CN101690103A - 用于系留装置的代理加密验证 - Google Patents
用于系留装置的代理加密验证 Download PDFInfo
- Publication number
- CN101690103A CN101690103A CN200880022904A CN200880022904A CN101690103A CN 101690103 A CN101690103 A CN 101690103A CN 200880022904 A CN200880022904 A CN 200880022904A CN 200880022904 A CN200880022904 A CN 200880022904A CN 101690103 A CN101690103 A CN 101690103A
- Authority
- CN
- China
- Prior art keywords
- cell
- response
- radio
- lcp
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本文呈现用于允许无线通信装置代表系留装置执行代理验证且确保所述验证被加密的方法和设备。
Description
相关申请案
本申请案是2003年7月25日申请的第10/627,171号美国专利申请案的部分接续案,所述美国专利申请案在2005年2月17日作为第2005/0039005号美国专利申请案公开且在2007年7月3日作为第7,239,865号美国专利颁发,所述美国专利申请案的全部内容以引用的方式并入本文中。
技术领域
本发明大体上涉及无线通信网络和包交换数据网络。更具体来说,本发明涉及使用无线通信装置来代表系留装置执行代理验证,其中所述系留装置正使用无线通信网络来接入包交换数据网络。
背景技术
无线通信的领域具有许多应用,其中包含(例如)无绳电话、寻呼、无线本地回路、个人数字助理(PDA)、因特网电话以及卫星通信系统。尤其重要的应用是用于远程订户的蜂窝式电话系统。如本文使用,术语“蜂窝式”系统涵盖使用蜂窝式或个人通信服务(PCS)频率的系统。已针对此类蜂窝式电话系统开发了各种空中接口,其中包含(例如)频分多址(FDMA)、时分多址(TDMA)和码分多址(CDMA)。与其结合,已建立了各种国内和国际标准,其中包含(例如)高级移动电话服务(AMPS)、全球移动系统(GSM)和临时标准95(IS-95)。IS-95及其衍生物IS-95A、IS-95B、ANSI J-STD-008(本文常统称为IS-95)以及所提议的高数据速率系统是由电信行业协会(TIA)和其它众所周知的标准团体公布的。
根据IS-95标准的使用来配置的蜂窝式电话系统采用CDMA信号处理技术来提供高度有效且稳健的蜂窝式电话服务。大体上根据IS-95标准的使用来配置的示范性蜂窝式电话系统描述于第5,103,459号和第4,901,307号美国专利中,所述美国专利转让给本发明的受让人且以引用的方式并入本文中。利用CDMA技术的示范性系统是由TIA发布的cdma2000 ITU-R无线电传输技术(RTT)候选方案(本文称为cdma2000)。用于cdma2000的标准在IS-2000(cdma2000 1×EV-DV)和IS-856(cdma2000 1×EV-DO)的草案版本中给出,且已由TIA批准。另一CDMA标准是W-CDMA标准,如第3代合作伙伴计划(“3GPP”)第3G TS 25.211、3G TS 25.212、3G TS 25.213和3G TS 25.214号文献中所体现。W-CDMA标准正被并入到称为通用移动电信系统(UMTS)的基于GSM的系统中。
上文引用的电信标准是可实施的各种通信系统中的仅一些系统的实例。一种普通类别的标准称为“第三代”或“3G”,cdma2000和W-CDMA均是其成员。这些3G标准是针对增加的数据速率,其将支持增加的用户数目和数据密集型应用。
由于对无线数据应用的不断增长的需求,对非常有效的无线数据通信系统的需要已变得日益显著。一种此类无线数据应用是发源或终止于包交换网络处的数据包传输。存在各种协议用于在包交换网络上传输经包化业务以使得信息到达其既定目的地。用于传输经包化业务的主要协议是“因特网协议”注解请求(RFC)791(1981年9月)。因特网协议(IP)将消息划分为包,将所述包从发送者路由到目的地,且在目的地处将包再组合为原始消息。IP协议要求每一数据包以含有唯一地识别主机和目的地计算机的源和目的地地址字段的IP标头开始。另一协议是在RFC 1661(1994年7月)中公布的点到点协议(PPP),其是用于在点到点链路上输送IP业务的封装协议。又一协议是在RFC2002(1996年10月)中公布的IP移动性支持,其是提供将IP数据报透明发出到移动节点的协议。
因此,IP包在无线通信网络上从IP网络的传输或在IP网络上从无线通信网络的传输可通过遵守一组协议(称为协议堆栈)来完成。无线通信装置可为IP包的发源地或目的地,或者,无线通信装置可为到电子装置的透明链路。在任一情况下,将有效负载信息划分为包,其中将标头信息添加到每一包。IP标头位于PPP层之上,PPP层位于RLP层上,RLP层位于无线空中接口的物理层之上。RLP层是无线电链路协议层,其负责在传输错误发生时选择性地重新传输包。在WCDMA系统中,PPP层位于无线电链路控制(RLC)层上,RLC层具有与RLP层类似的功能性。
数据可经由接入点(AP)在空中输送到包数据服务节点(PDSN),于是随后在IP网络上发送数据。使用来自蜂窝式通信系统的术语学,AP还可被视为基站或基站等效物。或者,IP包可在IP网络上传输到PDSN,从PDSN传输到AP,且接着在空中传输到无线通信装置。无线通信装置在无线通信协议的术语学中可称为接入终端(AT),或者,无线通信装置在IP协议的术语学中可称为移动节点(MN)。
当尝试以无线方式传送在有线环境中发源或终止的数据时存在大量难题。一种此类难题是尝试经由无线通信装备接入包数据服务的装置的验证。由于在经由无线环境传输IP包中涉及的协议的多样性,具有在系留到无线通信装置的装置期望接入有线网络的情况下必须满足的验证程序的多样性。在一种可能的情形中,将会要求无线通信装置满足无线网络的验证程序,可能要求系留装置满足有线网络的验证程序,且一者的验证程序可能影响另一者的验证程序。因此,当使用多个协议时,对应于每一协议的不同验证要求的实施在端到端通信会话内是可能的。然而,以在时间和计算上有效的方式实施不同的验证要求是存在问题的。
发明内容
本文呈现用以解决上文陈述的难题的方法和设备。在一实施例中,呈现一种用于执行耦合到无线单元的终端装备的经加密代理验证的方法,所述方法包含:在所述无线单元中拦截导向所述终端装备的链路控制协议消息;确定所述链路控制协议消息中指示的验证协议对于所述无线单元是否可接受;以及在没有来自终端装备的输入的情况下产生对所述链路控制协议消息的适当响应。在另一实施例中,所产生的响应可指示可接受验证协议。在另一方面中,如果预定重试数目已期满,那么所产生的响应可拒绝验证作为配置选项。在另一实施例中,如果链路控制协议消息指示可接受验证协议,那么将链路控制协议消息转发到终端装备。在另一实施例中,如果链路控制协议消息包含验证询问,那么可接受响应是对询问的响应,且将询问转发到终端装备,同时忽略从系留装置接收到的询问响应。
在另一实施例中,呈现一种在无线单元内用于执行耦合到所述无线单元的终端装备的代理验证的设备,所述设备包括:至少一个存储器元件;以及至少一个处理元件,其经配置以执行存储在所述至少一个存储器元件上的指令集,所述指令集用于:在所述无线单元中拦截导向所述终端装备的链路控制协议消息;确定所述链路控制协议消息中指示的验证协议对于所述无线单元是否可接受;以及在没有来自终端装备的输入的情况下产生对所述链路控制协议消息的适当响应。
在另一实施例中,呈现一种用于执行系留到无线单元的装置的代理验证的设备,所述设备包含:用于在所述无线单元中拦截导向所述终端装备的链路控制协议消息的装置;用于确定所述链路控制协议消息中指示的验证协议对于所述无线单元是否可接受的装置;以及用于在没有来自终端装备的输入的情况下产生对所述链路控制协议消息的适当响应的装置。
附图说明
图1是无线通信网络的图。
图2是接入终端(AT)、接入网络(AN)、AN-验证、授权和记帐(AN-AAA)服务器与PDSN之间的数据连接性的图。
图3是用于代理验证的程序流程的说明。
图4是强制执行经加密代理验证的方法的一部分的过程流程图。
图5是不强制执行经加密代理验证的移动节点的处理的一部分的过程流程图。
图6是强制执行经加密代理验证的实施例的移动节点的处理的一部分的过程流程图。
图7是根据图6说明的实施例的成功代理加密验证协商的程序流程的说明。
图8是根据图6说明的实施例的不成功代理加密验证协商的程序流程的说明。
图9是根据图6说明的实施例的不成功代理加密验证协商的替代程序流程的说明。
图10是强制执行经加密代理验证的替代实施例的移动节点的处理的一部分的过程流程图。
图11是根据图10说明的实施例的不成功代理加密验证协商的程序流程的说明。
图12是实施例的协议堆栈的图。
具体实施方式
如图1说明,无线通信网络10大体上包含多个接入终端(也称为远程台、移动台、订户单元或用户装备)12a到12d、多个基站(也称为基站收发器(BTS)或节点B)14a到14c、基站控制器(BSC)(也称为无线电网络控制器或包控制功能16)、移动交换中心(MSC)或交换机18、包数据服务节点(PDSN)或网络互连功能(IWF)20、公共交换电话网络(PSTN)22(通常是电话公司)以及包交换数据网络24(通常是因特网协议(IP)网络)。为了简单起见,展示四个接入终端12a到12d、三个基站14a到14c、一个BSC 16、一个MSC 18以及一个PDSN 20。所属领域的技术人员将了解,可存在任何数目的接入终端12、基站14、BSC 16、MSC 18以及PDSN 20。
在一个实施例中,无线通信网络10是包数据服务网络。接入终端12a到12d可为若干不同类型的无线通信装置中的任一者,例如便携式电话、连接到运行基于IP的网页浏览器应用程序的膝上型计算机的蜂窝式电话、具有相关联免提车载套件的蜂窝式电话、运行基于IP的网页浏览器应用程序的个人数据助理(PDA)、并入到便携式计算机中的无线通信模块,或例如可能在无线本地回路或仪表读数系统中找到的固定位置通信模块。在大多数一般实施例中,接入终端可为任何类型的通信单元。
接入终端12a到12d可有利地经配置以执行例如在(例如)EIA/TIA/IS-707标准中描述的一个或一个以上无线包数据协议。在特定实施例中,接入终端12a到12d产生以IP网络24为目的地的IP包,且使用点到点协议(PPP)将IP包封装为帧。
在一个实施例中,IP网络24耦合到PDSN 20,PDSN 20耦合到MSC 18,MSC耦合到BSC 16和PSTN 22,且BSC 16经由有线线路耦合到基站14a到14c,所述有线线路经配置以用于根据若干已知协议中的任一者传输语音和/或数据包,所述协议包含(例如)E1、T1、异步传送模式(ATM)、因特网协议(IP)、点到点协议(PPP)、帧中继、高位速率数字订户线(HDSL)、不对称数字订户线(ADSL)或其它一般数字订户线装备和服务(xDSL)。在替代实施例中,BSC 16直接耦合到PDSN 20,且MSC 18不耦合到PDSN 20。
在无线通信网络10的典型操作期间,基站14a到14c接收来自参与电话呼叫、网页浏览或其它数据通信的各种接入终端12a到12d的反向链路信号集合并对其进行解调。由给定基站14a到14c接收的每一反向链路信号在所述基站14a到14c内处理。每一基站14a到14c可通过调制前向链路信号集合并将其传输到接入终端12a到12d来与多个接入终端12a到12d通信。举例来说,如图1所示,基站14a同时与第一接入终端12a和第二接入终端12b通信,且基站14c同时与第三接入终端12c和第四接入终端12d通信。将所得的包转发到BSC 16,BSC 16提供呼叫资源分配和移动性管理功能,其中包含针对特定接入终端12a到12d的呼叫从一个基站14a到14c到另一基站14a到14c的软越区切换的编排。举例来说,接入终端12c同时与两个基站14b、14c通信。最终,当接入终端12c移动足够远离所述基站中的一者14c时,呼叫将被越区切换到另一基站14b。
如果传输是常规的电话呼叫,那么BSC 16将把所接收的数据路由到MSC 18,MSC18提供用于与PSTN 22介接的额外路由服务。如果传输是例如以IP网络24为目的地的数据呼叫等基于包的传输,那么MSC 18将把数据包路由到PDSN 20,PDSN 20将把包发送到IP网络24。或者,BSC 16将把包直接路由到PDSN 20,PDSN 20将包发送到IP网络24。
在WCDMA系统中,无线通信系统组件的术语学有所不同,但功能性相同。举例来说,基站也可称为在UMIS陆地无线电接入网络(U-TRAN)中操作的无线电网络控制器(RNC)。
在各种现存的通信系统中,对于其中可传输语音和数据业务的各种格式(例如,帧、包和子包)存在不同的命名法。本文描述的实施例的范围延伸到使用各种传输格式中的任一者的所有无线通信系统。然而,为了说明简易起见,本文将使用术语“包”来描述其中携载业务的传输信道格式和业务的结构两者。
应注意,CDMA系统的“包”在结构上不同于包交换数据网络的IP“包”。两者均是描述传输数据的格式的单位,但一者是针对无线网络而优化且另一者是针对包交换数据网络而优化。举例来说,来自IP源的数据包将含有标头部分和数据部分。然而,用于空中传输的数据包携载已被编码和调制且在被压缩为包之前可能经受符号重复的数据。因此,来自包交换数据网络的包将必须被再格式化以在无线网络上使用。在本文描述的实施例中且在此项技术中,词“包”的意义是由所述词的使用来推断。
由于实施例的标的物是针对移动IP电话,因此还将立即使用RFC 2002(1996年10月)的术语学。在此文献中公布的协议使得移动无线通信装置能够改变与因特网的附接点而不必改变装置的IP地址。即,RFC 2002描述一种登记方案,其向归属代理通知移动通信装置的位置,使得归属代理可通过外地代理路由数据包。“归属代理”是在接入终端的归属系统处处理IP包的基础结构元件。“外地代理”是在受访问系统处服务于接入终端的基础结构元件。接入终端也称为“移动节点”(MN)。
参看图1,外地代理和/或归属代理的功能可由受访问网络中的PDSN 20或归属网络中的PDSN 20完成。验证、授权和记帐功能通常由服务器执行,所述服务器称为记帐、授权和记帐(AAA)服务器。AAA服务器以通信方式耦合到PDSN和/或BSC。
在cdma2000 1xEV-DO(下文称为EV-DO)中,图1的无线通信系统实体在概念上被简化为接入终端和接入网络。接入终端(AT)是允许用户通过EV-DO无线接入网络接入包交换数据网络的任何装置。接入网络(AN)包括提供包交换数据网络与接入终端之间的数据连接性的任何网络装备/实体。
图2是AT 200、AN 210、AN-AAA服务器220与PDSN 230之间的数据连接性的图。当AT 200期望接入PDSN 230时在AT 200与AN 210之间建立通信会话。所述会话根据PPP协议来实施且称为验证网络流。AN 210与AN-AAA服务器220通信以便确定是否允许AT 200接入PDSN 230。基于在验证网络流内传达的验证信息,AN 210在AT 200与PDSN 230之间以透明方式传递服务网络流。PDSN 230进一步与AN-AAA服务器220通信以便确定是否允许AT 200接入包交换数据网络(未图示)。基于在服务网络流内传达的验证信息,PDSN 230允许包交换数据网络(未图示)与AT 200之间的IP业务。
因此,在EV-DO系统中,验证程序发生以确保AT是无线网络的经授权订户,且验证程序发生以确保AT是无线电会话的所有者。通常,AT以安全方式存储对于此类程序所需的验证信息和帐户信息。一种此类验证程序是询问信号交换验证协议(CHAP)。在所描述的实施例中在没有过度实验的情况下可使用其它验证协议,但为了说明简易起见,本文将描述CHAP。其它验证协议的实例是移动IP验证协议和口令验证协议(PAP)。
在例如上文列出的协议等询问/响应验证协议中,用户被提供不可预测的数字,且关于加密所述不可预测的数字并返回可预测的结果的任务被询问。如果用户被授权,那么用户将具有呈硬件形式或呈软件形式的正确机制以用询问者所预期的方式加密所述不可预测的数字。举例来说,如果用户被授权,那么用户和询问者将具有可用以加密所述询问的共享秘密密钥。未经授权的用户将缺乏适当的秘密密钥来将询问加密为询问者所预期的响应。
当装置系留到AT以便使用所述AT作为调制解调器以发送和接收IP业务时,关于系留到AT的装置的验证出现各种复杂性。词“系留”在本文中的使用是用于描述装置与无线通信装置之间的连接性。设想此连接性可通过例如电缆附接或直接接触等物理连接,或例如无线电连接、光学连接或红外线连接等非物理连接。
为了获得最佳性能,系留装置将进入直接与网络的PPP协商。然而,系留装置可能不能够执行与网络进行PPP协商所必要的验证程序,因为所需的网络安全性信息存储在AT内而不是系留装置内。将网络安全性信息从AT传递到系留装置是高度不合需要的选项,原因是所述安全性信息可能被滥用。
一种解决方案是在AT与AN之间执行PPP协商和验证程序,且随后在AT与系留装置之间执行PPP协商而不执行验证程序。然而,此解决方案的缺点在于将执行两(2)次PPP协商,这引入了不可接受的时间延迟。而且,此解决方案的缺点在于没有向系留装置通知验证已发生。应注意,端到端PPP协商过程要求在PPP会话完全建立之前由每一末端完成(例如在验证中)特定程序步骤。
此处描述的实施例是用于执行单个端到端PPP协商,其增强验证和账户信息的安全性,同时满足系留装置和AT两者的验证程序。
在第一实施例中,AT内的硬件经配置以执行系留装置的代理验证。由于AT正被用作用于系留装置的调制解调器,因此在图3中使用移动IP协议的术语学,使得AT称为移动节点(MN)。图3说明用于代理验证的高级程序。在实例300处,系留装置和PDSN/IWF使用链路控制协议(LCP)开始PPP会话。LCP用以建立、配置、维持和终止PPP会话。MN充当系留装置与PDSN/IWF之间的透明链路。在实例310处,PDSN/IWF将CHAP询问发送到MN。在实例320处,MN将CHAP询问转发到系留装置。在实例330处,MN使用已经存储在MN内的口令或共享密钥产生CHAP响应。应注意,MN独立于系留装置来产生CHAP响应。
在实例340处,MN从系留装置接收CHAP响应。在从系留装置接收到CHAP响应后,MN有意地抑止将CHAP响应从系留装置传输到PDSN/IWF。
在实例350处,MN从PDSN/IWF接收CHAP成功/失败指示符。在实例360处,MN将CHAP成功/失败指示符转发到系留装置。
因此,以上文所述的方式,第一实施例允许MN使用CHAP执行系留装置的代理验证。在所述实施例的其它方面中,可使用例如PAP和移动IP验证等其它询问/响应验证协议。在另一实施例中,MN可互换实例320和330的时序,使得MN可在将询问转发到系留装置之前产生对询问的响应。
一般来说,MN用以拦截导向系留装置的询问,在不等待来自系留装置的输入的情况下产生对询问的适当响应,将询问转发到系留装置,且忽略由系留装置产生的询问响应。
如果由MN产生的响应丢失(这可能由于无线环境的易于出错的性质而发生),那么从网络重新传输的后续询问将确保验证程序完成。
为了确保采用经加密验证,MN还可在不等待来自系留装置的输入的情况下产生在PPP验证阶段之前的对LCP配置请求消息(C-REQ)的响应。经加密验证的使用对于无线网络是优选的,但可能不是例如系留装置等终端装备的要求。(由于所述实施例同样适用于终端装备没有“系留”到无线调制解调器的情形(例如在双处理器装置中),所以此处将使用较一般的术语“终端装备”。)由于在伪网模型操作模式中,无线调制解调器不是PPP端点,因此无线调制解调器可能不控制LCP配置交换。验证和账户信息可驻存在无线调制解调器中而不是终端装备中,以便提供增强的网络安全性且/或简化装置和软件架构。然而,如果使用未经加密的验证协议(例如,PAP)来建立无线网络通信链路,那么验证凭证将在使得其容易受到窃听设备拦截的明文中在空中传输。因此,未经加密的验证协议的使用增加了由通过使用窃听技术获得验证凭证的未经授权用户进行网络接入的风险。为了减少此风险,MN可经配置以通过直接产生对提议使用验证但不是经加密验证的LCP配置请求消息的响应来强制执行经加密验证协议。
针对PPP LCP协议界定的配置选项中的一者是验证协议。LCP配置请求(C-REQ)消息内含有的值可用以指示所提议的验证协议(如果存在的话)的类型。因此,通过将所述值与初始化表进行比较,接收处理器可确定正被提议的验证协议的类型。
MN对导向系留装置的配置请求的适当响应的产生取决于LCP验证请求中是否指示验证。图4说明MN可依据LCP验证协议(AP)选项的值字段中指示的验证协议来对LCP配置请求(C-REQ)消息做出响应的一般过程。为了确定对来自PDSN/IWF装置的LCP配置请求消息410的适当响应,MN剖析所述请求以读取验证协议(AP)值(步骤420)。如果LCP配置消息中的AP值被设定为无验证(步骤430),那么将配置请求传递到终端装置(步骤440),其中MN充当系留装置与PDSN/IWF之间的透明链路。然而,如果LCP配置请求消息中的AP值指示PDSN/IWF提议验证,那么MN测试AP值是否对应于可接受的验证协议(步骤450)。如果AP值可接受,那么将配置请求消息继续转发到终端装备(步骤460)。然而,如果AP值不可接受,那么MN产生对PDSN/IWF的适当响应,其指示AP值不可接受(步骤470)。此消息可呈配置不可接受(C-NAK)消息的形式,其指定可接受的值(步骤480)。举例来说,C-NAK消息可通过提议可接受的值(例如CHAP)来指定AP值不可接受。重复图4中说明的过程,直到可接受的AP值包含于配置请求消息中或重试(即,通过过程的循环)的数目超过预设数目为止。重试数目可由可配置的重试计数器确定,所述计数器以在MN应放弃验证协议协商之前可发送的C-NAK消息的数目来初始化。
举例来说,如果LCP配置请求消息(C-REQ)410包含指示提议PAP(即,AP=PAP)的AP值,那么MN确定验证被请求(步骤430)且所请求的验证类型不可接受(步骤450)。作为响应,MN将向PDSN/IWF发送指示PAP(即,AP=PAP)不可接受且CHAP(即,AP=CHAP)可接受的C-NAK消息480(步骤470)。作为另一实例,如果LCP C-REQ消息410包含提议不采用验证(例如,AP=0)的AP值,那么MN将LCP C-REQ消息440直接转发到终端装备,因为在没有验证的情况下进行通信不会使验证凭证受到窃听。类似地,如果LCP C-REQ消息提议CHAP(即,AP=CHAP),其并不以明文传输验证凭证,那么MN将LCP C-REQ消息440直接转发到终端装备,因为此验证协议也不会使验证凭证受到窃听。
在测试AP值时,无线调制解调器可将所述值与可接受、合意和/或不可接受的验证协议的经区分优先级列表进行比较。本文描述的实例实施例引用CHAP作为可接受的验证协议值且引用PAP作为不可接受的验证协议值。这是因为PAP未经加密,这升高了验证凭证被未经授权方获得的风险。相比之下,CHAP是目前对于窃听来说安全的经加密验证协议。如CHAP等经加密验证协议的安全性部分取决于足以确定加密密钥和用以产生询问响应散列的算法的计算能力的不可购得性。然而,预期在未来,可购得的计算能力将增加,使得目前的CHAP散列算法可能变得易受攻击。出于此原因,预期随着时间将开发出额外的经加密验证协议以增加安全性(例如,通过增加密钥的大小和散列算法的复杂性)。还预期一些当前经加密验证协议可能变得日益易受拦截和妥协的攻击。因此,预期将以变化程度的脆弱性且因此以变化等级的合意性来开发经加密验证协议。为了适应此情况,MN可将配置请求中的AP值与验证协议的经区分优先级列表进行比较,且基于经区分优先级列表产生适当的响应。举例来说,MN可发送C-NAK响应,其相反地提议MN已知或可接入协议的区分优先级列表中的最高优先级协议。如果采用经区分优先级协议列表,那么MN对PDSN/IWF直接做出响应的过程将继续,直到从PDSN/IWF接收的所提议验证值对于MN可接受为止。因此,在说明性实施例中CHAP和PAP的使用不应被解释为将MN的潜在响应限于指定验证的配置请求。
MN在LCP配置交换期间的先前已知操作描述于第6,370,118号美国专利中,所述美国专利转让给本发明的受让人且以引用的方式并入本文中。作为LCP过程的部分,MN剖析配置请求以获得配置选项。如图5说明,当MN接收到LCP C-REQ消息500时,其在所提议的配置选项对于MN可接受(即,所提议的配置得到无线调制解调器支持)的情况下保存所述配置选项(步骤510)。另外,MN确定装置阶段是否有效(步骤520),如果不是有效,则将装置阶段设定为建立(ESTABLISH)(步骤530),且确定桥接装置阶段是否有效(步骤540),如果不是有效,则将桥接装置阶段设定为建立(步骤550)。这实现与终端装备的通信,在此之后将配置请求消息转发到终端装备(步骤560)。此过程将配置请求消息传递到产生适当响应的终端装备。
图6说明修改在LCP过程期间MN的操作以实施图4说明的一般方法的实施例。在此实施例中,MN剖析传入的配置请求消息500以获得包含AP值的所提议的配置选项(步骤600)。如果AP值指示可接受的验证协议被提议(例如,AP≠PAP)(步骤610),那么实施上文参看图5描述的MN过程。然而,如果AP值指示不可接受的验证协议被提议(例如,AP=PAP)(步骤610),那么MN查询计数器以确定是否已超过预定重试数目(步骤620)。如果尚未超过重试数目,那么MN创建指示对于MN可接受的AP值(例如,AP=CHAP)的C-NAK响应消息(步骤630),在Um链路上将所述消息发送到PDSN/IWF(步骤650),且递减重试计数器。如果已超过重试数目,那么这指示PDSN/IWF不能够提议可接受的验证协议。在此情况下,MN创建指示验证是不可接受的配置参数的配置拒绝(C-REJ)响应消息(步骤640),在无线链路上将所述消息发送到PDSN/IWF(步骤650)。(照一般说法,无线调制解调器与终端装备之间的数据链路称为Rm链路或Rm侧,而无线调制解调器与PDSN/IWF之间的无线链路称为Um链路或Um侧。)在所提议的配置对于MN不可接受的每一情况下,MN无需将配置请求消息转发到终端装备。
图7说明在实例LCP配置交换中的消息交换,其导致对可接受的验证协议的同意。LCP过程的起始可以由终端装备发送的提议对于终端装备可接受的配置的LCP配置请求消息(C-REQ)700开始,所述消息在无修改的情况下通过MN传递到PDSN/IWF。作为响应,PDSN/IWF将在所提议的配置可接受的情况下发送确认消息710。PDSN/IWF接着发送配置请求消息(C-REQ)720,其提议验证协议和其它配置选项值。如果所提议的应用协议不可接受,例如AP=PAP,那么移动节点以相反地提议可接受验证协议(例如AP=CHAP)的C-NAK消息730对PDSN/IWF直接做出响应。在C-NAK消息730中由MN提议的验证协议对于PDSN/IWF可接受的情况下,PDSN/IWF发送新的配置请求消息(C-REQ)740,其提议等于可接受值(例如,CHAP)的验证协议连同其它配置选项值。由于所提议的验证协议对于MN可接受,因此将配置请求消息传递到终端装备,所述终端装备以指示配置已被接受的确认C-Ack消息750做出响应,进而完成配置的协商。终端装备与PDSN/IWF之间的PPP协商可继续片刻,直到两侧均同意所协商的配置为止。一旦配置已被成功协商,那么上文参看图3描述的验证询问过程继续进行。
图8说明在实例LCP配置交换中的消息交换,其导致其中不采用验证协议的通信配置。在此实例中,交换上文参看图7描述的消息,直到预设重试数目已耗尽(即,无C-NAK重试剩余,图6中的步骤620)为止。当从PDSN/IWF接收到提议不可接受的验证协议的下一配置请求(C-REQ)消息810时,MN通过发送指示验证协议被拒绝作为配置选项的配置拒绝(C-REJ)消息820来对PDSN/IWF直接做出响应。在此实例中,PDSN/IWF可接受其中不存在验证的配置,且因此发送不提议验证且提议其它配置选项值的配置请求消息830。由于在配置请求中没有提议不可接受的验证协议,因此MN将配置请求消息传递到终端装备。如果终端装备接受所有其它配置值,那么其以配置确认(C-ACK)消息840做出响应。此后,LCP过程在没有图3说明的验证询问过程的情况下继续进行。
图9说明实例LCP配置交换中的消息交换,其终结于通信尝试的终止,因为没有可接受的配置可被协商。在此实例中,交换上文参看图7描述的消息,直到预设重试数目已耗尽(即,无C-NAK重试剩余,步骤620)为止。当从PDSN/IWF接收到提议不可接受的验证协议的下一配置请求消息910时,MN通过发送指示验证协议被拒绝的配置拒绝(C-REJ)消息920来对PDSN/IWF直接做出响应。在此实例中,PDSN/IWF无法接受其中没有验证的配置,且因此,发送通信终止请求(TERM-REQ)消息930。由于在此消息中没有提议验证协议,因此MN将消息传递到终端装备,所述终端装备以终止确认(TERM-ACK)消息940做出响应,在此之后通信链路将中断。
图10说明在可接受的验证协议无法被协商的情况下迅速终止通信链路的实施例。此实施例可在已知验证者要求验证的情况下实施,在所述情况下发送拒绝验证协议的配置拒绝消息将浪费时间和通信带宽。在此实施例中,在MN中剖析传入的配置请求(C-REQ)消息500以获得包含AP值的配置选项(步骤600)。如果AP值指示可接受的验证协议被提议(例如,AP≠PAP)(步骤610),那么实施上文参看图5描述的MN过程。然而,如果AP值指示不可接受的验证协议被提议(例如,AP=PAP)(步骤610),那么MN测试计数器以确定是否已超过预定重试数目(步骤620)。如果尚未超过重试数目,那么MN创建指示等于CHAP的AP值可接受的C-NAK响应消息,在Um链路上将所述消息发送到PDSN/IWF(步骤1010)。如果已超过重试数目,其指示PDSN/IWF不能够提议可接受的验证协议,那么MN采取占先动作以终止通信链路。具体来说,MN将终止请求(TERM-REQ)消息发送到PDSN/IWF,所述消息停止与网络的PPP连接(1020)。类似地,MN将终止请求(TERM-REQ)消息发送到终端装备,所述消息停止与终端装备的PPP连接(1030)。
在图11中针对其中可接受的验证协议无法被协商的情况说明图10中说明的实施例的消息交换。在此实例中,交换上文参看图7描述的消息,直到预设重试数目已被耗尽(即,无C-NAK重试剩余,步骤620)为止。当从PDSN/IWF接收到提议不可接受的验证协议的下一配置请求(C-REQ)消息1100时,MN通过发送终止请求(TERM-REQ)消息1110对PDSN/IWF直接做出响应,PDSN/IWF通过发送终止确认(TERM-ACK)消息1140对所述消息1110做出响应。在不等待确认的情况下,MN还可将终止请求(TERM-REQ)消息1120发送到终端装备,所述终端装备将以终止确认(TERM-ACK)消息1130做出响应。
虽然已在耦合到经由无线数据链路连接到网络的无线调制解调器的终端装置的上下文中描述了前述实施例,但本发明具有更宽的适用性。举例来说,图12说明可采用前述实施例的双模式处理器配置的协议堆栈。在此实例中,终端处理器1210耦合到移动处理器1220,移动处理器1220经配置以控制经由无线通信链路与PDSN/IWF的通信。终端处理器1210和移动处理器1220通过例如在双处理器架构内的两个处理器之间适当的若干潜在电连接配置和协议中的任一者进行通信。如图12中说明,两个处理器1210、1220通过处理器到处理器中继层1212、1222进行通信,所述处理器到处理器中继层1212、1222可为固件(即,电路连接)或固件与软件的组合。在此层级上方可为点到点协议PPP层1214、各种网络层协议1216和上部层协议1218以及应用程序软件。在移动处理器1220内,可提供支持无线消息接发因特网通信所必需的各种通信协议,其中包含(例如)移动IP层1229、用户数据报协议(UDP)层1228、因特网协议层1227以及点到点协议PPP层1226。可通过与IS-95协议层1224通信的无线电链路协议(RLP)层1225提供与外部无线节点1230的通信,所述层1224和1225对应于外部无线节点1230中的类似层1232、1234。无线电链路协议(RLP)1225、1234(其在IS-707.2中界定)和IS-95协议1224、1232在此项技术中众所周知均用于在传输可封装在PPP帧中的数据包中使用。
如从图12可见,本发明可适用于其中终端处理器耦合到调制解调器处理器的任何情形,所述调制解调器处理器充当中间通信节点和到另一处理器或网络的链路。举例来说,终端处理器可为移动手持机(例如,蜂窝式电话)内的第二处理器,其中第一处理器控制无线调制解调器且将通信传递到第二处理器,所述第二处理器可专用于运行移动应用程序。在此装置中,验证凭证可存储在第一处理器中,使得处理器应根据本发明来配置以确保在第二处理器与外部计算机或网络之间的无线通信中不采用未经加密的验证协议。类似地,本发明的方法可在双处理器计算机架构中采用,其中一个处理器充当终端装备,而另一处理器保持验证凭证且在伪网模型操作中执行调制解调器型功能,因此将其自身作为移动节点呈现给网络。因此,例如终端装置、终端装备、移动节点和无线调制解调器等用以描述各种实施例的术语的使用不是既定的,且不应解释为将本发明的范围限于系留到无线调制解调器的装置。
用以实施前述实施例的事件的硬件可为经配置以执行指令集的处理元件和存储器元件,其中指令集是用于执行对应于以上事件的方法步骤。或者,一些事件可由专用于给定功能的电路执行。举例来说,询问响应的产生可由经配置以实施散列函数或其它加密算法的线性反馈移位寄存器和加法器执行。
所属领域的技术人员将了解,结合本文揭示的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可实施为电子硬件、计算机软件或两者的组合。为了清楚说明硬件与软件的此互换性,上文已大体上在功能性方面描述了各种说明性组件、块、模块、电路和步骤。此功能性实施为硬件还是软件取决于特定应用和强加于整个系统的设计约束。熟练的技术人员可针对每一特定应用以不同的方式实施所描述的功能性,但此类实施方案决策不应解释为引起脱离本发明的范围。
结合本文揭示的实施例描述的各种说明性逻辑块、模块和电路可用经设计以执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合,例如DSP与微处理器的组合、多个微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此类配置。
结合本文揭示的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中或在所述两者的组合中体现。软件模块可驻存在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸盘、CD-ROM或此项技术中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,使得处理器可从存储媒体读取信息和向存储媒体写入信息。在替代方案中,存储媒体可与处理器成一体式。处理器和存储媒体可驻存在ASIC中。ASIC可驻存在用户终端中。在替代方案中,处理器和存储媒体可作为离散组件驻存在用户终端中。
提供所揭示实施例的先前描述以使所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易明白对这些实施例的各种修改,且在不脱离本发明的精神或范围的情况下本文界定的一般原理可应用于其它实施例。因此,不希望本发明限于本文展示的实施例,而是应被赋予与本文揭示的原理和新颖特征一致的最广范围。
Claims (39)
1.一种用于强制执行耦合到无线单元的终端装备的经加密代理验证的方法,其包括:
在所述无线单元中拦截导向所述终端装备的链路控制协议配置请求消息;
确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受;
如果所述所指示的验证协议对于所述无线单元不可接受,那么在所述无线单元中产生对所述链路控制协议配置请求消息的适当响应。
2.根据权利要求1所述的方法,其中确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受包括确定所述所指示的验证协议是否是未经加密的验证。
3.根据权利要求1所述的方法,其中确定验证协议值对于所述无线单元是否不可接受包括将所述验证协议值与可接受验证协议的经区分优先级列表进行比较。
4.根据权利要求1所述的方法,其进一步包括:
维持在所述无线单元中产生的响应的数目的计数;以及
在所述无线单元中产生每一响应之前检查所述计数,
其中如果所述计数超过预定值,那么产生对所述链路控制协议配置请求消息的适当响应包括产生拒绝验证的配置拒绝消息。
5.根据权利要求1所述的方法,其进一步包括:
维持在所述无线单元中产生的响应的数目的计数;以及
在所述无线单元中产生每一响应之前检查所述计数,
其中如果所述计数超过预定值,那么产生对所述链路控制协议配置请求消息的适当响应包括产生通信终止请求消息。
6.根据权利要求1所述的方法,其中产生对所述链路控制协议配置请求消息的适当响应包括产生指示可接受验证协议的配置不可接受消息。
7.根据权利要求1所述的方法,其中产生对所述链路控制协议配置请求消息的适当响应包括产生指示询问/响应验证协议的配置不可接受消息。
8.一种在无线单元内用于执行耦合到所述无线单元的终端装备的代理加密验证的设备,其包括:
至少一个存储器元件;以及
至少一个处理元件,其经配置以执行存储在所述至少一个存储器元件上的指令集,所述指令集用于:
在所述无线单元中拦截导向所述终端装备的链路控制协议配置请求消息;
确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受;
如果所述所指示的验证协议对于所述无线单元不可接受,那么在所述无线单元中产生对所述链路控制协议配置请求消息的适当响应。
9.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于确定所述所指示的验证协议是否是未经加密的验证的指令。
10.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于将验证协议值与可接受验证协议的经区分优先级列表进行比较的指令。
11.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于以下操作的指令:
维持在所述无线单元中产生的响应的数目的计数;
在所述无线单元中产生每一响应之前检查所述计数;以及
如果所述计数超过预定值,那么产生拒绝验证的配置拒绝消息。
12.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于以下操作的指令:
维持在所述无线单元中产生的响应的数目的计数;
在所述无线单元中产生每一响应之前检查所述计数;以及
如果所述计数超过预定值,那么产生通信终止请求消息。
13.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于产生指示可接受验证协议的配置不可接受消息作为对所述链路控制协议配置请求消息的所述适当响应的指令。
14.根据权利要求8所述的设备,其中所述至少一个处理元件进一步经配置以执行存储在所述至少一个存储器元件上的用于产生指示询问/响应验证协议的配置不可接受消息作为对所述链路控制协议配置请求消息的所述适当响应的指令。
15.一种用于执行耦合到无线单元的终端装备的代理验证的设备,其包括:
用于在所述无线单元中拦截导向所述终端装备的链路控制协议配置请求消息的装置;
用于确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受的装置;
用于在所述所指示的验证协议对于所述无线单元不可接受的情况下在所述无线单元中产生对所述链路控制协议配置请求消息的适当响应的装置。
16.根据权利要求15所述的设备,其中所述用于确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受的装置包括用于确定所述所指示的验证协议是否是未经加密的验证的装置。
17.根据权利要求15所述的设备,其中所述用于确定验证协议值对于所述无线单元是否不可接受的装置包括用于将所述验证协议值与可接受验证协议的经区分优先级列表进行比较的装置。
18.根据权利要求15所述的设备,其进一步包括:
用于维持在所述无线单元中产生的响应的数目的计数的装置;以及
用于在所述无线单元中产生每一响应之前检查所述计数的装置,
其中如果所述计数超过预定值,那么所述用于产生对所述链路控制协议配置请求消息的适当响应的装置产生拒绝验证的配置拒绝消息。
19.根据权利要求15所述的设备,其进一步包括:
用于维持在所述无线单元中产生的响应的数目的计数的装置;以及
用于在所述无线单元中产生每一响应之前检查所述计数的装置,
其中如果所述计数超过预定值,那么所述用于产生对所述链路控制协议配置请求消息的适当响应的装置产生通信终止请求消息。
20.根据权利要求15所述的设备,其中所述用于产生对所述链路控制协议配置请求消息的适当响应的装置包括用于产生指示可接受验证协议的配置不可接受消息的装置。
21.根据权利要求15所述的设备,其中所述用于产生对所述链路控制协议配置请求消息的适当响应的装置包括用于产生指示询问/响应验证协议的配置不可接受消息的装置。
22.一种处理器可读存储器单元,其上存储有处理器可执行指令,所述指令经配置以致使处理器执行包括以下各项的步骤:
在无线单元中拦截导向终端装备的链路控制协议配置请求消息;
确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受;
如果所述所指示的验证协议对于所述无线单元不可接受,那么在所述无线单元中产生对所述链路控制协议配置请求消息的适当响应。
23.根据权利要求22所述的处理器可读存储器,其中确定所述链路控制协议配置请求消息中指示的验证协议对于所述无线单元是否不可接受包括确定所述所指示的验证协议是否是未经加密的验证。
24.根据权利要求22所述的处理器可读存储器,其中确定验证协议值对于所述无线单元是否不可接受包括将所述验证协议值与可接受验证协议的经区分优先级列表进行比较。
25.根据权利要求22所述的处理器可读存储器,其中所述所存储的处理器可执行指令进一步经配置以致使处理器执行包括以下各项的步骤:
维持在所述无线单元中产生的响应的数目的计数;以及
在所述无线单元中产生每一响应之前检查所述计数,
其中如果所述计数超过预定值,那么产生对所述链路控制协议配置请求消息的适当响应包括产生拒绝验证的配置拒绝消息。
26.根据权利要求22所述的处理器可读存储器,其中所述所存储的处理器可执行指令进一步经配置以致使处理器执行包括以下各项的步骤:
维持在所述无线单元中产生的响应的数目的计数;以及
在所述无线单元中产生每一响应之前检查所述计数,
其中如果所述计数超过预定值,那么产生对所述链路控制协议配置请求消息的适当响应包括产生通信终止请求消息。
27.根据权利要求22所述的处理器可读存储器,其中产生对所述链路控制协议配置请求消息的适当响应包括产生指示可接受验证协议的配置不可接受消息。
28.根据权利要求22所述的处理器可读存储器,其中产生对所述链路控制协议配置请求消息的适当响应包括产生指示询问/响应验证协议的配置不可接受消息。
29.一种用于协商耦合到无线单元的终端装备的经加密代理验证的方法,其包括:
在所述无线单元中拦截导向所述终端装备的链路控制协议消息;
确定所述链路控制协议消息中的验证协议值是否指示对于所述无线单元不可接受的验证协议;
在所述无线单元中产生对所述链路控制协议消息的适当响应;
将询问消息转发到所述终端装备;以及
忽略从所述终端装备接收到的询问响应。
30.根据权利要求29所述的方法,其中产生对所述链路控制协议消息的所述适当响应包括产生指示可接受验证协议的配置不可接受响应消息。
31.根据权利要求29所述的方法,其中如果所述链路控制协议消息是配置请求消息且所述配置请求中的所述验证协议值指示未经加密的验证,那么产生对所述链路控制协议消息的所述适当响应包括产生指示(a)经加密验证协议或(b)无验证中的一者的配置不可接受响应消息。
32.根据权利要求30所述的方法,其进一步包括:
维持所产生的配置不可接受响应的数目的计数;
在产生每一配置不可接受响应之前检查所述计数;以及
在所述计数超过预定值的情况下产生拒绝验证的配置拒绝消息。
33.根据权利要求30所述的方法,其进一步包括:
维持所产生的配置不可接受响应的数目的计数;
在产生每一配置不可接受响应之前检查所述计数;以及
在所述计数超过预定值的情况下产生通信终止请求。
34.一种用于执行系留到无线单元的装置的代理加密验证的方法,其包括:
拦截导向所述系留装置的链路控制协议配置请求;
确定所述配置请求中的验证协议值是否可接受;
在不将所述链路控制协议配置请求转发到所述系留装置的情况下产生对所述链路控制协议配置请求的适当响应;
拦截导向所述系留装置的询问;
在不等待来自所述系留装置的输入的情况下产生对所述询问的适当响应;
将所述询问转发到所述系留装置;以及
忽略从所述系留装置接收到的询问响应。
35.根据权利要求34所述的方法,其中产生对所述询问的所述适当响应包括使用与所述无线单元相关联的口令信息而不是使用与所述系留装置相关联的口令信息来产生所述适当响应。
36.根据权利要求34所述的方法,其中所述验证是询问/响应验证程序。
37.根据权利要求36所述的方法,其中所述询问/响应验证程序是询问信号交换验证协议。
38.一种在无线单元内用于执行系留到所述无线单元的装置的代理加密验证的设备,其包括:
至少一个存储器元件;以及
至少一个处理元件,其经配置以执行存储在所述至少一个存储器元件上的指令集,所述指令集用于:
拦截导向所述系留装置的链路控制协议配置请求;
确定所述配置请求中的验证协议值是否可接受;
在不将所述链路控制协议配置请求转发到所述系留装置的情况下产生对所述链路控制协议配置请求的适当响应;
拦截导向所述系留装置的询问;
在不等待来自所述系留装置的输入的情况下产生对所述询问的适当响应;
将所述询问转发到所述系留装置;以及
忽略从所述系留装置接收到的询问响应。
39.一种用于执行系留到无线单元的装置的代理验证的设备,其包括:
用于拦截导向所述系留装置的链路控制协议配置请求的装置;
用于确定所述配置请求中的验证协议值是否可接受的装置;
用于在不将所述链路控制协议配置请求转发到所述系留装置的情况下产生对所述链路控制协议配置请求的适当响应的装置;
用于拦截导向所述系留装置的询问的装置;
用于在不等待来自所述系留装置的输入的情况下产生对所述询问的适当响应的装置;
用于将所述询问转发到所述系留装置的装置;以及
用于确定忽略从所述系留装置接收到的询问响应的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/772,820 US7877081B2 (en) | 2003-07-25 | 2007-07-02 | Proxy-encrypted authentication for tethered devices |
| US11/772,820 | 2007-07-02 | ||
| PCT/US2008/068879 WO2009006458A2 (en) | 2007-07-02 | 2008-07-01 | Proxy-encrypted authentication for tethered devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101690103A true CN101690103A (zh) | 2010-03-31 |
Family
ID=40261966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880022904A Pending CN101690103A (zh) | 2007-07-02 | 2008-07-01 | 用于系留装置的代理加密验证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7877081B2 (zh) |
| EP (1) | EP2168348B1 (zh) |
| JP (2) | JP2010533397A (zh) |
| KR (1) | KR101120154B1 (zh) |
| CN (1) | CN101690103A (zh) |
| WO (1) | WO2009006458A2 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7239865B2 (en) * | 2003-07-25 | 2007-07-03 | Qualcomm Incorporated | Proxy authentication for tethered devices |
| WO2007096884A2 (en) | 2006-02-22 | 2007-08-30 | Elad Barkan | Wireless internet system and method |
| US20090328147A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Eap based capability negotiation and facilitation for tunneling eap methods |
| KR101886786B1 (ko) * | 2010-10-11 | 2018-09-11 | 에스케이텔레콤 주식회사 | 데이터 세션 상태 관리 시스템 및 방법 |
| US8971849B2 (en) * | 2011-12-29 | 2015-03-03 | United States Cellular Corporation | System and method for network assisted control and monetization of tethering to mobile wireless devices |
| KR101979800B1 (ko) * | 2012-02-16 | 2019-05-20 | 삼성전자주식회사 | 위젯창을 이용한 데이터 전송 시스템 및 방법 |
| JP5650252B2 (ja) * | 2013-01-08 | 2015-01-07 | 日本電信電話株式会社 | 権限発行システム、権限発行サーバ、及び権限発行方法 |
| CN104378333B (zh) * | 2013-08-15 | 2018-09-21 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| US9794784B2 (en) * | 2015-01-29 | 2017-10-17 | Qualcomm Incorporated | Techniques for preventing unauthorized users from controlling modem of mobile device |
| EP3160176B1 (en) * | 2015-10-19 | 2019-12-11 | Vodafone GmbH | Using a service of a mobile packet core network without having a sim card |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1376353A (zh) * | 1999-02-24 | 2002-10-23 | 高通股份有限公司 | 在Um和Rm接口上点对点协议的同时建立 |
| US20030227937A1 (en) * | 2002-04-03 | 2003-12-11 | Nischal Abrol | System and method for transparent mobile IP registration within PPP negotiation |
| US20050039005A1 (en) * | 2003-07-25 | 2005-02-17 | Dyck Jeffrey Alan | Proxy authentication for tethered devices |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| US6512754B2 (en) * | 1997-10-14 | 2003-01-28 | Lucent Technologies Inc. | Point-to-point protocol encapsulation in ethernet frame |
| JPH11136396A (ja) * | 1997-10-31 | 1999-05-21 | Canon Inc | 通信装置 |
| US6785823B1 (en) * | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
| US6539209B1 (en) | 2000-05-30 | 2003-03-25 | Lucent Technologies Inc. | Code-division, multiple-access base station having transmit diversity |
| SE518604C2 (sv) * | 2000-06-29 | 2002-10-29 | Wireless Login Ab | Metod och anordning för säker anslutning till ett kommunikationsnätverk |
| US7054384B1 (en) | 2000-08-04 | 2006-05-30 | Lucent Technologies Inc. | Power amplifier sharing in a wireless communication system with transmit diversity |
| US6745047B1 (en) * | 2001-03-07 | 2004-06-01 | Palmone, Inc. | System and method for using a wireless enabled portable computer system as a wireless modem |
| US6748244B2 (en) * | 2001-11-21 | 2004-06-08 | Intellisist, Llc | Sharing account information and a phone number between personal mobile phone and an in-vehicle embedded phone |
| US7369529B2 (en) * | 2001-05-24 | 2008-05-06 | Qualcomm.Incorporated. | Method and apparatus for differentiating point to point protocol session termination points |
| US7171460B2 (en) * | 2001-08-07 | 2007-01-30 | Tatara Systems, Inc. | Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks |
| KR100450950B1 (ko) * | 2001-11-29 | 2004-10-02 | 삼성전자주식회사 | 구내/공중망 무선 패킷데이터 서비스를 받는 이동단말기의 인증 방법 및 그 사설망 시스템 |
| US20040044789A1 (en) * | 2002-03-11 | 2004-03-04 | Seabridge Ltd. | Dynamic service-aware aggregation of PPP sessions over variable network tunnels |
| US7590408B2 (en) * | 2002-04-03 | 2009-09-15 | Qualcomm Incorporated | Systems and methods for early determination of network support for mobile IP |
| US6954793B2 (en) * | 2002-05-13 | 2005-10-11 | Thomson Licensing S.A. | Pre-paid data card authentication in a public wireless LAN access system |
| US6879574B2 (en) * | 2002-06-24 | 2005-04-12 | Nokia Corporation | Mobile mesh Ad-Hoc networking |
| US6862434B2 (en) | 2002-07-26 | 2005-03-01 | Qualcomm Inc. | Transmission diversity systems |
| JP3973038B2 (ja) * | 2003-11-21 | 2007-09-05 | Kddi株式会社 | パケット交換網の呼確立方法 |
| EP1562343A1 (fr) * | 2004-02-09 | 2005-08-10 | France Telecom | Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP |
| WO2005107137A2 (en) * | 2004-04-23 | 2005-11-10 | Passmark Security, Inc. | Method and apparatus for authenticating users using two or more factors |
| JP4731603B2 (ja) * | 2005-06-20 | 2011-07-27 | エスケーテレコム株式会社 | Cdma2000網における接続時間短縮のための高速データ呼接続方法 |
| JP5155165B2 (ja) * | 2005-08-02 | 2013-02-27 | クゥアルコム・インコーポレイテッド | Voip緊急呼出支援 |
-
2007
- 2007-07-02 US US11/772,820 patent/US7877081B2/en active Active
-
2008
- 2008-07-01 KR KR1020107002423A patent/KR101120154B1/ko active IP Right Grant
- 2008-07-01 EP EP08781220.2A patent/EP2168348B1/en not_active Not-in-force
- 2008-07-01 JP JP2010515236A patent/JP2010533397A/ja not_active Withdrawn
- 2008-07-01 CN CN200880022904A patent/CN101690103A/zh active Pending
- 2008-07-01 WO PCT/US2008/068879 patent/WO2009006458A2/en active Application Filing
-
2013
- 2013-03-27 JP JP2013066428A patent/JP5680688B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1376353A (zh) * | 1999-02-24 | 2002-10-23 | 高通股份有限公司 | 在Um和Rm接口上点对点协议的同时建立 |
| US20030227937A1 (en) * | 2002-04-03 | 2003-12-11 | Nischal Abrol | System and method for transparent mobile IP registration within PPP negotiation |
| US20050039005A1 (en) * | 2003-07-25 | 2005-02-17 | Dyck Jeffrey Alan | Proxy authentication for tethered devices |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2168348B1 (en) | 2016-09-21 |
| JP2013168974A (ja) | 2013-08-29 |
| US20080003981A1 (en) | 2008-01-03 |
| WO2009006458A3 (en) | 2009-04-09 |
| EP2168348A2 (en) | 2010-03-31 |
| JP2010533397A (ja) | 2010-10-21 |
| WO2009006458A2 (en) | 2009-01-08 |
| KR101120154B1 (ko) | 2012-02-23 |
| US7877081B2 (en) | 2011-01-25 |
| JP5680688B2 (ja) | 2015-03-04 |
| KR20100029265A (ko) | 2010-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101690103A (zh) | 用于系留装置的代理加密验证 | |
| US11895157B2 (en) | Network security management method, and apparatus | |
| US7912450B2 (en) | System and method for communication service portability | |
| CN100367821C (zh) | 通信系统的本地认证 | |
| TW492258B (en) | Method and apparatus for authentication in a wireless telecommunications system | |
| US7197763B2 (en) | Authentication in a communication system | |
| US20070232271A1 (en) | Proxy authentication for tethered devices | |
| CN1812323B (zh) | 通信系统中的本地认证 | |
| AU2002304237B2 (en) | Wireless radio data protective device for private/public network wireless packet data services and authentication method according to internet connection request of mobile terminals recieving the services | |
| US7369529B2 (en) | Method and apparatus for differentiating point to point protocol session termination points | |
| JP2013168974A5 (zh) | ||
| JP2008005508A (ja) | 無線通信システムにおいてセキュリティーシーケンス番号を設定する方法及び装置 | |
| CN100553240C (zh) | 支持访问认证的装置和系统及其使用的方法 | |
| TW552779B (en) | A method and an apparatus for granting use of a session of a packet data transmission standard designated by an identifier | |
| CN114765805A (zh) | 一种通信方法、网络设备、基站及计算机可读存储介质 | |
| US20240223613A1 (en) | Network security management method, and apparatus | |
| KR100683375B1 (ko) | 무선 통신망에서 데이터호 접속 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100331 |