CN1802827A - 支持接入网络(an)验证的方法和设备 - Google Patents
支持接入网络(an)验证的方法和设备 Download PDFInfo
- Publication number
- CN1802827A CN1802827A CNA2004800090924A CN200480009092A CN1802827A CN 1802827 A CN1802827 A CN 1802827A CN A2004800090924 A CNA2004800090924 A CN A2004800090924A CN 200480009092 A CN200480009092 A CN 200480009092A CN 1802827 A CN1802827 A CN 1802827A
- Authority
- CN
- China
- Prior art keywords
- access
- network
- message
- key
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 230000006870 function Effects 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims description 52
- 230000005540 biological transmission Effects 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 230000001413 cellular effect Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
- H04L12/2859—Point-to-point connection between the data network and the subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供用于允许无密钥接入终端(AT)经由一服务网络流访问一分组服务数据节点(PSDN)而不使验证网络流的验证功能无效的方法和设备。
Description
技术领域
本发明大体上涉及无线通信网络和分组交换数据网,且更具体的说,本发明涉及支持访问分组交换数据网的服务的无线通信装置的验证。
背景技术
无线通信领域具有许多应用,其包括(例如)无绳电话、寻呼机、无线本地环路、个人数字助理(PDA)、网络电话和卫星通信系统。特别重要的应用是用于远程用户的蜂窝式电话系统。本文所使用的术语“蜂窝式”系统包含使用蜂窝式或个人通信服务(PCS)频率的系统。已为所述蜂窝式电话系统开发了多种无线电接口,包括(例如):频分多址(FDMA)、时分多址(TDMA)和码分多址(CDMA)。在此方面,已建立多种国内和国际标准,包括(例如)高级移动电话服务(AMPS)、全球移动系统(GSM)和中期标准95(IS-95)。电信工业协会(TIA)和制定其它著名标准的团体发布了IS-95和其派生物IS-95A、IS-95B、ANSI J-STD-008(本文常常统称为IS-95)和建议的高数据率系统。
根据IS-95标准的使用而配置的蜂窝式电话系统使用CDMA信号处理技术,以提供高效、稳健的蜂窝式电话服务。美国专利第5,103,459号和第4,901,307号描述了根据IS-95标准的使用而大致配置的例示性蜂窝式电话系统,所述专利转让给本发明的受让人且以引用的方式并入本文。利用CDMA技术的例示性系统为由TIA发行的cdma2000 ITU-R无线传输技术(RTT)提交候选(cdma2000 ITU-R Radio Transmission Technology CandidateSubmission),本文中称为cdma2000。cdma2000的标准是在IS-2000(cdma2000 1xEV-DV)和IS-856(cdma2000 1xEV-DO)的草案版本中给出的且已由TIA批准通过。另一种CDMA标准为W-CDMA标准,其体现在第三代合作伙伴计划“3GPP”,文献第3G TS 25.211号、第3G TS 25.212号、第3G TS 25.213号和第3G TS 25.214号中。W-CDMA标准处于并入称为通用移动电信系统(UMTS)的基于GSM的系统中的过程中。
以上所引用的电信标准仅仅是可实施的多种通信系统中的一些的实例。一种通用标准分类称为“第三代”或“3G”,cdma2000和W-CDMA都是它的成员。这些3G标准针对增加的数据率,所述增加的数据率将支持增加的使用者数目和数据密集应用。
考虑到对无线数据应用的增长需求,对非常有效的无线数据通信系统的需要已变得愈加重要。一种所述无线数据应用是在分组交换数据网处起始或终止的数据包的传输。存在多种协议以经由分组交换数据网传输分组通信量,而使得信息到达其预定目的地。一种所述协议为“网际协议”,RFC 791(1981年9月)。网际协议(IP)将消息分成数据包,将数据包从发送者发送到目的地,且在目的地将数据包重组成原始消息。IP协议要求每一数据包以含有起始地址和目的地地址字段的IP标头开始,所述标头唯一识别主机和目的地计算机。
从IP网络经由无线通信网络或从无线通信网络经由IP网络的数据包的传输可通过遵守一个协议集合来完成,所述协议集合称为协议栈。一般地,无线通信装置通过一个接口与基站(BS)和/或分组数据服务节点(PDSN)通信。无线通信装置可为IP数据包的起源或目的地,或者,无线通信装置可为到一电子装置的透明链路。在任一状况下,将有效负载信息分到各个数据包中,其中标头信息被添加到每一数据包。IP标头位于PPP层的顶部,PPP层位于RLP层的顶部,而RLP层位于物理层的顶部。RLP层是无线链路协议层,它负责当发生传输错误时重新传输数据包。PPP层是点对点协议层,它是用于经由点对点链路传送IP通信量的封装协议。经由无线电将数据包传送到BS/PDSN,于是,随后经由IP网络发送数据包。
当试图无线传输在有线环境中起始或终止的数据时存在许多困难。其中之一是试图访问所述分组数据服务的无线终端的验证。
发明内容
本发明提供用于解决以上所述困难的方法和设备。一方面,提供一种用于在服务网络流上为无线通信装置建立点对点会话而不会使验证网络流的验证功能无效的方法,所述方法包含:在验证网络流上将一消息从无线通信装置传输到接入网络实体;将一访问请求消息从接入网络实体传输到服务器,其中所述访问请求消息允许无线通信装置访问服务网络流;判定无线通信装置是否应参与密钥供应处理;如果无线通信装置需要密钥供应,那么将访问消息从服务器传输到接入网络实体;一接收到访问消息就在服务网络流上提供对无线通信装置的访问;和经由服务网络流向无线通信装置供应密钥。
另一方面,提供一种支持试图访问分组数据服务网络的接入终端的验证的系统,所述系统包含:一接入网络(AN);一分组数据服务节点(PDSN),其通信地耦接到AN和分组数据服务网络;和一服务器,其通信地耦接到AN和PDSN并配置来判定是否验证一与AN通信的接入终端(AT)以与PDSN通信,其中判定是否验证与AN通信的接入终端(AT)包含:判定与AT相关联的访问请求消息是否指示AN处的起始;和判定AT是新近被激活还是需要一个新密钥。
另一方面,提供一种用于支持试图访问分组数据服务网络的接入终端的验证的系统,所述系统包含:一服务器,其以使用者属性和验证密钥配置;一分组数据服务节点(PDSN),其通信地耦接到服务器和分组数据服务网络;和一接入网络(AN),其通信地耦接到PDSN和服务器,且经配置来判定是否验证无密钥接入终端(AT)以访问PDSN,其中如果AN从服务器接收到一包括移动IP密钥更新(MKU)属性的访问拒绝消息,那么AN会验证无密钥接入终端。
另一方面,提供一种用于支持试图访问分组数据服务网络的接入终端的验证的设备,所述设备包含:至少一个存储元件;和至少一个处理元件,其经配置以执行存储在所述至少一个存储元件上的指令集,所述指令集用于:判定与接入终端(AT)相关联的访问请求消息是否指示接入网络(AN)处的起始;判定AT是否为无密钥的;和如果访问请求消息指示AN处的起始且AT是为无密钥的,那么允许AN验证AT。
另一方面,提供一种在一接入网络(AN)处的用于支持试图访问分组数据服务网络的接入终端的验证的设备,所述设备包含:至少一个存储元件;和至少一个处理元件,其经配置以执行存储在所述至少一个存储元件上的指令集,所述指令集用于:将与存储终端(AT)相关联的访问请求消息传输到服务器;判定从服务器接收到的访问拒绝消息是否包括移动IP密钥更新(MKU)属性;和如果接收到的访问拒绝消息包括MKU属性,那么验证AT以访问分组数据服务节点(PDSN)。
附图说明
图1是无线通信网络的示意图。
图2是接入终端(AT)、接入网络(AN)、AN-验证、授权和记帐(AN-AAA)服务器和PDSN之间的数据连通性的示意图。
图3是说明用于经由验证网络流验证的通信流的示意图。
图4是说明用于经由验证网络流验证的另一通信流的示意图。
具体实施方式
如图1所说明,无线通信网络10一般包括复数个接入终端(也称为远端站、移动站、用户单元或使用者设备)12a-12d、复数个基站(也称为基站收发器(BTS)或节点B)14a-14c、一基站控制器(BSC)(也称为无线网络控制器或数据包控制功能)16、一移动交换中心(MSC)或交换器18、一分组数据服务节点(PDSN)或网际互联功能(IWF)20、一公共交换电话网络(PSTN)22(一般为电话公司)和一分组交换数据网24(一般为网际协议(IP)网络)。为了简化的目的,展示四个接入终端12a-12d、三个基站14a-14c、一个BSC 16、一个MSC 18和一个PDSN 20。所属领域技术人员应了解,可存在任何数量的接入终端12、基站14、BSC 16、MSC 18和PDSN 20。
在一个实施例中,无线通信网络10为分组数据服务网络。接入终端12a-12d可为许多不同类型的无线通信装置中的任何一种,诸如:移动式电话、连接到运行基于IP的网站浏览器应用的便携式计算机的蜂窝式电话、与车载免提套件相关联的蜂窝式电话、运行基于IP的网站浏览器应用的个人数据助理(PDA)、合并入便携式计算机的无线通信模块或诸如可在无线本地环路或读数系统中发现的固定位置通信模块。在最通用的实施例中,接入终端可为任何类型的通信单元。
接入终端12a-12d可有利地经配置成执行一或一个以上无线分组数据协议,例如,在EIA/TIA/IS-707标准中所述的协议。在一个特定实施例中,接入终端12a-12d生成指定给IP网络24的IP数据包,且使用点对点协议(PPP)将IP数据包压缩成帧。
在一个实施例中,IP网络24耦接到PDSN 20,PDSN 20耦接到MSC 18,MSC耦接到BSC 16和PSTN 22,且BSC 16经由配置来根据若干已知协议中的任何一种而传输语音和/或数据包的有线线路耦接到基站14a-14c,所述协议包括(例如)E1、T1、异步传输模式(ATM)、网际协议(IP)、点对点协议(PPP)、帧中继、高位速率数字用户线(HDSL)、非对称数字用户线(ADSL)或其它普通的数字用户线设备和服务(xDSL)。在另一个实施例中,BSC 16直接耦接到PDSN 20,且MSC 18不耦接到PDSN 20。
在无线通信网络10的典型操作中,基站14a-14c接收并解调来自啮合在电话呼叫、网站浏览或其它数据通信中的多种接入终端12a-12d的反向链路信号集。每一由给定基站14a-14c接收到的反向链路信号在所述基站14a-14c内加以处理。每一基站14a-14c可通过调制反向链路信号集并将其传输到接入终端12a-12d来与复数个接入终端12a-12d通信。例如,如图1所示,基站14a同时与第一和第二接入终端12a、12b通信,且基站14c同时与第三和第四接入终端12c、12d通信。所得的数据包转发到BSC 16,BSC16提供呼叫资源分配和移动管理功能性,包括针对一特定接入终端12a-12d的从一个基站14a-14c到另一个基站14a-14c的呼叫软切换协调。例如,接入终端12c正同时与两个基站14b、14c通信。最后,当接入终端12c移动到离基站14c中的一个足够远时,呼叫将切换到另一个基站14b。
如果传输为常规的电话呼叫,那么BSC 16会将接收到的数据发送到MSC 18,MSC 18为其与PSTN 22的接口提供额外的路由服务。如果传输是基于数据包的传输,例如指定向IP网络24的数据呼叫,那么MSC 18会将数据包发送到PDSN 20,而PDSN 20将把数据包发送到IP网络24。或者,BSC 16直接将数据包发送到PDSN 20,而PDSN 20将数据包发送到IP网络24。
在WCDMA系统中,虽然无线通信系统组件的术语各异,但是功能是相同的。例如,基站也可称为在UMTS陆地无线接入网络(U-TRAN)中操作的无线网络控制器(RNC)。
在基站范围内操作的从基站到接入终端的前向链路可包含复数个信道。从接入终端到基站的反向链路也包含复数个信道。
每一信道运载不同类型的信息到目标目的地。例如,在cdma20001xEV-DV系统中,在基础信道上运载语音通信量,且在补充信道或分组数据信道上运载数据通信量。补充信道一般被启动大约几秒持续时间且很少改变调制和编码格式,而分组数据信道会动态地从20ms间隔变成另一间隔。
在典型的通信系统中,“源”生成表示(例如)语音通信量或数据通信量的信息位流。对此位流进行再分并分组,附加多个控制位,且将结果压缩成适当的格式以进行传输。在前向或反向链路上传输前,一般根据一个或一个以上格式编码、调制并扩展语音通信量和数据通信量。在CDMA系统中,传输信道格式最终取决于正在传输的语音通信量和数据通信量的信道类型和信道条件,此可根据噪声和干扰来描述。
在多种现有的通信系统中,可传输语音和数据通信量的各种格式存在不同名称,例如,帧、数据包和子数据包。本文所描述的实施例的范畴延伸到使用多种传输格式中的任一种的所有无线通信系统。然而,为了易于说明的目的,本文将使用术语“数据包”来描述运载通信量的传输信道格式和通信量的结构。
此外,请注意,CDMA系统的“数据包”在结构上不同于分组交换数据网的“数据包”。两者都是描述传输数据的格式的单元,但是其中一者是无线网络优选的且另一者是分组交换数据网优选的。例如,来自IP源的数据包将含有标头部分和数据部分。然而用于经由无线电传输的数据包运载经编码和调制且由能够在压缩成数据包之前受到符号重复的数据。因此,来自分组交换数据网的数据包将必须重新格式化以在无线网络上使用。在本文和现有技术中所述的实施例中,词语“数据包”的意义需由这个词语的用途推断。
如以上针对无线通信网络所论述,对位进行卷积或涡轮编码、重复及刺穿以生成二进制码符号序列。使所得的码符号隔行交错以获得调制符号。然后,对调制符号进行沃尔什(Walsh)覆盖并在正交相分支上与导频序列组合、以伪随机噪声(PN)序列扩展、基频滤波且调制到传输载波信号上。
在一些CDMA系统中,源可生成“逻辑”信道以经由上述物理信道传输。逻辑信道是与特定应用相关联的位流,它可与其它逻辑信道形成多路复用,每一信道包含与其它应用相关联的位流。然后,经多路复用的逻辑信道准备以上述方式经由物理信道传输。在前述IS-856中发布的cdma20001xEV-DO系统中,逻辑信道称为“流”且由流层协议定义。
因为实施例的主题是针对移动IP电话,所以也将立刻使用RFC 2002(1996年10月)的术语。在此文献中发布的协议使移动通信装置能够将接触点改变到因特网,而不必改变装置的IP地址。即,RFC 2002描述了一种注册方案,其向家乡代理(home agent)通知移动通信装置的位置,使得家乡代理可经由外地代理(foreign agent)发送数据包。“家乡代理”是在接入终端的家乡系统处理IP数据包的基础结构元件。“外地代理”是在被访问的系统处服务接入终端的基础结构元件。参看图1,外地代理和/或家乡代理的功能可由被访问的网络中的BSC 16或家乡网络中的BSC 16来完成。验证、授权和记帐功能通常由服务器执行,所述服务器称为验证、授权和记帐(AAA)服务器。AAA服务器通信地耦接到PDSN或BSC中。
在cdma2000 1xEV-DO(下文称为EV-DO)中,图1的无线通信系统实体在概念上简化成接入终端和接入网络。接入终端(AT)是允许使用者经由EV-DO无线接入网络访问分组交换数据网的任何装置。接入网络(AN)包含提供分组交换数据网与接入终端之间的数据连通性的任何网络设备/实体。
图2是AT 200、AN 210、AN-AAA服务器220和PDSN 230之间的数据连通性的示意图。当AT 200需要访问PDSN 230时,AT 200与AN 210之间就建立通信会话。所述会话根据PPP协议实施且称为验证网络流。AN210与AN-AAA服务器220通信以判定是否允许AT 200访问PDSN 230。基于在验证网络流内传达的验证信息,AN 210在AT 200与PDSN 230之间透明地传递服务网络流。PDSN 230进一步与AN-AAA服务器220通信以判定是否允许AT 200访问分组交换数据网(未图示)。基于服务网络流内传达的验证信息,PDSN 230允许分组交换数据网(未图示)与AT 200之间的IP通信量。
在验证网络流上,使用例如CHAP(竞争握手验证协议)来执行验证。在所述实施例中无需过分的实验即可使用其它的验证协议,但是为了易于说明,本文将说明CHAP。在服务网络流上,可使用CHAP、移动IP验证或PAP(口令验证协议)执行验证。
注意,在EV-DO系统中,验证网络流和服务网络流为可经由物理、无线电、传输信道一起多路复用的逻辑信道。
由于需要用AN验证AT在EV-DO网络上的初始注册,因此引发了一个问题。使用服务网络流在AAA处供应验证口令/密钥。为了参与密钥更新程序,AT将必须由AN来传递,AN充当在AT与PDSN之间中继消息的“受门人(gatekeeper)”。然而,新激活的AT并不具有验证密钥。在初始注册期间,不存在与位于AN-AAA服务器处的新激活的AT相关联的密钥。AN-AAA服务器将不向AN提供对所述AT的许可,因此AN将不验证AT。换言之,AT需要一密钥以被供应一密钥。当服务提供者希望为已激活的AT供应新密钥时,也会引起此问题。为了利用密钥更新程序,已激活的AT将需要访问验证网络流。然而,验证网络流已“键入”了新密钥而不是由已激活的AT持有的旧密钥。
当前对这个问题的解决方案是使验证网络流的验证功能无效,但这是有问题的。使验证网络流的验证功能无效将使网络易受到“否定服务”的攻击,其中任何伪劣的AT都能够建立PPP会话且使其开放一不确定的时间段,而不会被验证。本文所提供的实施例用于在服务网络流上建立PPP会话而不使验证网络流的验证功能无效。
在下述实施例中,提供用于经由服务网络流触发移动IP密钥更新(MKU)程序而不会使验证网络流无效的方法和设备。在一个实施例中,由AN-AAA服务器所执行的行为触发MKU程序。在另一个实施例中,由AN所执行的行为触发MKU程序。
图3是说明AN-AAA服务器触发MKU程序的实施例的流程图。在这个实施例中,用AT新近被激活或AT是需要一个新密钥的已被激活的单元的信息来对AN-AAA服务器进行编程。(在移动IP的说法中,AT也称为移动节点(MN))。在步骤300中,AN试图使用例如CHAP之类的验证协议建立一与AT的验证网络流。
在步骤310中,AT发送一个使用者识别符作为对来自AN的询问的回应的一部分,所述使用者识别符可包括(但不限于)移动节点识别符MN ID或网络访问识别符NAI。所述回应通常包含使用者识别符和从所述询问取回的随机值,其中通常使用散列函数隐瞒所述回应。RFC 1994(1996年8月)发布了CHAP验证程序中的称为MD5的单向散列函数的使用。
在步骤320中,AN将“访问请求”(ARQ)消息传输到AN-AAA服务器。在这个实施例中,ARQ消息应传达关于ARQ消息的起始者的特征信息。换言之,ARQ消息的起始者是一AN(与PDSN和另一AAA服务器相对)的信息应包括ARQ消息。在TIA-878中,“高速分组数据(HRPD)网络访问接口的互通规范(IOS)”是可选的,它是指示ARQ消息是否是访问验证的内容的HRPD访问验证字段。在当前实施例中,此可选字段用于决定是否允许访问服务网络流。
在步骤330中,AN-AAA服务器接收AN识别符和含有来自AT的CHAP回应的ARQ消息,且基于两个条件做出一决定。所述条件为使用者属性与新近激活状态相关联(或需要密钥供应)和ARQ消息是由AN始发的。
在步骤340中,如果满足这两个标准,那么AN-AAA服务器将“访问接受”(AA)消息传输到AN。否则,将“访问拒绝”(AR)消息传输到AN。
在步骤350中,如果从AN-AAA服务器接收到一AA消息,那么AN返回一验证成功的指示,否则,如果从AN-AAA服务器接收到一AR消息,那么AN返回一验证失败的指示。如果接收到AA消息,那么程序流程进行到步骤360,否则,程序流程以AT的验证失败而结束。
在步骤360中,AN中继AT与PDSN之间的消息,于是,与PDSN通信的AN-AAA服务器触发一MKU程序。在一成功的MKU过程结束时,AN-AAA与AT将具有一共同的共享秘密集合。
以上的程序流程允许AT访问服务网络流以被供应有验证信息。为了让程序流程达成此目的,AN-AAA服务器应具有指示AT是新近激活的单元或需要密钥供应的信息。此外,AN-AAA服务器应具有关于ARQ消息的始发者的信息。AN-AAA服务器的处理和存储元件应经配置以使用以上两个标准来判定是否将AA消息发送到AN,而不管是否缺乏针对验证网络流上的验证程序的口令/密钥。
图4是说明AN触发MKU程序的实施例的流程图。在步骤400中,AN尝试使用例如CHAP之类的验证协议建立与AT的验证网络流。
在步骤410中,AT发送一个使用者识别符作为对来自AN的询问的回应。
在步骤420中,AN将“访问请求”(ARQ)消息传输到AN-AAA服务器。
在步骤430中,AN-AAA服务器接收ARQ消息并判定AT是新近激活的单元还是需要密钥供应。然后,程序流程继续进行到步骤440。
在步骤440中,AN-AAA服务器将包括“所需的MKU更新”属性的“访问拒绝”(AR)消息传输到AN。注意,先前实施例需要AN-AAA服务器来基于所述的两个标准来改变其行为,而这个实施例不需要AN-AAA服务器配置进行任何改变。
在步骤450中,AN接收具有MKU属性的AR消息,此二者的到达为一个新的标准集合以允许AT访问PDSN,而不需要具有适当的验证信息。AN中的存储和处理元件经配置以将包括MKU属性的AR消息的到达解释为AT是新近激活还是需要密钥供应的指示。本文将此任一状态称为“无密钥”。因此,在步骤460中,AN判定MKU更新为无密钥AT所需且将验证成功的指示返回到AT。
在步骤470中,AN中继AT与PDSN之间的消息,于是,由与PDSN通信的AN-AAA服务器触发MKU程序。注意,只要AN-AAA服务器判定AT新近被激活或只要系统提供者判定应将新的口令/密钥供应给一些或所有接入终端,就可在AR消息中设置MKU属性。因此,这个实施例在选择性地将密钥供应提供给已激活的接入终端上具有增加的灵活性。
所属领域技术人员应了解,可使用任何各种不同技术和工艺来表示信息和信号。例如,遍及以上描述所引用的数据、指令、命令、信息、信号位、符号和芯片可由电压、电流、电磁波、磁场或磁性粒子、光场或光学粒子和其任何组合表示。
所属领域技术人员应进一步了解,连同本文所揭示的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可实施为电子硬件、计算机软件和二者的组合。为了清楚地说明硬件和软件的可交换性,多种说明性组件、区块、模块、电路和步骤已大体根据其功能加以描述。所述功能实施为硬件还是软件取决于强加于整个系统的特定应用和设计限制。熟练的技术人员可针对每一特定应用以变化的方式实施所述的功能,但是不应将这些实施决定解释为偏离本发明的范畴。
连同本文所揭示的实施例描述的各种说明性逻辑块、模块和电路可以各物来实施或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、场可编程门阵列(FPGA)和其它可编程逻辑装置、离散门和晶体管逻辑、离散硬件组件或设计成执行本文所述的功能的其任何组合。通用处理器可为微处理器,但或者,所述处理器可为任何常规的处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合(例如,DSP和微处理器的组合)、复数个微处理器、与DSP核心协作的一或一个以上微处理器,或任何其它所述配置。
连同本文所述的实施例描述的方法或算法的步骤可直接以硬件、由处理器执行的软件模块或两者的组合实施。软件模块可位于RAM存储器(随机存取存储器)、闪存、ROM存储器(只读存储器)、EPROM存储器(可擦可编程只读存储器)、EEPROM存储器(电可擦可编程只读存储器)、寄存器、硬盘、可移动磁盘、CD-ROM(光盘只读存储器)或现有技术已知的任何其它形式的存储媒体中。例示性的存储媒体耦接到处理器,所述处理器可从存储媒体读取信息且可将信息写入到存储媒体。或者,可将存储媒体整合到处理器中。处理器和存储媒体可位于ASIC中。ASIC可位于使用者终端中。或者,处理器和存储媒体可作为离散组件位于使用者终端中。
提供所揭示的实施例的先前描述以使所属领域任何技术人员能够制造或使用本发明。所属领域技术人员将易了解这些实施例的多种修改,且在不偏离本发明的精神或范畴的情况下,本文所界定的通用原理可应用于其它实施例。因此,并不希望本发明限于本文所展示的实施例,而应符合与本文所揭示的原理和新颖特征一致的最广泛的范畴。
Claims (9)
1.一种用于在一服务网络流上为一无线通信装置建立一点对点会话而不使一验证网络流的验证功能无效的方法,其包含:
在所述验证网络流上将一消息从所述无线通信装置传输到一接入网络实体;
将一访问请求消息从所述接入网络实体传输到一服务器,其中所述访问请求消息是关于允许所述无线通信装置访问所述服务网络流;
判定所述无线通信装置是否应参与一密钥供应过程;
如果所述无线通信装置需要密钥供应,那么将一访问信息从所述服务器传输到所述接入网络实体;
一接收到所述访问消息就在所述服务网络流上提供对所述无线通信装置的访问;和
经由所述服务网络流向所述无线通信装置供应一密钥。
2.根据权利要求1所述的方法,其中判定所述无线通信装置是否需要密钥供应包含判定所述无线通信装置是否是新近被激活的。
3.根据权利要求2所述的方法,其中判定所述无线通信装置是否需要密钥供应包含识别所述访问请求消息的始发者。
4.根据权利要求3所述的方法,其中从所述服务器到所述接入网络实体的所述访问消息是一访问接受(AA)消息。
5.根据权利要求1所述的方法,其中从所述服务器到所述接入网络实体的所述访问消息是一携带一移动IP密钥更新(MKU)属性的访问拒绝(AR)消息。
6.一种用于支持对试图访问一分组数据服务网络的接入终端的验证的系统,所述系统包含:
一接入网络(AN);
一分组数据服务节点(PDSN),其以通信方式耦接到所述AN和所述分组数据服务网络;和
一服务器,其以通信方式耦接到所述AN和所述PDSN,并经配置以判定是否验证一与所述AN通信的接入终端(AT)以与所述PDSN通信,其中判定是否验证与所述AN通信的所述AT包含:
判定与所述AT相关联的一访问请求消息是否指示所述AN处的始发;和
判定所述AT是新近被激活还是需要一个新密钥。
7.一种用于支持对试图访问一分组数据服务网络的接入终端的验证的系统,所述系统包含:
一服务器,其经配置具有使用者属性和验证密钥;
一分组数据服务节点(PDSN),其以通信方式耦接到所述服务器和所述分组数据服务网络;和
一接入网络(AN),其以通信方式耦接到所述PDSN和所述服务器,且经配置以判定是否验证一无密钥接入终端(AT)以访问所述PDSN,其中如果所述AN从所述服务器接收到一包括一移动IP密钥更新(MKU)属性的访问拒绝消息,那么所述AN验证所述无密钥接入终端。
8.一种用于支持对试图访问一分组数据服务网络的接入终端的验证的设备,所述设备包含:
至少一个存储元件;和
至少一个处理元件,其经配置以执行一存储在所述至少一个存储元件上的指令集,所述指令集用于:
判定一与一接入终端(AT)相关联的访问请求消息是否指示一接入网络(AN)处的始发;和
判定所述AT是否为无密钥的;且
如果所述访问请求消息指示一AN处的始发且所述AT是无密钥的,那么允许所述AN验证所述AT。
9.一种在一接入网络(AN)处用于支持对试图访问一分组数据服务网络的接入终端的验证的设备,所述设备包含:
至少一个存储元件;和
至少一个处理元件,其经配置以执行一存储在所述至少一个存储元件上的指令集,所述指令集用于:
将与一存储终端(AT)相关的一访问请求消息传输到一服务器;
判定从所述服务器接收到的一访问拒绝消息是否包括一移动IP密钥更新(MKU)属性;和
如果接收到的所述访问拒绝消息包括一MKU属性,那么验证所述AT以访问一分组数据服务节点(PDSN)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/406,708 US7308260B2 (en) | 2003-04-02 | 2003-04-02 | Method and apparatus for supporting access network (AN) authentication |
| US10/406,708 | 2003-04-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1802827A true CN1802827A (zh) | 2006-07-12 |
| CN100553240C CN100553240C (zh) | 2009-10-21 |
Family
ID=33097373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800090924A Expired - Lifetime CN100553240C (zh) | 2003-04-02 | 2004-04-02 | 支持访问认证的装置和系统及其使用的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US7308260B2 (zh) |
| CN (1) | CN100553240C (zh) |
| MX (1) | MXPA05010350A (zh) |
| WO (1) | WO2004091177A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110431820A (zh) * | 2017-03-17 | 2019-11-08 | 高通股份有限公司 | 网络接入隐私 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8195940B2 (en) * | 2002-04-05 | 2012-06-05 | Qualcomm Incorporated | Key updates in a mobile wireless system |
| US7308260B2 (en) * | 2003-04-02 | 2007-12-11 | Qualcomm Incorporated | Method and apparatus for supporting access network (AN) authentication |
| JP3984965B2 (ja) * | 2004-02-25 | 2007-10-03 | 株式会社日立コミュニケーションテクノロジー | 通信端末装置及び通信接続装置ならびにこれを用いた通信方法 |
| US7324814B2 (en) * | 2004-07-02 | 2008-01-29 | Samsung Electronics Co., Ltd. | Apparatus and method for exchanging version indicator information between entities in a wireless network |
| KR101086949B1 (ko) * | 2004-08-31 | 2011-11-29 | 파나소닉 주식회사 | 데이터 통신 장치 |
| US7688760B2 (en) * | 2005-05-16 | 2010-03-30 | Motorola, Inc | Method and apparatus for an exchange of packet data between a wireless access terminal and a packet switched communication system via a circuit switched communication system |
| US20070016775A1 (en) * | 2005-07-18 | 2007-01-18 | Research In Motion Limited | Scheme for resolving authentication in a wireless packet data network after a key update |
| US8565216B2 (en) * | 2006-06-07 | 2013-10-22 | Qualcomm Incorporated | Methods and apparatus for supporting tunneling related to wireless uplink signaling flows |
| BRPI0712412A2 (pt) * | 2006-06-07 | 2012-08-14 | Qualcomm Inc | mÉtodos e equipamento para usar valores de controle para controlar processamento de comunicaÇÕes |
| US8565217B2 (en) * | 2006-06-07 | 2013-10-22 | Qualcomm Incorporated | Methods and apparatus for supporting tunneling related to wireless downlink signaling flows |
| CN101222758B (zh) * | 2007-01-08 | 2011-10-26 | 中兴通讯股份有限公司 | 一种在高速分组数据网传递1x寻呼被拒绝的方法 |
| DK1988680T3 (da) * | 2007-04-30 | 2010-07-19 | Nokia Siemens Networks Oy | Politikkontrol i et netværk |
| KR20110038655A (ko) * | 2008-07-01 | 2011-04-14 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 무선 통신 시스템에서 이동성 제한을 위한 시스템 및 방법 |
| US20100014461A1 (en) * | 2008-07-17 | 2010-01-21 | Futurewei Technologies, Inc. | System and Method for Creating Multiple Mobility Profiles per Subscriber in Wireless Communications Systems |
| EP2887717A1 (en) * | 2013-12-17 | 2015-06-24 | Teleena Holding B.V. | Provisioning method and apparatus |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4901307A (en) | 1986-10-17 | 1990-02-13 | Qualcomm, Inc. | Spread spectrum multiple access communication system using satellite or terrestrial repeaters |
| US5103459B1 (en) | 1990-06-25 | 1999-07-06 | Qualcomm Inc | System and method for generating signal waveforms in a cdma cellular telephone system |
| JP2000155057A (ja) | 1998-11-20 | 2000-06-06 | Asuko Kk | 着座検出装置 |
| US7843878B2 (en) * | 2000-12-04 | 2010-11-30 | Ericsson Ab | Method and apparatus to control handoff between different wireless systems |
| US6956846B2 (en) * | 2002-08-16 | 2005-10-18 | Utstarcom Incorporated | System and method for foreign agent control node redundancy in a mobile internet protocol network |
| US7133386B2 (en) * | 2002-11-18 | 2006-11-07 | Cisco Technology, Inc. | Method and system for service portability across disjoint wireless networks |
| US7346684B2 (en) * | 2003-01-31 | 2008-03-18 | Utstarcom, Inc. | System and method for control of packet data serving node selection in a mobile internet protocol network |
| US7308260B2 (en) * | 2003-04-02 | 2007-12-11 | Qualcomm Incorporated | Method and apparatus for supporting access network (AN) authentication |
-
2003
- 2003-04-02 US US10/406,708 patent/US7308260B2/en active Active
-
2004
- 2004-04-02 MX MXPA05010350A patent/MXPA05010350A/es active IP Right Grant
- 2004-04-02 WO PCT/US2004/010306 patent/WO2004091177A2/en active Application Filing
- 2004-04-02 CN CNB2004800090924A patent/CN100553240C/zh not_active Expired - Lifetime
-
2007
- 2007-11-05 US US11/935,372 patent/US7796582B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110431820A (zh) * | 2017-03-17 | 2019-11-08 | 高通股份有限公司 | 网络接入隐私 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7308260B2 (en) | 2007-12-11 |
| MXPA05010350A (es) | 2005-11-17 |
| US20040196829A1 (en) | 2004-10-07 |
| WO2004091177A2 (en) | 2004-10-21 |
| US20080049680A1 (en) | 2008-02-28 |
| WO2004091177A3 (en) | 2005-04-21 |
| CN100553240C (zh) | 2009-10-21 |
| US7796582B2 (en) | 2010-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1186912C (zh) | 用于执行移动节点登记的方法和系统 | |
| US8528068B1 (en) | Method of authenticating a user on a network | |
| US7239861B2 (en) | System and method for communication service portability | |
| US7796582B2 (en) | Method and apparatus for supporting access network (AN) authentication | |
| US20070232271A1 (en) | Proxy authentication for tethered devices | |
| US7269727B1 (en) | System and method for optimizing authentication in a network environment | |
| EP1686729A1 (en) | Controlling data traffic in a wireless communication system | |
| CN1890917A (zh) | 移动节点鉴别 | |
| US7369529B2 (en) | Method and apparatus for differentiating point to point protocol session termination points | |
| CN1528102A (zh) | 通信系统的本地认证 | |
| JP2006516845A (ja) | 移動インターネットプロトコルネットワークにおけるパケットデータ提供ノード選出の制御システムおよび方法 | |
| CN1618252A (zh) | 无线通信系统中移动ip节点的有效再注册 | |
| JP5680688B2 (ja) | つながれた装置のための代理暗号化認証の方法と装置 | |
| CN1534921A (zh) | 用于独立网络间的公共认证和授权的方法 | |
| TW200306751A (en) | Access terminal profile in a data cellular network | |
| TW200405685A (en) | Aggregating multiple air interfaces with a multi-link protocol | |
| CN1656744A (zh) | 使用本地链路对无线通信设备的仿真 | |
| KR101040128B1 (ko) | 무선 패킷 데이터 서비스 네트워크 내에서의 데이터 세션재시도 메카니즘의 커스텀화 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| US20060009197A1 (en) | Call setting method for packet exchange network | |
| CN1212719C (zh) | 授权使用由标识符指定的分组数据传输标准的会话的方法和装置 | |
| CN1157032C (zh) | 具有共同ip地址的移动终端和无线设备 | |
| JP2005512358A (ja) | 通信システムにおけるサービス認可のための方法及び装置 | |
| CN1921661A (zh) | Gsm终端的认证处理方法 | |
| CN1751472A (zh) | 终止网络中的会话 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1088153 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1088153 Country of ref document: HK |
|
| CX01 | Expiry of patent term |
Granted publication date: 20091021 |
|
| CX01 | Expiry of patent term |