。然而,如果请求方eBS不知道该MN-HA密钥,则AGW可拒绝该移动请求,因为该请求方eBS不能信任。类似地,该MN-HA密钥可被用来保护来自不同AGW或HA的移动请求。
再次参照图1,在一个示例中,接入终端AT-x 122可经由eBS-c 116建立无线服务。在建立其无线服务的过程期间,AT-x 122可向服务和归属网络认证自己(例如,如参照图5-10所讨论和图解的那样)。在一个示例(其中使用集中式SRNC)中,作为此认证过程的一部分,MN-HA密钥可被提供给AGW-c 120(或者由AGW-c 120生成)。该MN-HA密钥还被提供给支持服务eBS-c 116的服务SRNC-c 118。如果在稍后的时间AT-x 122移到eBS-d 117,那么可生成DAP移动请求,藉此应当在新的eBS-d 117与服务AGW-c 120之间建立新的PMIP隧道。由于SRNC-c 118知道MN-HA密钥(从之前的认证过程得知),因而SRNC-c 118可向AGW-c 120提供该MN-HA密钥以验证该新的隧道请求有效。结果,AGW-c 120可以如所请求的那样与eBS-d 117一起建立新的隧道。
在一个示例中,随着AT-1 106经由eBS-a 104寻求无线服务,AT-1 106首先执行认证过程。结果,AGW-a 112和SRNC-a 114将知道用于它们的隧道的MN-HA密钥。如果AT-1 106随后希望经由eBS-b 107进行通信,那么新的隧道请求被发送给AGW-a 112。然而,在此情形中,新的服务SRNC-b109并不知道该MN-HA密钥(例如,该MN-HA密钥起初被给予SRNC-a114)。因此,为了验证其新的隧道请求是有效的,SRNC-b 109可从SRNC-a114获得该MN-HA密钥。这允许AGW在不需要重新认证的情况下将数据重新路由到新的服务eBS-b 107。替换地,AT-1 106可简单地向服务和/或归属网络重新认证自己(例如执行图5-10中所图解的认证过程)。
图13图解了用于在通信网络中验证新的隧道请求的方法。可经由第一网络接入节点向认证对等体提供无线网络连通性1302。将代理移动IP(PMIP)密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端1304。随后,(例如,经由PMIP隧道)向与第一网络接入节点相关联的第一认证者提供PMIP密钥1306。通信可随后被路由至第一网络接入节点1308。
随后,可在PMIP网络节点处接收来自请求方实体的重新路由认证对等体的通信的请求1310。PMIP网络节点可验证请求方实体是否知道PMIP密钥1312。在一个示例中,如果请求方实体成功证明其知道PMIP密钥,则通信可被重新路由至第二网络接入节点(例如,新的eBS)。在另一个示例中,如果请求方实体成功证明其知道PMIP密钥,则通信可被重新路由至第二网络网关节点(例如,AGW)。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道1314。在一个示例中,PMIP密钥可在认证、授权和记账(AAA)实体或网络网关节点处生成。PMIP网络节点可以是网络网关节点。
图16是图解了PMIP网络节点设备的示例的框图。PMIP网络节点设备1600可包括耦合至网络通信接口1606的处理电路1604。处理电路1604可适配成:(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求方实体的重新路由该认证对等体的通信的请求;(e)验证请求方实体是否知道PMIP密钥;(f)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络接入节点;和/或(g)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络网关节点。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
结果,还可提供一种PMIP网络节点,包括:(a)用于经由第一网络接入节点向认证对等体提供无线网络连通性的装置;(b)用于将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端的装置;(c)用于向与第一网络接入节点相关联的第一认证者提供该PMIP密钥的装置;接收来自请求方实体的重新路由该认证对等体的通信的请求;(d)用于验证请求方实体是否知道PMIP密钥的装置;(e)用于在如果请求方实体成功证明其知道PMIP密钥的情况下将通信重新路由至第二网络接入节点的装置;和/或(f)用于在如果请求方实体成功证明其知道PMIP密钥的情况下将通信重新路由至第二网络网关节点的装置。重新路由通信可包括在第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
类似地,还可提供一种在PMIP网络节点设备上操作的计算机程序,该计算机程序在由处理器执行时使该处理器:(a)经由第一网络接入节点向认证对等体提供无线网络连通性;(b)将PMIP密钥提供给第一网络接入节点与用来向认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;(c)向与第一网络接入节点相关联的第一认证者提供该PMIP密钥;(d)接收来自请求方实体的重新路由该认证对等体的通信的请求;(e)验证请求方实体是否知道PMIP密钥;(f)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络接入节点;和/或(g)如果请求方实体成功证明其知道PMIP密钥;则将通信重新路由至第二网络网关节点。
图1、2、3、4、5、6、7、8、9、10、11、12、13、15和/或16中图解的组件、步骤、和/或功能之中的一个或更多个可以被重新编排和/或组合成单个组件、步骤、或功能,或可以实施在数个组件、步骤、或功能中。也可以添加更多的元件、组件、步骤、和/或功能。图1、4、14、15和16中图解的装置、设备、和/或组件可以被配置或适配成执行图2、3和/或5-13中描述的方法、特征、或步骤中的一个或更多个。本文中描述的算法可以在软件和/或嵌入式硬件中高效率地实现。
本领域技术人员将可进一步领会,结合本文中公开的配置描述的各种解说性逻辑框、模块、电路、和算法步骤可以被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件和软件的这种可互换性,各种解说性组件、块、模块、电路、和步骤在上文中以其功能性的形式进行了一般化描述。这样的功能性是实现为硬件还是软件取决于具体应用和加诸整体系统上的设计约束。
应注意,以上配置仅是示例而不应被理解为限定权利要求。对这些配置的描述旨在解说而非限定所附权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变形对于本领域技术人员将是显而易见的。
Claims (55)
1.一种在无线通信网络的认证服务器中操作的方法,包括:
接收来自无线认证对等体的接入认证请求;
生成与用于所述无线认证对等体的主用户标识符相关联的副用户标识符;
向与所述认证对等体相关联的认证者提供所述副用户标识符。
2.如权利要求1所述的方法,其特征在于,所述通信网络包括超移动宽带(UMB)兼容网络、WiMAX兼容网络、或长期演进(LTE)兼容网络中的至少一个。
3.如权利要求1所述的方法,其特征在于,所述认证服务器是认证、授权和记账实体(AAA),并且所述认证对等体是无线接入终端(AT)。
4.如权利要求3所述的方法,其特征在于,所述认证者是超移动宽带(UMB)兼容网络中与为所述无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),并且所述主用户标识符是用于所述无线接入终端的网络接入标识符(NAI)。
5.如权利要求4所述的方法,其特征在于,所述服务基站与所述会话参考网络控制器(SRNC)同处。
6.如权利要求1所述的方法,其特征在于,还包括:
基于所述主用户标识符来检索用户概况信息;以及
向所述认证者提供所述用户概况信息。
7.如权利要求1所述的方法,其特征在于,所述副用户标识符是随机生成的、随后与所述主用户标识符相关联的数字。
8.如权利要求1所述的方法,其特征在于,所述副用户标识符是所述主用户标识符。
9.如权利要求1所述的方法,其特征在于,所述副用户标识符是所述主用户标识符的函数。
10.一种包括处理电路的认证服务器,所述处理电路适配成:
接收来自无线认证对等体的接入认证请求;
生成与用于所述无线认证对等体的主用户标识符相关联的副用户标识符;以及
向与所述认证对等体相关联的认证者提供所述副用户标识符。
11.如权利要求10所述的认证服务器,其特征在于,还包括通信接口,所述通信接口适配成在超移动宽带(UMB)兼容网络、WiMAX兼容网络、或长期演进(LTE)兼容网络中的至少一个上通信。
12.如权利要求10所述的认证服务器,其特征在于,所述认证服务器是认证、授权和记账实体(AAA),并且所述认证对等体是无线接入终端(AT)。
13.如权利要求12所述的认证服务器,其特征在于,所述认证者是超移动宽带(UMB)兼容网络中与为所述无线接入终端(AT)服务的基站(BS)相关联的会话参考网络控制器(SRNC),并且所述主用户标识符是用于所述无线接入终端的网络接入标识符(NAI)。
14.如权利要求10所述的认证服务器,其特征在于,所述处理电路还适配成:
基于所述主用户标识符来检索用户概况信息;以及
向所述认证者提供所述用户概况信息。
15.如权利要求10所述的认证服务器,其特征在于,所述副用户标识符是随机生成的、随后与所述主用户标识符相关联的数字。
16.如权利要求10所述的认证服务器,其特征在于,所述副用户标识符是所述主用户标识符。
17.如权利要求10所述的认证服务器,其特征在于,所述副用户标识符是所述主用户标识符的函数。
18.一种认证服务器,包括:
用于接收来自无线认证对等体的接入认证请求的装置;
用于生成与用于所述无线认证对等体的主用户标识符相关联的副用户标识符的装置;以及
用于向与所述认证对等体相关联的认证者提供所述副用户标识符的装置。
19.如权利要求18所述的认证服务器,其特征在于,还包括:
用于基于所述主用户标识符来检索用户概况信息的装置;以及
用于向所述认证者提供所述用户概况信息的装置。
20.一种在认证服务器上操作的用于保护主用户标识符的计算机程序,所述计算机程序在由处理器执行时使所述处理器:
接收来自无线认证对等体的接入认证请求;
生成与用于所述无线认证对等体的主用户标识符相关联的副用户标识符;以及
向与所述认证对等体相关联的认证者提供所述副用户标识符。
21.如权利要求20所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器:
基于所述主用户标识符来检索用户概况信息;以及
向所述认证者提供所述用户概况信息。
22.一种在通信网络中操作的方法,包括:
对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;
检索与所述认证对等体相关联的用户概况信息;以及
向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
23如权利要求22所述的方法,其特征在于,还包括:
向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
24.如权利要求22所述的方法,其特征在于,所述认证服务器是作为所述通信网络的一部分的认证、授权和记账(AAA)实体。
25.如权利要求22所述的方法,其特征在于,向所述网络网关节点发送所述用户概况信息包括令所述通信网络的认证者向所述网络网关节点发送所述用户概况信息。
26.如权利要求22所述的方法,其特征在于,向所述网络网关节点发送所述用户概况信息包括令所述认证服务器向所述网络网关节点发送所述用户概况信息。
27.如权利要求22所述的方法,其特征在于,所述用户概况信息包括用户概况、用户策略、对所述用户概况的服务质量、对所述认证对等体的通信服务的服务质量中的至少一个。
28.如权利要求22所述的方法,其特征在于,还包括:
从所述网络网关节点向策略控制和资源功能(PCRF)实体发送策略请求;
从所述PCRF实体向所述认证服务器发送主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;
从所述认证服务器向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符;
在所述PCRF实体处使用所述主用户标识符为所述认证对等体获得用户策略;以及
从所述PCRF实体向所述网络网关节点发送所述用户策略。
29.如权利要求22所述的方法,其特征在于,所述认证者是超移动宽带(UMB)兼容网络中与为所述认证对等体服务的基站相关联的会话参考网络控制器(SRNC),并且所述机密的标识符是用于所述无线接入终端的网络接入标识符。
30.一种包括处理电路的认证服务器,所述处理电路适配成:
对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;
检索与所述认证对等体相关联的用户概况信息;以及
向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
31.如权利要求30所述的认证服务器,其特征在于,所述处理电路还适配成:
向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
32.如权利要求30所述的认证服务器,其特征在于,所述处理电路还适配成:
接收来自PCRF实体的主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及
向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符。
33.一种认证服务器,包括:
用于对寻求经由第一网络接入节点来建立通信的认证对等体进行认证的装置;
用于检索与所述认证对等体相关联的用户概况信息的装置;以及
用于向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息的装置。
34.如权利要求33所述的认证服务器,其特征在于,还包括:
用于向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息的装置。
35.如权利要求33所述的认证服务器,其特征在于,还包括:
用于接收来自PCRF实体的主用户标识符请求的装置,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及
用于向所述PCRF实体发送答复的装置,所述答复包括所请求的主用户标识符。
36.一种在认证服务器上操作的用于提供用户信息的计算机程序,所述计算机程序在由处理器执行时使所述处理器:
对寻求经由第一网络接入节点来建立通信的认证对等体进行认证;
检索与所述认证对等体相关联的用户概况信息;以及
向帮助实现对所述认证对等体的通信服务的网络网关节点发送所述用户概况信息。
37.如权利要求36所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器:
向帮助为所述认证对等体实现通信的认证者发送所述用户概况信息。
38.如权利要求36所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器:
接收来自PCRF实体的主用户标识符请求,其中所述主用户标识符唯一性地与所述认证对等体相关联;以及
向所述PCRF实体发送答复,所述答复包括所请求的主用户标识符。
39.一种在通信网络中操作的方法,包括:
经由第一网络接入节点向认证对等体提供无线网络连通性;
将PMIP密钥提供给所述第一网络接入节点与用来向所述认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;
向与所述第一网络接入节点相关联的第一认证者提供所述PMIP密钥;
在所述PMIP网络节点处接收来自请求方实体的重新路由所述认证对等体的通信的请求;以及
验证所述请求方实体是否知道所述PMIP密钥。
40.如权利要求39所述的方法,其特征在于,还包括:
如果所述请求方实体成功证明其知道所述PMIP密钥,则将通信重新路由至第二网络接入节点。
41.如权利要求39所述的方法,其特征在于,还包括:
如果所述请求方实体成功证明其知道所述PMIP密钥,则将通信重新路由至第二网络网关节点。
42.如权利要求41所述的方法,其特征在于,重新路由通信包括在所述第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
43.如权利要求39所述的方法,其特征在于,还包括:
将通信路由至所述第一网络接入节点。
44.如权利要求39所述的方法,其特征在于,还包括:
在认证、授权和记账(AAA)实体处生成所述PMIP密钥。
45.如权利要求39所述的方法,其特征在于,所述PMIP网络节点是网络网关节点。
46.一种包括处理电路的PMIP网络节点,所述处理电路适配成:
经由第一网络接入节点向认证对等体提供无线网络连通性;
将PMIP密钥提供给所述第一网络接入节点与用来向所述认证对等体提供通信的所述PMIP网络节点之间的PMIP隧道的两端;
向与所述第一网络接入节点相关联的第一认证者提供所述PMIP密钥;接收来自请求方实体的重新路由所述认证对等体的通信的请求;以及
验证所述请求方实体是否知道所述PMIP密钥。
47.如权利要求46所述的PMIP网络节点,其特征在于,所述处理电路还适配成:
如果所述请求方实体成功证明其知道所述PMIP密钥,则将通信重新路由至第二网络接入节点。
48.如权利要求46所述的PMIP网络节点,其特征在于,所述处理电路还适配成:
如果所述请求方实体成功证明其知道所述PMIP密钥,则将通信重新路由至第二网络网关节点。
49.如权利要求46所述的PMIP网络节点,其特征在于,重新路由通信包括在所述第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
50.一种PMIP网络节点,包括:
用于经由第一网络接入节点向认证对等体提供无线网络连通性的装置;
用于将PMIP密钥提供给所述第一网络接入节点与用来向所述认证对等体提供通信的所述PMIP网络节点之间的PMIP隧道的两端的装置;
用于向与所述第一网络接入节点相关联的第一认证者提供所述PMIP密钥的装置;
接收来自请求方实体的重新路由所述认证对等体的通信的请求;以及
用于验证所述请求方实体是否知道所述PMIP密钥的装置。
51.如权利要求50所述的PMIP网络节点,其特征在于,所述处理电路还适配成:
用于在如果所述请求方实体成功证明其知道所述PMIP密钥的情况下将通信重新路由至第二网络接入节点的装置。
52.如权利要求50所述的PMIP网络节点,其特征在于,所述处理电路还适配成:
用于在如果所述请求方实体成功证明其知道所述PMIP密钥的情况下将通信重新路由至第二网络网关节点的装置。
53.如权利要求50所述的PMIP网络节点,其特征在于,重新路由通信包括在所述第一PMIP网络节点与新的服务网络实体之间建立新的代理移动IP隧道。
54.一种在PMIP网络节点上操作的计算机程序,所述计算机程序在由处理器执行时使所述处理器:
经由第一网络接入节点向认证对等体提供无线网络连通性;
将PMIP密钥提供给所述第一网络接入节点与用来向所述认证对等体提供通信的PMIP网络节点之间的PMIP隧道的两端;
向与所述第一网络接入节点相关联的第一认证者提供所述PMIP密钥;
接收来自请求方实体的重新路由所述认证对等体的通信的请求;以及
验证所述请求方实体是否知道所述PMIP密钥。
55.如权利要求54所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器:
在如果所述请求方实体成功证明其知道所述PMIP密钥的情况下将通信重新路由至第二网络接入节点。
56.如权利要求54所述的计算机程序,其特征在于,所述计算机程序在由所述处理器执行时还使所述处理器:
在如果所述请求方实体成功证明其知道所述PMIP密钥的情况下将通信重新路由至第二网络网关节点。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210384788.1A CN102938890B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
| CN201210384768.4A CN102938889B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US89529807P | 2007-03-16 | 2007-03-16 | |
| US60/895,298 | 2007-03-16 | ||
| US12/048,883 | 2008-03-14 | ||
| US12/048,883 US10171998B2 (en) | 2007-03-16 | 2008-03-14 | User profile, policy, and PMIP key distribution in a wireless communication network |
| PCT/US2008/057280 WO2008121544A2 (en) | 2007-03-16 | 2008-03-17 | User profile, policy, and pmip key distribution in a wireless communication network |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210384788.1A Division CN102938890B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
| CN201210384768.4A Division CN102938889B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101675644A true CN101675644A (zh) | 2010-03-17 |
| CN101675644B CN101675644B (zh) | 2014-07-16 |
Family
ID=39677743
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880014415.7A Active CN101675644B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
| CN201210384768.4A Active CN102938889B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
| CN201210384788.1A Active CN102938890B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210384768.4A Active CN102938889B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
| CN201210384788.1A Active CN102938890B (zh) | 2007-03-16 | 2008-03-17 | 无线通信网络中的用户概况、策略、及pmip密钥分发 |
Country Status (18)
| Country | Link |
|---|---|
| US (2) | US10171998B2 (zh) |
| EP (2) | EP3382990B1 (zh) |
| JP (1) | JP4965671B2 (zh) |
| KR (3) | KR101122999B1 (zh) |
| CN (3) | CN101675644B (zh) |
| BR (1) | BRPI0808920A2 (zh) |
| CA (1) | CA2681116A1 (zh) |
| DK (2) | DK2137925T3 (zh) |
| ES (2) | ES2670853T3 (zh) |
| HU (2) | HUE050161T2 (zh) |
| NO (1) | NO2137925T3 (zh) |
| PL (2) | PL3382990T3 (zh) |
| PT (2) | PT3382990T (zh) |
| RU (1) | RU2440688C2 (zh) |
| SI (2) | SI3382990T1 (zh) |
| TR (1) | TR201806942T4 (zh) |
| TW (3) | TW200849929A (zh) |
| WO (1) | WO2008121544A2 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| US20090042569A1 (en) * | 2007-04-20 | 2009-02-12 | Interdigital Technology Corporation | Method and apparatus for supporting mobile ip and proxy mip in evolved 3gpp systems |
| KR101341720B1 (ko) * | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
| US8769611B2 (en) * | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| US8098597B2 (en) * | 2007-08-24 | 2012-01-17 | Samsung Electronics Co., Ltd. | IAS-based configuration for UMB Femto devices |
| US8811161B2 (en) * | 2007-09-21 | 2014-08-19 | Intellectual Discovery Co., Ltd. | Method of creating and deleting service flow for robust header compression, and wireless communication system supporting the same |
| JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| JP4371249B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| US8353018B2 (en) * | 2008-11-13 | 2013-01-08 | Yahoo! Inc. | Automatic local listing owner authentication system |
| US8234693B2 (en) * | 2008-12-05 | 2012-07-31 | Raytheon Company | Secure document management |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| US8826376B2 (en) * | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
| KR101674903B1 (ko) * | 2009-10-20 | 2016-11-11 | 삼성전자주식회사 | 개인 네트워크를 이용한 서비스 제공 방법 및 장치 |
| CN102056118B (zh) * | 2009-10-30 | 2015-05-20 | 中兴通讯股份有限公司 | 计费控制的方法、装置及系统 |
| US9166803B2 (en) | 2010-02-12 | 2015-10-20 | Tekelec, Inc. | Methods, systems, and computer readable media for service detection over an RX interface |
| CN102893640B (zh) | 2010-03-15 | 2016-03-23 | 泰克莱克股份有限公司 | 用于在策略和计费规则功能与服务节点之间传输策略信息的方法、系统和计算机可读介质 |
| US9319318B2 (en) * | 2010-03-15 | 2016-04-19 | Tekelec, Inc. | Methods, systems, and computer readable media for performing PCRF-based user information pass through |
| EP2418818B1 (en) | 2010-08-12 | 2018-02-14 | Deutsche Telekom AG | Network entity for managing communications towards a user entity over a communication network |
| EP2418815B1 (en) | 2010-08-12 | 2019-01-02 | Deutsche Telekom AG | Managing Session Initiation Protocol communications towards a user entity in a communication network |
| EP2418817B1 (en) | 2010-08-12 | 2018-12-12 | Deutsche Telekom AG | Application server for managing communications towards a set of user entities |
| TWI568234B (zh) * | 2014-01-28 | 2017-01-21 | 國立勤益科技大學 | 全球移動通訊網路的匿名認證方法 |
| EP3117642B1 (en) * | 2014-03-11 | 2019-05-08 | Telefonaktiebolaget LM Ericsson (publ) | Methods, devices and computer programs for subjecting traffic associated with a service to a specific treatment |
| RU2610258C2 (ru) | 2014-11-28 | 2017-02-08 | Общество С Ограниченной Ответственностью "Яндекс" | Способ (варианты) и система (варианты) анонимной авторизации на сервисе пользователя |
| US10200265B2 (en) * | 2015-06-11 | 2019-02-05 | Comcast Cable Communications, Llc | Application peering |
| RU2637999C1 (ru) | 2016-09-12 | 2017-12-08 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система создания профиля пользователя и аутентификации пользователя |
| EP3944581A1 (en) * | 2020-07-21 | 2022-01-26 | Mastercard International Incorporated | Authentication method and system |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6445922B1 (en) * | 1999-12-15 | 2002-09-03 | Lucent Technologies Inc. | Method and system for support of overlapping IP addresses between an interworking function and a mobile IP foreign agent |
| US6563919B1 (en) * | 1999-12-17 | 2003-05-13 | Nortel Networks Limited | System and method for unifying the implementation and processing of mobile communications and a unified mobility manager for providing such communications |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| AU2002213367A1 (en) | 2000-10-20 | 2002-05-06 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| EP1378093B1 (en) | 2001-04-09 | 2012-08-08 | Hewlett-Packard Development Company, L.P. | Authentication and encryption method and apparatus for a wireless local access network |
| US6785256B2 (en) * | 2002-02-04 | 2004-08-31 | Flarion Technologies, Inc. | Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| CN1666190B (zh) * | 2002-06-28 | 2010-04-28 | 诺基亚有限公司 | 向归属代理注册移动节点的归属地址的方法 |
| KR100480258B1 (ko) | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US7562393B2 (en) * | 2002-10-21 | 2009-07-14 | Alcatel-Lucent Usa Inc. | Mobility access gateway |
| US20040193891A1 (en) * | 2003-03-31 | 2004-09-30 | Juha Ollila | Integrity check value for WLAN pseudonym |
| US7505432B2 (en) * | 2003-04-28 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for securing proxy Mobile IP |
| US7793098B2 (en) * | 2003-05-20 | 2010-09-07 | Nokia Corporation | Providing privacy to nodes using mobile IPv6 with route optimization |
| CN1283072C (zh) * | 2003-07-03 | 2006-11-01 | 华为技术有限公司 | 无线局域网中用户终端网络选择信息的处理方法 |
| US7539156B2 (en) * | 2003-10-17 | 2009-05-26 | Qualcomm Incorporated | Method and apparatus for provisioning and activation of an embedded module in an access terminal of a wireless communication system |
| US7324474B2 (en) * | 2003-10-21 | 2008-01-29 | Qualcomm Incorporated | Methods and apparatus for Network Initiated Data Services |
| GB2417856B (en) | 2004-03-20 | 2008-11-19 | Alcyone Holding S A | Wireless LAN cellular gateways |
| US20060019635A1 (en) * | 2004-06-29 | 2006-01-26 | Nokia Corporation | Enhanced use of a network access identifier in wlan |
| EP1810474B1 (en) * | 2004-11-10 | 2014-03-12 | Telefonaktiebolaget LM Ericsson (publ) | An arrangement, nodes and a method relating to services access over a communication system |
| CN100486280C (zh) | 2005-02-02 | 2009-05-06 | 中国移动通信集团公司 | 移动通信终端页面适配的方法及系统 |
| FI20050384A0 (fi) | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| CN100558135C (zh) | 2005-06-17 | 2009-11-04 | 华为技术有限公司 | 一种在通信网络中实现预付费业务的方法及系统 |
| US20070047477A1 (en) | 2005-08-23 | 2007-03-01 | Meshnetworks, Inc. | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
| WO2007026268A1 (en) * | 2005-08-31 | 2007-03-08 | Nokia Corporation | Inter-access mobility and service control |
| US8478266B1 (en) * | 2006-03-07 | 2013-07-02 | Sprint Spectrum L.P. | Method and system for anonymous operation of a mobile node |
| US8090830B2 (en) * | 2006-05-02 | 2012-01-03 | Research In Motion Limited | Apparatus, and associated method, for generating and transmitting an anonymous routing identifier to identify user agent |
| US20080108321A1 (en) * | 2006-11-08 | 2008-05-08 | Pouya Taaghol | Over-the-air (OTA) device provisioning in broadband wireless networks |
| US8462947B2 (en) * | 2006-12-19 | 2013-06-11 | Telefonaktiebolaget L M Ericsson (Publ) | Managing user access in a communications network |
| EP1953991A1 (en) * | 2007-01-30 | 2008-08-06 | Matsushita Electric Industrial Co., Ltd. | Race condition resolution in mixed network- and host-based mobility mangement scenarios |
| US20080192695A1 (en) * | 2007-02-09 | 2008-08-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancing protection of a mobile node's home address in a visited network |
| US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
-
2008
- 2008-03-14 US US12/048,883 patent/US10171998B2/en active Active
- 2008-03-17 SI SI200832144T patent/SI3382990T1/sl unknown
- 2008-03-17 KR KR1020097021448A patent/KR101122999B1/ko active IP Right Grant
- 2008-03-17 TW TW097109409A patent/TW200849929A/zh unknown
- 2008-03-17 BR BRPI0808920-5A patent/BRPI0808920A2/pt not_active IP Right Cessation
- 2008-03-17 SI SI200831957T patent/SI2137925T1/en unknown
- 2008-03-17 WO PCT/US2008/057280 patent/WO2008121544A2/en active Application Filing
- 2008-03-17 DK DK08732376.2T patent/DK2137925T3/en active
- 2008-03-17 NO NO08732376A patent/NO2137925T3/no unknown
- 2008-03-17 TW TW102106324A patent/TW201325183A/zh unknown
- 2008-03-17 TW TW102106322A patent/TW201325182A/zh unknown
- 2008-03-17 HU HUE18167818A patent/HUE050161T2/hu unknown
- 2008-03-17 CN CN200880014415.7A patent/CN101675644B/zh active Active
- 2008-03-17 RU RU2009138223/08A patent/RU2440688C2/ru active
- 2008-03-17 EP EP18167818.6A patent/EP3382990B1/en active Active
- 2008-03-17 ES ES08732376.2T patent/ES2670853T3/es active Active
- 2008-03-17 HU HUE08732376A patent/HUE036642T2/hu unknown
- 2008-03-17 JP JP2009554684A patent/JP4965671B2/ja active Active
- 2008-03-17 TR TR2018/06942T patent/TR201806942T4/tr unknown
- 2008-03-17 PL PL18167818T patent/PL3382990T3/pl unknown
- 2008-03-17 CN CN201210384768.4A patent/CN102938889B/zh active Active
- 2008-03-17 PT PT181678186T patent/PT3382990T/pt unknown
- 2008-03-17 EP EP08732376.2A patent/EP2137925B1/en active Active
- 2008-03-17 CA CA002681116A patent/CA2681116A1/en not_active Abandoned
- 2008-03-17 PT PT87323762T patent/PT2137925T/pt unknown
- 2008-03-17 DK DK18167818.6T patent/DK3382990T3/da active
- 2008-03-17 ES ES18167818T patent/ES2827573T3/es active Active
- 2008-03-17 KR KR1020117008572A patent/KR101122996B1/ko active IP Right Grant
- 2008-03-17 CN CN201210384788.1A patent/CN102938890B/zh active Active
- 2008-03-17 PL PL08732376T patent/PL2137925T3/pl unknown
- 2008-03-17 KR KR1020117008571A patent/KR101122997B1/ko active IP Right Grant
-
2018
- 2018-11-02 US US16/179,760 patent/US11463874B2/en active Active
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101675644B (zh) | 无线通信网络中的用户概况、策略、及pmip密钥分发 | |
| CN101682630B (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
| EP3726797B1 (en) | Key distribution method, device and system | |
| US7130286B2 (en) | System and method for resource authorizations during handovers | |
| NO337018B1 (no) | Fremgangsmåte og system for GSM-autentisering ved WLAN-forflytning | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| KR20070116275A (ko) | 모바일 인터넷 프로토콜 키 분배를 위한 일반 인증아키텍처의 이용 | |
| RU2447603C2 (ru) | Способ передачи сообщений dhcp |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |