TWI448128B

TWI448128B - 用於雙堆疊操作互通授權的方法及裝置

Info

Publication number: TWI448128B
Application number: TW096130993A
Authority: TW
Inventors: Raymond Tah-Sheng Hsu
Original assignee: Qualcomm Inc
Priority date: 2006-08-21
Filing date: 2007-08-21
Publication date: 2014-08-01
Also published as: TW200828924A; CN101536453A

Description

用於雙堆疊操作互通授權的方法及裝置

本發明大體係關於通信系統，且更特定言之，係關於一種用於雙堆疊操作互通授權的方法及裝置。

無線通信技術在過去幾年中已經歷極大成長。已藉由無線技術供給之移動自由及在無線媒體上之語音及資料通信之大大改良的品質部分地推動此成長。經改良之語音服務品質連同資料服務之添加已具有且將繼續具有對通信公眾之顯著效應。額外服務包括在漫遊時使用行動設備來存取網際網路。

在移動時維持資料會話的能力對於使用者與系統操作者均為重要的。隨著更多的使用者利用行動網際網路協定操作，使用者可能欲使用雙堆疊操作來同時存取相同封包資料互通功能，此允許同時使用兩個版本的行動網際網路協定。封包資料互通功能(PDIF)充當一保護蜂巢式網路的安全閘道器。

圖1展示一用於無線區域網路(WLAN)的互通架構。網路可為操作於3GPP2標準上的無線通信系統之部分，該3GPP2標準由一命名為"第三代合作夥伴計劃2"(本文中稱為3GPP2)的協會供給之標準界定。架構100包括一連接至WLAN系統104之行動台(MS)102。WLAN系統104包括存取點(AP)106及存取路由器(AR)108。WLAN系統連接至3G本籍網路110。WLAN系統經由封包資料互通功能(PDIF)122而連接至3G本籍網路110。PDIF 114連接至本籍驗證、授權及計費(H－AAA)設備112。

MS以PDIF建立一在3G本籍網路中充當一安全閘道器之安全IP隧道。H－AAA 112驗證並授權該隧道的建立。在該隧道經建立後，MS可在3G本籍網路110中存取服務。圖1中的虛線指示用於驗證、授權及計費資訊之路徑，並指示在H－AAA 112與PDIF 114之間的資訊傳送。實線展示用於使用者資料訊務之承載路徑且管線指示保護MS 102與PDIF 114之間的使用者資料訊務之安全隧道。

MS經預組態而具有為IP位址或全合格領域名稱(FQDN)之PDIF位址資訊。若MS經組態而具有PDIF的FQDN，則該MS將繼續轉遞領域名稱系統(DNS)以解決與FQDN相關聯之IP位址。MS使用網際網路密鑰交換版本2(IKEv2)以由PIDF建立安全隧道(稱為用於資料傳送之IP－sec隧道)。建立安全隧道之部分要求MS由圖1中之H－AAA 112來驗證並授權。MS可使用用於相互驗證之多個程序。包括身份碼及隨機查問之驗證資訊經輸送於在MS與H－AAA之間交換之擴展驗證協定(EAP)訊息中。EAP訊息經輸送於MS與PDIF之間的IKEv2訊息中，且亦輸送於在PDIF與H－AAA之間交換的RADIUS訊息中。

MS可能需要使用IPv4與IPv6兩者來同時存取同一PDIF。此雙堆疊操作形成用於PDIF之授權問題，即，PDIF需要知道MS是否對於IPv4及/或IPv6經授權。另外，在請求雙堆疊操作之MS未對於IPv4與IPv6兩者經授權的情況下，PDIF需要向MS指示MS未對於IP版本之一經授權。需要一種方法及裝置以向MS指示IP授權並亦向MS指示該MS未對於兩IP版本經授權。

一種在一通信系統中用於雙堆疊授權及操作之方法併有：在該通信系統中自一授權實體請求驗證；及若該驗證成功，則接著自該授權實體接收一驗證訊息，其中該驗證訊息含有一授權以使用至少一網際網路協定版本來建立用於通信之至少一安全隧道。

另一實施例提供一種方法，其包含：使用一個以上網際網路協定版本請求雙堆疊操作；使用一個以上網際網路協定版本來接收用於雙堆疊操作之授權；對於每一網際網路協定版本建立一獨立從屬安全授權，其中該從屬安全授權從屬於網際網路密鑰交換安全授權；建立用於通信之至少一安全隧道；並使用該用於通信之至少一安全隧道同時存取兩個網際網路協定版本。

又一實施例提供一種方法，其包含：使用一個以上網際網路協定版本請求雙堆疊操作；在一訊息中接收對於一網際網路協定版本之授權，其中該訊息識別經授權之至少一網際網路協定版本，且進一步其中該訊息識別未經授權之至少一網際網路協定版本；對於經授權網際網路協定版本建立一安全授權，其中用於經授權網際網路協定版本之安全授權從屬於網際網路密鑰交換安全授權；建立一用於通信之安全隧道；並使用該安全隧道來通信。

另一實施例提供一種裝置，該裝置由以下元件構成：一傳輸器，其用於在一無線通信系統中自授權實體來請求驗證；及一接收器，其用於在驗證成功時自驗證實體接收驗證訊息，其中該驗證訊息含有一授權以使用至少一網際網路協定版本來建立用於通信之至少一安全隧道。

一額外實施例提供一種裝置，該裝置由以下元件構成：一傳輸器，其用於使用一個以上網際網路協定版本請求雙堆疊操作；一接收器，其用於使用一個以上網際網路協定版本接收對於雙堆疊操作之授權；一記憶體，其用於儲存一用於每一網際網路協定版本之獨立從屬安全授權，其中該從屬安全授權從屬於網際網路密鑰交換安全授權；一處理器，其用於使用傳輸器建立用於通信之至少一安全隧道；及一傳輸器，其用於使用該用於通信之至少一安全隧道來同時存取一個以上網際網路協定版本。

又一實施例提供一種裝置，該裝置包括以下元件：一傳輸器，其用於使用一個以上網際網路協定版本來請求雙堆疊操作；一接收器，其用於在一訊息中接收對於一網際網路協定版本之授權，其中該訊息識別經授權之至少一網際網路協定版本且進一步其中該訊息識別未經授權之至少一網際網路協定版本；一處理器，其用於對於經授權網際網路協定版本建立一安全授權，其中用於經授權網際網路協定版本之安全授權從屬於一網際網路密鑰交換安全授權；一記憶體，其用於儲存用於經授權網際網路協定版本之安全授權；一傳輸器，其用於建立一用於通信之安全隧道；及一傳輸器，其用於使用該安全隧道來通信。

另一實施例提供一種由以下元件構成之裝置：用於在一無線通信系統中自授權實體請求驗證之構件；及用於在驗證成功時自授權實體接收驗證訊息之構件，其中該驗證訊息含有一授權以使用至少一網際網路協定版本來建立用於通信之至少一安全隧道。

一額外實施例提供一種由下元件構成之裝置：用於使用一個以上網際網路協定版本請求雙堆疊操作的構件；用於使用一個以上網際網路協定版本接收對於雙堆疊操作之授權的構件；用於對於每一網際網路協定版本建立一獨立從屬安全授權的構件，其中該從屬安全授權從屬於網際網路密鑰交換安全授權；用於建立用於通信之至少一安全隧道的構件；及用於使用該用於通信之至少一安全隧道來同時存取兩個網際網路協定版本的構件。

另一實施例提供一種裝置，其包含：用於使用一個以上網際網路協定版本請求雙堆疊操作的構件；用於在一訊息中接收對於一網際網路協定版本之授權的構件，其中該訊息識別經授權之至少一網際網路協定版本且進一步其中該訊息識別未經授權之至少一網際網路協定版本；用於對於經授權網際網路協定版本建立一安全授權的構件，其中用於經授權網際網路協定版本之安全授權從屬於一網際網路密鑰交換安全授權；用於建立一用於通信之安全隧道之構件；及用於使用該安全隧道來通信的構件。

提供一種電腦程式產品實施例，其包含：一電腦可讀媒體，其包含：用於使得一電腦在一無線通信系統中自授權實體請求驗證的指令；及用於在驗證成功時使得一電腦自該授權實體接收驗證訊息之指令，其中該驗證訊息含有一授權以使用至少一網際網路協定版本來建立用於通信之至少一安全隧道。

另一實施例提供一種電腦程式產品，其包含：一電腦可讀媒體，其包含：用於使得一電腦使用一個以上網際網路協定版本來請求雙堆疊操作的指令；用於使得一電腦使用一個以上網際網路協定版本來接收對於雙堆疊操作之授權的指令；用於使得一電腦對於每一網際網路協定版本建立一獨立從屬安全授權的指令，其中該從屬安全授權從屬於網際網路密鑰交換安全授權；用於使得一電腦建立用於通信之至少一安全隧道的指令；及用於使得一電腦使用該用於通信之至少一安全隧道來同時存取兩個網際網路協定版本的指令。

一額外實施例提供一種電腦程式產品，其包含：一電腦可讀媒體，其包含：用於使得一電腦使用一個以上網際網路協定版本來請求雙堆疊操作的指令；用於使得一電腦在一訊息中接收對於一網際網路協定版本之授權的指令，其中該訊息識別經授權之至少一網際網路協定版本且進一步其中該訊息識別未經授權之至少一網際網路協定版本；用於使得一電腦對於經授權網際網路協定版本建立一安全授權的指令，其中用於經授權網際網路協定版本之該安全授權從屬於一網際網路密鑰交換安全授權；用於使得一電腦建立一用於通信之安全隧道的指令；及用於使得一電腦使用該安全隧道來通信的指令。

詞"例示性"在本文中用以意謂"用作一實例、例子或說明"。本文中描述為"例示性的"任何實施例不必被理解為比其他實施例較佳或有利。

需要存取封包資料服務之MS需要存取IP存取網路。MS起始隧道建立作為存取過程之部分。此等隧道經建立於MS與PDIF之間且在一隧道經建立及可開始封包資料服務之前要求若干步驟。

第一步，MS開始一驗證、授權及計費過程。驗證為最常藉由使用者名稱及密碼識別的過程且其為個別的。驗證過程假定使用者名稱及密碼唯一識別一用戶。

授權允許一使用者在驗證之後存取網路資源。可能有各種等級之存取，且使用者可視授權之等級而被授予或拒絕存取網路資源。

計費為對一使用者在存取網路資源時之活動性的追蹤且包括花費在網路上的時間量、在網路上時所使用的服務，及在網路會話期間所傳送之資料量。

在MS試圖存取封包資料服務時執行對存取網路資源之驗證及授權。服務授權通常獨立於WLAN驗證及授權。H－AAA伺服器使用存取協定(諸如遠端驗證撥號使用者服務(RADIUS)或DIAMETER)執行驗證及授權。RADIUS為被許多網際網路服務提供者所使用之驗證及計費系統。

IP安全(IPsec)向IP資料報提供機密性、資料完整性、存取控制及資料源驗證。藉由在一IP資料報之來源與儲集器(sink)之間維持一共用狀態而提供此等服務。此狀態界定經提供給資料報之特定服務及哪一個密碼演算法將用以提供該等服務，及用作對密碼演算法之輸入的密鑰。一稱為網際網路密鑰交換IKE的協定被用於建立此共用狀態。

IKE在雙方之間執行相互驗證且亦建立一IKE安全關聯(SA)，該IKE安全關聯(SA)包括可用於有效地建立用於囊封安全有效負載(ESP)及/或驗證標頭(AH)之SA的共用秘密資訊與由SA用以保護其所載運之訊務的一密碼演算法集合。一啟動器提出用於保護SA之密碼演算法集合。IKESA被稱為"IKE_SA"。通過彼IKE_SA而建立之用於ESP及/或AH的SA稱為"CHILD_SA"。

所有IKE通信由訊息對組成：一請求及一回應。該對稱為一交換。建立IKE_SA之第一訊息為初始交換"IKE_SA_INIT"與"IKE_AUTH"。建立一子SA之後續交換稱為"CREATE_CHILD_SA"或資訊交換。在一通常情況下，首先有使用總共四個訊息以建立IKE_SA及第一CHILD_SA的單一IKE_SA_INIT交換及單一IKE_AUTH交換。在某些情況下，可能需要一個以上此交換。在所有情況下，IKE_SA_INIT交換必須在任何其他交換類型之前完成。接著，必須完成所有IKE_AUTH交換。接下來的任何數目之CREATE_CHILD_SA交換及INFORMATIONAL交換可遵循任何次序。後續的交換可在同一經驗證之端點對之間建立額外的CHILD_SA。

IKE訊息流由一被一回應跟隨的請求組成。確保可靠性係請求者之責任。若在一逾時時間間隔內未接收到該回應，則該請求者需要重新傳輸該請求或放棄連接。

IKE會話的第一請求/回應協商IKE_SA之安全參數，發送臨時標誌，及Diffie－Hellman值。

IKE_AUTH傳輸識別碼，第二請求回應對應於該兩個識別碼而證明秘密知識，並建立一用於第一AH及/或ESP CHILD_SA的SA。

後續交換可建立CHILD_SA(CREATE_CHILD_SA)及INFORMATIONAL，其可刪除一SA，報告錯誤情況或其他內務處理功能。每一請求需要一回應。直到初始交換完成之後才發生後續交換。

CREATE_CHILD交換由一單一請求/回應對組成且在完成初始交換之後其可由IKE_SA之任一端起始。在初始交換之後所有訊息使用IKE交換的前兩個訊息之經協商密碼集合而經密碼保護。任一端點可起始一CREATE_CHILD_SA交換。CHILD_SA係藉由發送一CREATE_CHILD_SA請求而建立。CREATE_CHILD_SA請求可含有一有效負載，該有效負載用於一額外Diffie－Hellman交換以致能用於CHILD_SA之前向秘密的更穩固保證。用於CHILD_SA之按鍵材料為在IKE_SA之建立期間建立之功能，在CREATE_CHILD_SA交換期間交換之臨時標誌，及Diffie－Hellman值(若在CREATE_CHILD_SA交換中包括密鑰交換有效負載)。

在初始交換期間建立之CHILD_SA中，一第二密鑰交換有效負載及臨時標誌不可被發送。來自初始交換之臨時標誌被用於計算用於CHILD_SA之密鑰。

圖2說明CREATE_CHILD_SA的內容。啟動器在SA有效負載中發送SA供給。在Ni有效負載中發送一臨時標誌。此臨時標誌及含於IKE_SA_INIT訊息中之其他標誌被用作對密碼功能之輸入。在CREATE_CHILD_SA請求與回應中，臨時標誌被用於向密鑰導出技術添加新鮮度，該密鑰導出技術係用於獲得用於CHILD_SA的密鑰，並確保強偽隨機位元自Diffie－Hellman密鑰的建立。在IKEv2中使用的臨時標誌經隨機地選擇且其大小至少為128個位元且其至少為經協商偽隨機功能之密鑰大小的一半。Diffie－Hellman值可經發送於KEi有效負載中。經提出之訊務選擇器經發送於TSi有效負載及TSr有效負載中。若SA供給包括不同Diffie－Hellman群，則KEi必須為啟動器期望回應器接受之群的一元件。若推測錯誤，則CREATE_CHILD_SA交換將失敗且其將需要以一不同KEi來再試。

跟隨標頭的訊息經加密且包括標頭的訊息係使用用於IKE_SA之經協商密碼演算法而被完整地保護。

圖3說明CREATE_CHILD_SA回應的內容。若在請求中包括KEi且經協商密碼集合包括彼群，則回應器使用在SA有效負載中具有已接受供給且在KEr有效負載中具有Diffie－Hellman值的同一訊息識別碼來答覆。若回應器選擇一具有不同群之密碼集合，則其必須拒絕該請求。啟動器應接著重複該請求，但是藉由來自經回應器選擇之群的KEi有效負載。用於待發送於彼SA上之訊務的訊務選擇器在訊務選擇器(TS)有效負載中經指定，其可為經提出之CHILD_SA之啟動器的子集。若CREATE_CHILD_SA請求用於改變IKE_SA之密鑰，則可省略訊務選擇器。

一旦建立CHILD_SA，則下一步驟為建立IPsec隧道。隧道建立程序之細節如下。

MS可經預先供應有PDIF之IP位址或其應使用DNS機制以擷取PDIF的IP位址。在建置用於DNS請求之FQDN時，MS應識別操作者的網路。為了有助於存取網路，MS可經預先供應有多個PDIF的FQDN。一旦MS接收含有一或多個PDIF IP位址之回應，則MS選擇與其區域IP位址具有相同IP版本的PDIF IP位址，該位址為在成功關聯處由WLAN配置之IP位址。此選擇可由使用者執行或可由MS自動地執行。若干機制可被用於發現PDIF且為依賴於實施的。

訊息交換被用於在MS與PDIF之間建立IPsec隧道。圖4展示此訊息交換。在步驟1中，MS對WLAN存取網路進行驗證並存取網際網路。此可涉及以H－AAA檢查的WLAN以用於授權。

在步驟2中，MS自該存取網路獲得一IP位址。MS亦發現預設路由器及DNS伺服器位址。

在步驟3中，MS開始與PDIF之IKEv2交換。經發送於此交換中的第一訊息集合為指定為IKE_SA_INIT的初始交換。

在步驟4中，MS起始與PDIF的IKE_AUTH交換。此等訊息經加密且以在IKE_SA_INIT交換期間建立的密鑰而完整地保護。

在步驟5中，MS藉由設定IKE_AUTH請求中之CONFIGURATION有效負載來請求一隧道內部IP位址(TIA)。MS包括其在有效負載中之網路存取識別碼(NAI)。若MS想要使用擴展驗證協定(EAP)，則其在IKE_AUTH訊息中不包括授權(AUTH)有效負載。

在步驟6中，PDIF接收無AUTH有效負載之IKE_AUTH請求，其聯繫H－AAA以藉由在RADIUS存取－請求訊息或Diameter－EAP－請求(DER)命令中發送EAP－回應/識別碼訊息而請求服務授權及使用者驗證資訊。

在步驟7中，EAP訊息經交換於MS與H－AAA之間。H－AAA在RADIUS存取－查問或Diameter－EAP－回答(DEA)命令中發送EAP請求訊息至PDIF。PDIF發送包括EAP請求訊息之IKE_AUTH答覆訊息至MS。

在步驟8中，MS以包括EAP回應訊息之IKE_AUTH請求訊息來回應。PDIF在RADIUS存取－請求訊息中或在Diameter－EAP－請求命令中發送EAP回應訊息至H－AAA。步驟7及8可多次發生。

若驗證成功，則在步驟9中，H－AAA在RADIUS存取－接受訊息中或在具有指示成功驗證之程式碼的DEA命令中發送EAPSuccess。

在步驟10中，在接收到RADIUS存取－接受訊息或具有指示成功驗證之結果程式碼的DEA命令後，PDIF即發送包括EAP成功的IKE_AUTH回應訊息。若PDIF接收RADIUS－拒絕訊息或具有指示授權失敗之結果程式碼的DEA命令，則PDIF拒絕建立朝向MS的隧道並發送一具有經設定為"AUTHENTICATION FAILED"之通報有效負載的IKE_AUTH回應訊息。

在步驟11中，MS接著發送IKE_AUTH請求訊息，包括自在成功EAP驗證後即產生之主會話密鑰(MSK)計算出的AUTH有效負載。

在步驟12中，PDIF以包括一經指派TIA、AUTH有效負載及安全授權的IKE_AUTH回應訊息來答覆。PDIF使用MSK以計算AUTH有效負載。在如上之步驟9中，PDIF自H－AAA獲得MSK。

在步驟13中，在完成IKE_AUTH交換時，在MS與PDIF之間建立一IPsec隧道。

圖4B說明在普通隧道建立流程中的步驟。此可經利用於建立如下進一步論述的多個隧道時。

有可能建立至同一PDIF的多個隧道。一旦IKE安全關聯(SA)經驗證，則可在IKE SA內協商一個以上子SA。如上所述，由於CREATE_CHILD_SA被保護且使用密碼演算法及經協商於IKE交換之前兩個訊息中的密鑰，故已知交換。結果，在MS與PDIF之間的額外CHILD_SA之建立未觸發進一步的對H－AAA之驗證訊息傳遞。

MS可能欲同時具有對同一PDIF之IPv4及IPv6存取。雖然IKEv2標準在相同的或獨立的IPsec隧道中允許此同時存取，但是授權未經定址且PDIF需要知道請求雙堆疊授權之MS是否對於IPv4及IPv6經授權。

在已知請求MS是否對於IPv4及/或IPv6經授權的情況下，第一實施例解決PDIF之問題。在如上所述之IPsec隧道建立期間，若EAP授權成功，則H－AAA傳回在RADIUS存取－接受訊息中之IP版本授權VSA以指示IPv4及/或IPv6是否經授權。若在RADIUS存取－接受訊息中不存在IP版本授權VSA，則PDIF應應用其用於雙堆疊操作之授權的區域政策。圖5展示IP版本授權RADIUS VSA的結構。

在MS欲同時使用IPv4及IPv6且其經授權使用兩者時，使用另一實施例。圖6說明此實施例之方法。該方法600開始於在步驟602中MS請求IPv4－IPv6雙堆疊操作時。此請求為經由PDIF發送至AAA伺服器之訊息的形式。在步驟604中，AAA伺服器判定MS是否經授權以使用IPv4及IPv6兩者。在步驟606中，AAA伺服器通知PDIF請求MS經授權使用IPv4及IPv6兩者。在步驟608中，PDIF通知MS對於IPv4－IPv6雙堆疊操作之請求經授權。在步驟610中，MS及PDIF在用於IPv4及IPv6之同一IKE_SA下建立獨立的CHILD_SA。若MS未對於IPv4及IPv6兩者經授權，則AAA伺服器在步驟612中通知PDIF。依次，在步驟614中，PDIF通知MS該未授權且亦通知MS哪一IP版本未經授權。

在MS需要同時使用IPv4及IPv6兩者但僅可對於IPv4經授權時，使用又一實施例。圖7說明此實施例的操作方法。該方法700以MS請求IPv4－IPv6雙堆疊操作之步驟702開始。在步驟704中，AAA伺服器檢查以查看MS是否已對於IPv4及Pv6兩者經授權。若MS已對於IPv4及Pv6兩者經授權，則該方法返回至圖6方法的步驟606。若MS僅對於IPv4經授權，則AAA伺服器通知PDIF該 MS僅對於IPv4經授權。在步驟710中，PDIF發送一通報有效負載，該通報有效負載具有經設定為指示僅IPv4經授權之特定訊息類型的通報訊息類型。若無線通信系統使用3GPP2標準來操作，則訊息類型在IKE_AUTH回應訊息中經設定為8193。其他操作系統可使用不同訊息類型，但不影響此實施例之操作。在此情況下，在步驟712中僅建立用於IPv4的IPsec隧道。為了防止MS與網路建立IPv6會話，MS在CFG請求有效負載中設定IINTERNAL _IP6_ADDRESS屬性t 0：：0。PDIF在CFG答覆有效負載中將INTERNAL_IP6_ADDRESS屬性長度設定為零。PDIF可藉由發送一具有指示錯誤之特定訊息的通報有效負載來通報MS該MS未對於IPv6存取經授權。若MS試圖自PDIF獲得一IPv6前置項，則PDIF丟棄該訊息而不通報MS。

圖8說明一在MS需要利用IPv4及IPv6雙堆疊操作但是僅對於IPv6經授權時使用之實施例。方法800以MS請求IPv4及IPv6雙堆疊操作的步驟802開始。在步驟804中，AAA伺服器檢查以查看MS是否已對於IPv4及IPv6經授權。若MS已對於IPv4及IPv6兩者經授權，則該方法返回至圖6之步驟606。若MS未對於IPv4及IPv6經授權且僅對於IPv6經授權，則在步驟808中AAA伺服器通知PDIF該MS僅對於IPv6經授權。在步驟810中，PDIF發送通報有效負載訊息，該通報有效負載訊息具有經設定為指示在IKE_AUTH回應訊息中MS僅對於IPv6經授權之特定訊息類型的通報訊息類型。若無線通信系統使用3GPP2標準來操作，則訊息類型設定為8194。在步驟812中，建立用於IPv6之IPsec隧道。藉由使MS在CFG請求有效負載中將INTERNAL_IP4_ADDRESS屬性設定為0.0.0.0來防止MS與網路建立一內部IPv4會話。同樣，PDIF在CFG答覆有效負載中將INTERNAL_IP4_ADDRESS屬性長度設定為零。PDIF可藉由發送一具有一特定訊息類型之通報有效負載來通報MS該MS未對於IPv4存取經授權。若MS試圖自PDIF獲得IPv4前置項，則PDIF丟棄該訊息而不通報MS。

在其他實施例中，熟習此項技術者應瞭解，可藉由執行一具體化於一電腦可讀媒體(諸如一電腦平台之記憶體)上的程式來實施前述方法。指令可常駐於各種類型之信號承載或資料儲存一級、二級或三級媒體中。該媒體可包含(例如)可由用戶端設備及/或伺服器存取或常駐於用戶端設備及/或伺服器內的RAM。不論是含於RAM、磁碟還是其他二級儲存媒體中，指令可被儲存於多種機器可讀資料儲存媒體上，諸如DASD儲存器(例如，習知"硬碟機"或RAID陣列)、磁帶、電子唯讀記憶體(例如，ROM或EEPROM)、快閃記憶卡、光學儲存設備(例如，CD－ROM、WORM、DVD、數位光學帶)、紙質"打孔"卡或其他適當資料儲存媒體(包括數位及類比傳輸媒體)。

雖然前文之揭示內容展示本發明之說明性實施例，但應注意，在不脫離如由附加申請專利範圍所界定之本發明之範疇的情況下，可在本文中進行各種改變及修正。不需要以任何特定次序來執行根據本文所述之本發明的實施例之方法請求項的活動性或步驟。此外，雖然可以單數形式描述或主張本發明之元件，但除非明確規定限於單數形式，否則亦可涵蓋複數形式。

因此展示且描述了本發明之較佳實施例。然而，一般熟習此項技術者將易於瞭解，在不脫離本發明之精神或範疇的情況下，可對所揭示之本文實施例進行眾多更改。因此，本發明僅根據以下申請專利範圍而受限制。

100．．．架構

102．．．行動台(MS)

104．．．WLAN系統

106．．．存取點(AP)

108．．．存取路由器(AR)

110．．．3G本籍網路

112．．．H－AAA設備

114．．．PDIF

116．．．服務

圖1為根據本發明之一實施例展示用於支援雙堆疊操作之互通授權之互通架構的方塊圖。

圖2根據本發明之一實施例展示CREATE_CHILD_SA請求之內容。

圖3根據本發明之一實施例展示CREATE_CHILD_SA回應之內容。

圖4A根據本發明之一實施例展示IPsec隧道建立。

圖4B根據本發明之一實施例展示隧道建立流程。

圖5根據本發明之一實施例展示IP版本授權之RADIUS VSA的結構。

圖6根據本發明之一實施例說明經授權IPv4－IPv6雙堆疊操作之流程圖。

圖7根據本發明之一實施例說明在僅授權IPv4時之操作的流程圖。

圖8根據本發明之一實施例說明在僅授權IPv6時之操作的流程圖。