CN102349321A - 从接入网络至用户设备的会话专用信息的通信 - Google Patents
从接入网络至用户设备的会话专用信息的通信 Download PDFInfo
- Publication number
- CN102349321A CN102349321A CN2010800113527A CN201080011352A CN102349321A CN 102349321 A CN102349321 A CN 102349321A CN 2010800113527 A CN2010800113527 A CN 2010800113527A CN 201080011352 A CN201080011352 A CN 201080011352A CN 102349321 A CN102349321 A CN 102349321A
- Authority
- CN
- China
- Prior art keywords
- access network
- subscriber equipment
- session
- specific information
- hsgw
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
连同在通信系统的用户设备和接入网络之间会话的建立,将会话专用信息从接入网络传送至用户设备。从接入网络传送至用户设备的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。例如,从接入网络传送至用户设备的会话专用信息可包括在接入网络和认证服务器之间耦合的网关的标识符。
Description
技术领域
本发明概括地涉及通信系统,以及更具体地,本发明涉及在这样系统中使用的通信协议。
背景技术
无线通信标准持续演进。例如,在蜂窝环境中,标准正从第三代(3G)标准向第四代(4G)标准演进。3G标准包括由被称为3G合作伙伴计划(3GPP)的组织发布的GSM和UMTS标准,以及由被称为3GPP2的组织发布的诸如高速分组数据(HRPD)的CDMA2000标准。当前由3GPP开发的4G标准一般被称为长期演进(LTE)标准。包括例如2007年5月发布的3GPP2规范第A.S0008-0v 4.0号“在接入网络中具有会话控制的高速分组数据(HRPD)无线接入网络接口的互通规范(IOS)(Interoperability Specification(IOS)for High Rate Packet Data(HRPD)Radio Access Network interfaces with Session Control in theAccess Network)”的3GPP和3GPP2规范文档可免费在线获得并以引用方式将其全部内容引入本文。
LTE网络将利用基于国际互联网协议(IP)的被称为演进分组核心(EPC)的分组核心。为了促进向LTE网络过渡,3GPP2已经开发了增强HRPD(eHRPD),其中增强HRPD允许HRPD接入网络利用LTE EPC。这样的HRPD接入网络也被称为eHRPD接入网络。
eHRPD方案利用HRPD服务网关(HSGW)将eHRPD接入网络接入LTE EPC。HSGW在eHRPD接入网络和EPC的分组数据网络(PDN)之间提供互通。例如,HSGW可与EPC的PDN网关(PGW)交互。HSGW可实现为独立的网络元件,或者可替换地,可视为包括接入网络中的分组数据服务节点(PDSN)或者合并在分组数据服务节点(PDSN)中。
当允许从诸如eHRPD接入网络的非3GPP系统接入EPC时,3GPPLTE标准通常要求使用专用格式的认证协议。该认证协议在移动台或其他与非3GPP系统元件相关联的用户设备和使用在典型地包括HSGW的eHRPD环境中的认证者(authenticator)的EPC的认证服务器之间执行。该认证协议通常涉及密钥导出,其中密钥材料受合适的上下文信息的约束,诸如移动台标识(MSID)和认证者标识。
在传统的实践中,例如,认证者标识可由诸如移动国家代码(MCC)和移动网络代码(MNC)的组合的载波标识符提供。其它类型的信息可用于指示用户设备和认证服务器的认证者标识。这样的信息可以简单地标识诸如HRPD的认证者使用的特定技术。
发明内容
我们已经认识到上述在eHRPD接入网络和LTE EPC之间认证的传统方法的缺陷在于,使用认证协议中的载波标识符、认证者技术标识符或其它相似类型的信息会导致相同的标识被用于多个认证者,从而使系统容易受到我们这里所称“说谎认证者(lying authenticator)”的攻击。在该攻击中,认证者给移动台和认证服务器提供不同的标识,这样可能严重破坏认证协议的合法性,并在系统中导致严重的安全问题。
本发明的示意性实施方式提供用于在现有标准的消息传送结构中将认证者识别信息从接入网络传送到用户设备的技术。该技术可在现有消息传送协议的框架中以简单和有效地方式实现,并且因此实质上不需要改变标准。
根据本发明的一个方面,将会话专用(session-specific)信息从接入网络传送至用户设备。从接入网络传送至用户设备的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。例如,从接入网络传送至用户设备的会话专用信息可以包括在接入网络和认证服务器之间耦合的网关的标识符。为了防止说谎认证者的攻击,用户设备利用网关标识符来得到至少一个密钥以作为认证协议的一部分。
在一个示意性的实施方式中,接入网络包括eHRPD接入网络,以及网关包括配置为在eHRPD接入网络和LTE网络的EPC之间提供接口的HSGW。在该实施方式中,从eHRPD接入网络传送到用户设备的会话专用信息包括HSGW的标识符,例如HSGW的IP地址。此外,在该实施方式中的认证协议包括EAP认证协议,其中用户设备用作EAP同位体(peer),HSGW用作EAP认证者,认证服务器用作EAP认证服务器。
可使用不同(distinct)消息类型的现有eHRPD消息格式来传送会话专用信息,例如具有特别定义的StorageBLOB(存储BLOB)类型的StorageBLOB分配消息。
有利的是,示意性的实施方式能够在通信系统中提供显著提高的安全性,而不用过度地增加系统成本或复杂度,其中在该通信系统中eHRPD接入网络与LTE EPC进行通信。所公开的技术还可应用于这样系统中的用户设备和接入网络之间的其他类型的会话专用信息的通信。
从附图和下面的详细描述,本发明的这些和其它特点和优势会变得更加清晰。
附图说明
图1是本发明示意性的实施方式中通信系统的框图;
图2描述了在图1系统的一个可能的实现方式中用户设备和接入网络元件的更详细的示图;
图3描述了本发明示意性的实施方式中通信系统的另一实施例;
图4是说明与系统的认证服务器和用户设备之间执行的认证协议相关联的系统元件的图3的系统图的简化版本;
图5描述了图3的系统中在接入网络和用户设备之间进行认证者标识的通信;
图6是描述可以将图5中所示的认证者标识的通信集成到图3系统中其它传统的消息传输协议中的方式的示意图。
具体实施方式
这里将结合示例性的通信系统和用于在通信系统中的用户设备和接入网络之间传送认证者标识或其它会话专用信息的相关技术来解释本发明。然而,应当理解的是,本发明不局限于使用所公开的特定类型的通信系统和会话专用信息通信过程。本发明可以在使用替换处理步骤的各种各样的其它通信系统中实现。例如,尽管是在诸如eHRPD接入网络的非3GPP系统元件与诸如LTE EPC的3GPP系统元件进行通信的无线蜂窝系统的环境中进行说明,但是所公开的技术还可以按直接的方式应用于多种其它类型的通信系统,包括WiMAX系统、Wi-Fi系统等。
图1描述了通信系统100,包括通过接入网络104和网络106与认证服务器108进行通信的用户设备(UE)102。用户设备102可以是移动台,并且这样的移动台可以包括,例如,移动电话、计算机、或任意其它类型的通信设备。这里使用的术语“用户设备”意在宽泛地进行解释,从而包括各种不同类型的移动台、订户(subscriber)站、或更概括地包括通信设备。接入网络104可以包括多个基站和一个或多个相关联的无线网络控制器(RNC)。
在本示意性性实施方式中,通信系统100包括无线蜂窝系统。接入网络104和网关106分别包括eHRPD接入网络和eHRPD网络的HSGW元件,以及认证者服务器108包括LTE EPC的元件。从而,在该实施方式中系统100的非3GPP部分包括与包括认证服务器108和其它3GPP系统元件的系统的3GPP部分交互的元件104和106。例如,认证服务器108可以包括3GPP认证、授权和计费(AAA)服务器。
图1的安排仅仅是无线蜂窝系统的一个示例性配置,可以使用系统元件的多种可替换的配置。例如,尽管在图1的实施方式中仅描述了单个用户设备、接入网络、网关和服务器元件,但这仅仅是为了描述简单和清楚的原因。本发明所给出的可替换的实施方式当然包括大量这样的系统元件,以及通常与传统系统实现方式相关联类型的附加或可替换的元件。
下面还要进行更详细地描述,配置系统100的本实施方式,并连同在接入网络和用户设备之间建立通信会话,从而接入网络104将网关106的标识符发送给用户设备102。网关用作系统的用户设备和认证服务器108之间执行的认证协议中的认证者。认证者标识是此处被更概括地称为“会话专用信息”的一个实施例,其中连同在这些系统元件之间建立的通信会话,会话专用信息在接入网络和用户设备之间传送。认证者标识或其他会话专用信息可以使用现有eHRPD消息格式的不同消息类型以特别有效的方式进行传送,例如具有特别定义的StorageBLOB类型的StorageBLOB分配消息。
在示意性的实施方式中,可以单个认证者标识符的形式传送认证者标识。例如,其他实施方式可利用多个标识符或其他信息集合以传送认证者标识。
将认证者标识从接入网络104传送至用户设备102克服了与使用载波标识符或认证者技术标识符作为于部分上下文信息的上述传统方法相关的安全问题,在用户设备102和认证服务器108之间执行的认证协议中将密钥材料捆绑到上下文信息。如上所述,我们已经确定载波标识符或认证者技术标识符的传统使用会有利于我们所称的“说谎认证者”的攻击,其中对多个认证者可能使用相同的标识允许网关106为用户设备102提供一个认证者标识,并为认证服务器108提供不同的认证者标识。这种为用户设备和认证服务器提供不同的标识允许网关破坏认证协议并引入可以做进一步利用的安全缺陷。在示意性的实施方式中,在现有的eHRPD消息传送协议的框架中,可以按简单和有效地方式来实现防止说谎认证者攻击的能力,并因此不需要对3GPP或3GPP2标准作实质性改变。
图2描述了示例性的实施方式中用户设备102和接入网络104的更详细的示图。用户设备包括与存储器202和接口电路204耦合的处理器200。接入网络包括基站210和与基站耦合的RNC 212。接入网络104的元件210和212每个均可包括处理器、存储器和接口电路元件,尽管这样的元件没有在图中明确示出。同样,如前所述,接入网络还可包括多个基站和RNC。
用户设备102和接入网络104的存储元件可用于存储由各自处理器执行以实现这里描述的功能的一个或多个软件程序。例如,结合图5和图6所描述的消息产生和其他功能可由使用由用户设备和接入网络的处理器执行的软件代码的直接方式来实现。诸如存储器202的存储元件是此处被更概括地称为存储可执行软件代码的计算机可读存储介质的实例。例如,这样的计算机可读存储介质可以包括诸如随机存取存储器(RAM)或只读存储器(ROM)的电存储器、磁性存储器、光存储器或其他类型的存储元件,以及这些元件的部分或组合。诸如处理器200的处理器元件例如可以包括微处理器、特定应用集成电路(ASIC)、数字信号处理器(DSP)或其他类型的处理设备,以及这些元件的部分或组合。诸如接口电路204的接口电路元件可以包括收发信机或允许相关联的系统元件以这里描述的方式相互通信的其他通信硬件或固件。
用户设备102的处理器200包括可由处理器执行软件的形式实现的密钥导出元件220。密钥导出元件根据认证者标识和其他信息导出至少一个密钥,以作为在用户设备和认证服务器108之间执行的认证协议的一部分。例如,给出的所述密钥可以与认证者标识以及诸如MSID的其它上下文信息相结合。将由密钥导出元件220使用的从接入网络104发送至用户设备102的认证者标识符存储在存储器202中相关的存储位置222。在用户设备中从接入网络接收的其他类型的会话专用信息可以相同的方式处理和存储。
从图2的安排中可以看到,用户设备102配置为与接入网络104连接,以及反之亦然。这里使用的诸如“连接”、“在...之间连接”和“耦合”的术语意在概括地进行解释,并因此不应解释为要求在相关联的元件之间的直接连接。因此,在给定实施方式中,用户设备102可以通过一个或多个其它系统元件与接入网络104连接。相同的方式可应用于接入网络104和网关106之间、网关106和认证服务器108之间、和其它系统元件之间的连接。并且,诸如网关106和服务器108的元件不需要在单独分立的处理平台上实现,相反,例如可表示单一通用处理平台的不同功能部分。
图3描述了根据本发明示意性性的实施方式的通信系统300的另一实施例。与图1的系统100类似,该示例性系统包括eHRPD部分和LTE EPC部分,这些部分彼此通过虚线分开。
在系统300中,用户设备102通过eHRPD空中接口与和增强的接入网络/增强的分组控制功能(eAN/ePCF)304相耦合的eHRPD基站收发信机系统(BTS)302进行通信。可以将元件302和304视为图1的系统100中的接入网络104的一个实例。eAN/ePCF元件304通过HSGW 306与LTEEPC交互,其中可将HSGW 306视为系统100中网关106的一个实例。HSGW 306通过所示的3GPP2AAA代理310与3GPPAAA服务器308进行通信。可将3GPPAAA服务器308视为系统100中认证服务器108的一个实例。eAN/ePCF元件304与接入网络AAA(AN-AAA)服务器312进行通信。
图3的系统300的3GPP部分进一步包括归属用户服务器(HSS)320和PDN网关322。PDN网关耦合在非3GPP HSGW 306和包括3GPPAAA服务器308、策略和计费规则功能(PCRF)324、和运营商IP服务元件306的多个3GPP系统元件之间。其中后者例如可包括IP多媒体子系统(IMS)、分组交换流(PSS)等。
在图3中所示的各种系统元件以及相关联接口的操作的传统方面,包括eHRPD空中接口以及A10、A11、A12、A13、A16、H1、H2、Pi*、S2a、STa、S6b、SGi、Gx、Gxa和Rx接口,在上述引用的3GPP和3GPP2规范文档中有详细描述。
应当注意的是,尽管在系统100内通常可获得和知道BTS 302和eAN304的标识符,这样的标识符分别包括eHRPD基站ID和接入网络子网ID,这些标识符不代表呈现认证者功能的特定HSGW 306。可以有由相同HSGW提供服务的多个子网,并且即使用户设备102和HSGW知道哪个基站和子网处理当前的通信,在会话过程中基站和子网也可以变换许多次。而认证者仍将保持相同的HSGW。传统的系统不能提供任何限定的信令协议或其它方式以允许用户设备102获得作为认证者的特定HSGW 306的标识。
图4描述了与认证协议的执行相关联的系统300的特定元件。该实施方式中的认证协议包括将用户设备102用作EAP同位体、将HSGW 306用作EAP认证者以及将3GPPAAA服务器308用作EAP认证服务器的可扩展认证协议(EAP)。
认证协议允许用户设备102和3GPP AAA服务器308通过用作EAP认证者的HSGW 306相互认证。EAP认证的传统方面可在IETF RFC 3748“可扩展认证协议(EAP)”中查到,B.Aboba,L.Blunk,J.Vollbrecht,J.Carlson和H.Levkowetz,2004年6月,并以引用的方式将其全部内容引入本文。有多种EAP认证的不同变形。例如,其包括EAP-AKA认证,其中AKA表示认证和密钥协定。假设将该变形用于本实施方式中,并记载在IEFT RFC 4187“用于第三代认证和密钥协定的可扩展认证协议方法(EAP-AKA)”中,J.Arkko和H.Haverinen,2006年1月,并以引用方式将其全部内容引入本文。另一个EAP变形是EAP-AKA’认证,记载在IETF国际互联网草案draft-arkko-cap-aka-kdf-10的“用于第三代认证和密钥协定的改进的可扩展认证协议方法(EAP-AKA’)”,J.Arkko,V.Lehtovirta和P.Eronen,2008年11月18日,并以引用方式将其全部内容引入本文。这些和其他变形是可用于本发明的给定实施方式的EAP认证协议的实例。其他实施方式可实现利用其它类型的认证协议,包括非EAP认证协议。
一旦用户设备和3GPPAAA服务器已经彼此认证,并已经做出授权用户设备接入系统的LTE EPC部分的决定,3GPP AAA服务器将主会话密钥(MSK)发送给上述用作EAP认证者的HSGW 306。MSK潜在地取决于HSGW的标识符。
如前所述,此处传统实践受到以下不足:用户设备在其密钥导出中例如可利用作为上下文信息的部分的载波标识符或认证者技术标识符、从而使系统容易受到之前描述的说谎认证者攻击。
本示意性的实施方式通过配置接入网络304以将HSGW 306的标识提供给用户设备从而在执行EAP接入认证时使用户设备可获得所述标识来克服这一问题。这确保了可以唯一地识别HSGW并且该唯一标识可以被结合到认证协议中。例如,用户设备可将HSGW标识用作被结合到密钥导出元件220中导出一个或多个密钥导出中的上下文信息。这种将HSGW标识与接入认证的绑定,由此导致防止说谎认证者的攻击。
从接入网络304发送至用户设备102的HSGW标识可以包括HSGW306的标识符。按照确保同一标识符不会被多个HSGW使用的方式,该标识符可以为用于识别HSGW的IP地址或其他信息的形式。
如上所述,可使用不同消息类型的现有eHRPD消息格式来传送HSGW标识符。
现在参照图5,描述了可用于HSGW标识符传输的消息传送安排的实施例。在传送HSGW标识符之前的一些时间,将HSGW 306的标识符提供给接入网络304,以虚线箭头500表示。随后,在执行EAP-AKA接入认证之前,在具有特殊限定的StorageBLOB类型的StorageBLOB分配消息中,将HSGW标识符从接入网络传送给用户设备102。该实施方式中的HSGW标识符是HSGW IP地址的形式。
更具体地,对于初始会话建立,在接入网络将A11注册请求消息发送给HSGW以建立主A10连接之前,接入网络304发送包括HSGW IP地址的StorageBLOB分配消息。如果返回的A11注册响应指示主A10连接建立失败并选择新的HSGW,在接入网络将A11注册请求消息发送给新HSGW之前,接入网络发送具有新HSGW IP地址的另一StorageBLOB分配消息。在HSGW内切换的情况下,可从接入网络将具有修订的HSGWIP地址的StorageBLOB分配消息发送给用户设备。
传统的StorageBLOB分配消息传送用于允许接入网络更新存储在用户设备中的信息。至此还没有将HSGW标识发送给用户设备,用于与会话建立有关联的接入认证以抵抗说谎认证者的攻击。
如方块502所示,用户设备102存储包括HSGW IP地址的StorageBLOB字段的值并利用所存储的值进行密钥导出。该值存储在存储器202的存储元件222中,并在处理器200的密钥导出元件220中使用所存储的值执行相关的密钥导出。
当从接入网络304接收到HSGW标识符时,用户设备102可将StorageBLOB完成消息发送回接入网络以确认成功接收到HSGW IP地址。
接入网络304可利用多个不同技术中的任何一个以获得其发送给用户设备102的HSGW IP地址。例如,如果会话来自也被称为源eAN的一些其它eAN,接入网络304是目标eAN并从源eAN接收作为会话上下文信息的部分的HSGW IP地址。作为另一实施例,如果支持HSGW选择算法,eAN能够使用该算法以获得HSGW IP地址。HSGW选择算法假设eAN持有具有多个HSGW的IP地址的配置表,并且于是例如根据国际移动用户标识(IMSI)选择特定的HSGW。如果不支持HSGW算法,eAN可使用各种内部算法以选择HSGW(例如,HSGW IP地址可以是预先规定的)。
由用户设备102执行的密钥导出可以包括将HSGW IP地址或其它HSGW标识作为密钥导出函数(KDF)的输入以产生认证矢量(例如,(CK’,IK’)=KDF(CK,IK,<HSGW标识>))。认证矢量可接着用于导出会话密钥(例如,MK,MSK)。诸如HSS 320的其它系统元件也可使用HSGW标识作为密钥导出函数的输入以产生认证矢量。
应当注意的是,连同建立会话和执行相关联的接入认证,图5中描述的StorageBLOB消息传送可用于将其它类型的会话专用信息从接入网络304发送至用户设备102。从而,可以理解的是,本发明的可替换实施方式不需要像图5的实施方式一样传送HSGW标识符。
图5的实施方式的优势在于,在同位体(例如,用户设备102)和接入网络之间建立主服务连接时,其使用现有的消息传送结构以在同位体和接入网络304之间交换认证者标识。并且,如前所述,由同位体和认证服务器308接收的认证者标识将是相同的,以及由于认证者标识将不存在密钥失配,并且因此没有给说谎认证者攻击提供机会。
可使用包括认证者标识(例如,HSGW IP地址)的新StorageBLOB类型执行图5的消息传送。在这种方式下,新类型不会与现有StorageBLOB消息传送的使用产生冲突。该新StorageBLOB类型可指定为具有如下示出的字段长度:
| 字段 | 长度 |
| 参数类型 | 8 |
| 长度 | 8 |
| StorageBLOB类型 | 16 |
| StorageBLOB长度 | 8 |
| StorageBLOB | 8×StorageBLOB长度 |
上述表格的各字段可以定义如下:
参数长度=0x04
长度=xxx
StorageBLOB类型=XXXX
StorageBLOB长度
StorageBLOB=HSGW IP地址
然而,可以理解的是,使用这里公开的技术,其它消息类型和格式可用于传送认证者标识或其它会话专用信息。
上述涉及A10、A11和A12消息传送的附加细节,以及如图6所示的,可以在系统300中利用的eHRPD-LTE相互配合的消息传送协议的其他方面。该图中的图示描述了与建立用户设备102和接入网络304之间的会话相关联的消息流。该流包括所有之前描述的与图3相结合的系统元件102、304、306、308、310、312、320、322和324。为了该消息传送图的目的,将系统元件308和302表示为单一元件。
在方框600中描述了以HSGW IP地址形式的认证者标识的通信。该方框对应于图5中的消息,并给用户设备102提供HSGW 306的标识以有利于防止之前所述方式中的说谎认证者攻击。
图6的示意性消息传送流通常显示当用户设备102首次连接eHRPD网络时建立基于代理移动IPv6(PMIP)的S2a连接。该流包括eHRPD会话建立,任选的设备级认证,任选的位置更新过程,点对点协议(PPP)链路控制协议(LCP)协商,EAP-AKA认证,以及其他步骤,包括厂家专用网络控制协议(VSNCP)和动态主机配置协议(DHCP)步骤,其中一些被表示为任选或有条件的。应当注意的是,仅将图6中适宜性消息传送协议图的特定元件指定为任选的不应被理解为所示的其他元件是本发明所必须的。本发明可替换的实施方式可配置为不使用示出的所述任何元件。
图6的步骤(1)至步骤(20)实质上是按照上述3GPP和3GPP2规范文档进行配置的,其中规范文档例如包括3GPP2规范第X.S0057-0号、“E-UTRAN-HRPD连通性与互相配合:核心网方面”,以引用方式将其全部内容引入本文。例如,步骤(5)描述了在HSGW 306和eAN 304中RNC之间建立用户平面连接路径。通过使用调用专用服务选项(SO)的A11信令平面消息来建立该A10用户平面连接。这样的路径可由主要A10的SO59或辅助A10上的SO72来识别,分别由流ID 0xFF或0xFE进行区别。步骤(1)至步骤(20)的这些和其他传统特征对本领域技术人员来说是已知的,并且因此在这里不作进一步的描述。
如前所述,示意性实施方式提供将认证者(例如,HSGW 306)的标识传送给同位体(例如,用户设备102)的有效机制。这允许密钥导出取决于认证者标识而不是取决于载波标识符或认证者技术标识符,从而防止说谎认证者攻击。示意性实施方式可以通过仅需要对现有的3GPP2eHRPD标准或诸如上面引用的RFC 3748的现有IETF作微小的改动(例如,给现有消息增加新类型)来实现。
除了在示意性实施方式的上下文中所描述的之外,本发明可替换的实施方式可利用不同的通信系统配置、防止攻击方法、消息传送协议和消息格式。在所附权利要求的保护范围之内的这些和多个其它可替换的实施方式对于本领域技术人员来说是明显的。
Claims (10)
1.一种方法,包括:
在通信系统的用户设备和接入网络之间建立会话;
连同所述会话的建立,将会话专用信息从接入网络传送至用户设备;
其中从接入网络传送至用户设备的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。
2.根据权利要求1所述的方法,其中从接入网络传送至用户设备的会话专用信息包括在接入网络和认证服务器之间耦合的网关的标识符。
3.根据权利要求2所述的方法,其中接入网络包括HRPD接入网络,以及网关包括配置为在HRPD接入网络和LTE网络的演进分组核心之间提供接口的HRPD服务网关,并且进一步其中从接入网络传送给用户设备的会话专用信息包括HRPD服务网关的标识符。
4.根据权利要求1所述的方法,其中传送步骤包括使用现有的HRPD消息格式的不同消息类型来传送所述会话专用信息。
5.根据权利要求4所述的方法,其中传送步骤包括使用具有特定限定的StorageBLOB类型的StorageBLOB分配消息来传送所述会话专用信息。
6.根据权利要求1所述的方法,其中从接入网络传送到用户设备的会话专用信息包括认证者标识符,并且用户设备利用认证者标识符以得到至少一个密钥。
7.一种包括可执行程序代码的计算机可读存储介质,当可执行程序代码由接入网络的处理器执行时使接入网络执行权利要求1的方法的步骤。
8.一种装置,包括
接入网络,配置为与通信系统的用户设备进行通信;
操作接入网络以建立与用户设备的会话,并且连同所述会话的建立,将会话专用信息从传送至用户设备;
其中从接入网络传送至用户设备的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。
9.一种方法,包括:
在通信系统的接入网络和用户设备之间建立会话;
连同所述会话的建立,在用户设备中从接入网络接收会话专用信息;
其中用户设备中从接入网络接收的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。
10.一种装置,包括:
用户设备,配置为与通信系统的接入网络进行通信;
操作用户设备以建立与接入网络的会话,并且连同所述会话的建立,从接入网络接收会话专用信息;
其中在用户设备中从接入网络接收的会话专用信息包括在系统的认证服务器和用户设备之间执行的认证协议中利用的信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/401,287 US8826376B2 (en) | 2009-03-10 | 2009-03-10 | Communication of session-specific information to user equipment from an access network |
| US12/401,287 | 2009-03-10 | ||
| PCT/US2010/024885 WO2010104663A1 (en) | 2009-03-10 | 2010-02-22 | Communication of session-specific information to user equipment from an access network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102349321A true CN102349321A (zh) | 2012-02-08 |
| CN102349321B CN102349321B (zh) | 2015-09-09 |
Family
ID=42174507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080011352.7A Active CN102349321B (zh) | 2009-03-10 | 2010-02-22 | 从接入网络至用户设备的会话专用信息的通信 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8826376B2 (zh) |
| EP (1) | EP2406976B1 (zh) |
| JP (1) | JP5485300B2 (zh) |
| KR (1) | KR101342280B1 (zh) |
| CN (1) | CN102349321B (zh) |
| WO (1) | WO2010104663A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8826376B2 (en) | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
| US8744509B2 (en) * | 2009-04-08 | 2014-06-03 | Qualcomm Incorporated | Reducing time for call failure indication |
| US8958837B2 (en) * | 2009-04-08 | 2015-02-17 | Qualcomm Incorporated | Reducing time for call failure indication |
| US8792328B2 (en) * | 2009-11-06 | 2014-07-29 | Intel Corporation | Radio-link reliability using multi-carrier capability in wireless broadband systems |
| US8195209B2 (en) * | 2010-07-06 | 2012-06-05 | Alcatel Lucent | Text messaging over an eHRPD network |
| US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| US9979730B2 (en) * | 2015-10-30 | 2018-05-22 | Futurewei Technologies, Inc. | System and method for secure provisioning of out-of-network user equipment |
| US10187917B2 (en) * | 2016-08-22 | 2019-01-22 | Nokia Of America Corporation | Generation of mobile session identifier for neutral host network |
| US10932164B2 (en) * | 2017-01-27 | 2021-02-23 | Parallel Wireless, Inc. | CDMA/EVDO virtualization |
| CN107257556A (zh) * | 2017-08-15 | 2017-10-17 | 世纪龙信息网络有限责任公司 | 验证用户本机号码的方法、系统和平台 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1662726A1 (en) * | 2004-11-26 | 2006-05-31 | Samsung Electronics Co., Ltd. | System and method for seamless handoff of wlan-umts interworking |
| CN1867186A (zh) * | 2006-02-14 | 2006-11-22 | 华为技术有限公司 | 无线通信系统中用户准入控制的实现方法及装置 |
| US20080089293A1 (en) * | 2006-10-12 | 2008-04-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
| EP2018083A1 (en) * | 2007-06-19 | 2009-01-21 | Nokia Siemens Networks Oy | Method and device for performing a handover and communication system comprising such device |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060174004A1 (en) * | 2005-01-31 | 2006-08-03 | Nokia Corporation | System and method for optimizing access network authentication for high rate packet data session |
| WO2007000179A1 (en) * | 2005-06-29 | 2007-01-04 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
| US8356176B2 (en) * | 2007-02-09 | 2013-01-15 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
| US10171998B2 (en) * | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| US8576795B2 (en) * | 2007-03-16 | 2013-11-05 | Qualcomm Incorporated | Method and apparatus for handoff between source and target access systems |
| US8331314B2 (en) * | 2007-04-20 | 2012-12-11 | Telefonaktiebolaget L M Ericsson (Publ) | Dormant session management associated with handover |
| US10091648B2 (en) * | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| US8780856B2 (en) * | 2007-09-18 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
| US8826376B2 (en) | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
-
2009
- 2009-03-10 US US12/401,287 patent/US8826376B2/en active Active
-
2010
- 2010-02-22 JP JP2011554067A patent/JP5485300B2/ja active Active
- 2010-02-22 EP EP10708446.9A patent/EP2406976B1/en active Active
- 2010-02-22 KR KR1020117021011A patent/KR101342280B1/ko active IP Right Grant
- 2010-02-22 CN CN201080011352.7A patent/CN102349321B/zh active Active
- 2010-02-22 WO PCT/US2010/024885 patent/WO2010104663A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1662726A1 (en) * | 2004-11-26 | 2006-05-31 | Samsung Electronics Co., Ltd. | System and method for seamless handoff of wlan-umts interworking |
| CN1867186A (zh) * | 2006-02-14 | 2006-11-22 | 华为技术有限公司 | 无线通信系统中用户准入控制的实现方法及装置 |
| US20080089293A1 (en) * | 2006-10-12 | 2008-04-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
| EP2018083A1 (en) * | 2007-06-19 | 2009-01-21 | Nokia Siemens Networks Oy | Method and device for performing a handover and communication system comprising such device |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP2 C.S0063-0 VERSION 2.0: "cdma2000 High Rate Packet Data Supplemental Services", 《3GPP2》, 31 March 2006 (2006-03-31) * |
| 3RD GENERATION PARTNERSHIP PROJECT: "Analysis of AKA changes in EPS", 《3GPP》, 23 July 2008 (2008-07-23) * |
| 3RD GENERATION PARTNERSHIP PROJECT: "technical specification group service and system aspects; 3gpp system architecture evolution(SAE); security aspects of non-3GPP accesses", 《3GPP》, 31 January 2009 (2009-01-31) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN110235423B (zh) * | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2406976B1 (en) | 2016-07-20 |
| JP5485300B2 (ja) | 2014-05-07 |
| WO2010104663A1 (en) | 2010-09-16 |
| KR20110124296A (ko) | 2011-11-16 |
| KR101342280B1 (ko) | 2013-12-16 |
| CN102349321B (zh) | 2015-09-09 |
| EP2406976A1 (en) | 2012-01-18 |
| JP2012520609A (ja) | 2012-09-06 |
| US20100235890A1 (en) | 2010-09-16 |
| US8826376B2 (en) | 2014-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102349321B (zh) | 从接入网络至用户设备的会话专用信息的通信 | |
| RU2407181C1 (ru) | Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети | |
| US7545768B2 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| CN100542086C (zh) | 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 | |
| EP3777269B1 (en) | Unified subscription identifier management in communication systems | |
| US10306432B2 (en) | Method for setting terminal in mobile communication system | |
| CN101606372B (zh) | 支持无uicc呼叫 | |
| WO2008034357A1 (en) | Method and system for capwap intradomain authentication using 802.11r | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| JP2006203641A (ja) | パケット制御装置、認証サーバ及び無線通信システム | |
| CN110191458B (zh) | 一种网络漫游互通方法、装置和系统 | |
| CN102238544A (zh) | 一种移动网络认证的方法及系统 | |
| CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| JP5931802B2 (ja) | ネットワークにおける端末認証方法及びシステム | |
| JP2007221481A (ja) | 電話システム | |
| JP2013168035A (ja) | 認証情報変換装置及び認証情報変換方法 | |
| US11109219B2 (en) | Mobile terminal, network node server, method and computer program | |
| CN102056168A (zh) | 接入方法及装置 | |
| KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
| CN103096500B (zh) | Epc、网络融合系统及终端接入epc的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |