專利名稱:使用分層證書的基于中介器的交互工作的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及交互工作���,具體涉及使用分層證書的、基于中介器的交互工作的驗(yàn)證��、授權(quán)和賬戶管理(AAA)�。
背景技術(shù):
通常,需要驗(yàn)證��、授權(quán)和賬戶管理(AAA)來訪問和利用網(wǎng)絡(luò)���,諸如蜂窩網(wǎng)絡(luò)和無線局域網(wǎng)(WLAN)���。在其中移動(dòng)終端具有多重網(wǎng)絡(luò)接入機(jī)構(gòu)的環(huán)境中,在這些網(wǎng)絡(luò)之中提供AAA交互工作很重要�。但是,一般是這樣的情況所涉及的網(wǎng)絡(luò)不屬于同一個(gè)管理域��,并且不共享相同的AAA方案��。而且,蜂窩操作員難于與每個(gè)無線LAN操作員建立合同關(guān)系����,反之亦然�。而且�����,已經(jīng)對(duì)于交互工作簽約的移動(dòng)用戶應(yīng)當(dāng)不知道在交互工作中涉及的任何第三方,即他們僅僅需要保持單個(gè)賬戶���,即��,它們自己的蜂窩賬戶��。
在蜂窩網(wǎng)絡(luò)和WLAN之間存在兩種主要類型的交互工作緊密耦合和松散耦合�。在松散耦合的情況下��,WLAN和蜂窩網(wǎng)絡(luò)具有獨(dú)立的數(shù)據(jù)路徑�����,但WLAN用戶的AAA依靠蜂窩網(wǎng)絡(luò)AAA功能����。然而,蜂窩網(wǎng)絡(luò)AAA協(xié)議(MAP/SS7)與由WLAN用戶使用的基于因特網(wǎng)協(xié)議(IP)的協(xié)議不兼容��。
為了解決不屬于同一管理域并且不共享相同的AAA方案的網(wǎng)絡(luò)的問題��,已提出了特殊的交互工作功能或網(wǎng)關(guān)來在蜂窩網(wǎng)絡(luò)和WLAN AAA方案之間搭橋��。這些特殊功能中的某些需要適應(yīng)蜂窩網(wǎng)絡(luò)原籍位置登記器(HomeLocation Register��,HLR)����;但是,由于許多原因這不是所期望的�,尤其是從蜂窩操作員的角度來看。
針對(duì)在每個(gè)WLAN和蜂窩網(wǎng)絡(luò)操作員之間建立合同的問題的傳統(tǒng)的中介器模型都要求中介器部署在實(shí)時(shí)移動(dòng)用戶驗(yàn)證中涉及的AAA引擎�;這容易地建立了單個(gè)失敗點(diǎn)。這些中介器模型的某些還要求移動(dòng)用戶使用中介器來建立獨(dú)立的賬戶����;這對(duì)于用戶很不方便。
因此���,具有克服現(xiàn)有技術(shù)的交互工作AAA方案的上述問題的交互工作AAA方案是所需的和非常有益的���。
發(fā)明內(nèi)容
通過本發(fā)明���、即�,使用分層證書的基于中介器的交互工作的驗(yàn)證、授權(quán)和賬戶管理(AAA)來解決現(xiàn)有技術(shù)的上述問題以及其它相關(guān)聯(lián)的問題��。
本發(fā)明特別有益于����、但是不限于在蜂窩數(shù)據(jù)網(wǎng)絡(luò)和WLAN交互工作中的松散耦合情況。通過部署中介器����,蜂窩操作員不必建立與每個(gè)無線LAN操作員的合同關(guān)系來進(jìn)行交互工作。因此它比現(xiàn)有技術(shù)的手段更為可升級(jí)����。而且,通過使用分層證書�,中介器不必保留任何移動(dòng)用戶信息。移動(dòng)用戶可以僅僅使用它們的蜂窩賬戶來獲得對(duì)于與它們的蜂窩操作員具有合同的無線LAN的接入����。
按照本發(fā)明的一個(gè)方面�,提供了一種用于在至少兩個(gè)網(wǎng)絡(luò)之間的交互工作中的驗(yàn)證��、授權(quán)和賬戶管理(AAA)的方法��。所述至少兩個(gè)網(wǎng)絡(luò)能夠與中介器通信��,并且包括第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)��。第二網(wǎng)絡(luò)從中介器接收中介器公共密鑰��,并且從與第一網(wǎng)絡(luò)的用戶對(duì)應(yīng)的用戶設(shè)備接收對(duì)于用戶的第一網(wǎng)絡(luò)證書�。所述對(duì)于用戶的第一網(wǎng)絡(luò)證書通過第一網(wǎng)絡(luò)私有密鑰被簽字,并且包括對(duì)于第一網(wǎng)絡(luò)的中介器證書和用戶公共密鑰�。對(duì)于第一網(wǎng)絡(luò)的中介器證書通過中介器私有密鑰被簽字,并且包括第一網(wǎng)絡(luò)公共密鑰��。當(dāng)?shù)诙W(wǎng)絡(luò)分別根據(jù)中介器公共密鑰和第一網(wǎng)絡(luò)公共密鑰將對(duì)于第一網(wǎng)絡(luò)的中介器證書和對(duì)于用戶的第一網(wǎng)絡(luò)證書確定為可信時(shí)��,從第二網(wǎng)絡(luò)向用戶設(shè)備發(fā)送會(huì)話密鑰�。使用所述用戶公共密鑰來加密所述會(huì)話密鑰。所述會(huì)話密鑰用于使得用戶設(shè)備可以訪問第二網(wǎng)絡(luò)��。
通過參照附圖下面詳細(xì)說明優(yōu)選實(shí)施例��,本發(fā)明這些和其他方面、特征和優(yōu)點(diǎn)將會(huì)變得清楚���。
圖1是圖解按照本發(fā)明的說明性實(shí)施例的����、可以應(yīng)用本發(fā)明的計(jì)算機(jī)系統(tǒng)100的方框圖�����;圖2是圖解按照本發(fā)明的說明性實(shí)施例的����、可以應(yīng)用本發(fā)明的通信結(jié)構(gòu)的方框圖���;
圖3是圖解按照本發(fā)明的說明性實(shí)施例的�����、用于在接入網(wǎng)絡(luò)之間的松散耦合交互工作中的移動(dòng)用戶的驗(yàn)證����、授權(quán)和賬戶管理(AAA)的基于中介器的方法的流程圖�����;圖4是圖解按照本發(fā)明的說明性實(shí)施例的、用于在接入網(wǎng)絡(luò)之間的松散耦合交互工作中的移動(dòng)用戶的驗(yàn)證����、授權(quán)和賬戶管理(AAA)的基于證書的方法的流程圖。
具體實(shí)施例方式
本發(fā)明涉及使用分層證書的�、基于中介器的交互工作的驗(yàn)證、授權(quán)和賬戶管理(AAA)�。應(yīng)當(dāng)明白,本發(fā)明適用于接入網(wǎng)絡(luò)的任何組合���。但是�,本發(fā)明尤其適用于蜂窩網(wǎng)絡(luò)和無線局域網(wǎng)(WLAN)交互工作����。
應(yīng)當(dāng)明白,本發(fā)明可以以各種形式的硬件����、軟件、固件�、專用處理器或其組合來被實(shí)現(xiàn)。優(yōu)選的是��,本發(fā)明被實(shí)現(xiàn)為硬件和軟件的組合。而且���,所述軟件優(yōu)選地被實(shí)現(xiàn)為在程序存儲(chǔ)器上明顯地包含的應(yīng)用程序���。所述應(yīng)用程序可以被上載到包括任何適當(dāng)?shù)募軜?gòu)的機(jī)器并且被其執(zhí)行。優(yōu)選的是�����,所述機(jī)器被實(shí)現(xiàn)在具有硬件的計(jì)算機(jī)平臺(tái)上��,所述硬件是諸如一個(gè)或多個(gè)中央處理單元(CPU)����、隨機(jī)存取存儲(chǔ)器(RAM)和輸入/輸出接口��。所述計(jì)算機(jī)平臺(tái)也包括操作系統(tǒng)和微指令代碼����。在此所述的各種處理和功能可以是經(jīng)由操作系統(tǒng)執(zhí)行的所述微指令代碼的一部分或應(yīng)用程序的一部分(或其組合)。另外��,各種其他的外圍設(shè)備可以連接到計(jì)算機(jī)平臺(tái)�����,諸如附加的數(shù)據(jù)存儲(chǔ)器和打印設(shè)備。
還可以明白�����,因?yàn)樵诟綀D中所述的組成系統(tǒng)部件和方法步驟的一些最好以軟件來實(shí)現(xiàn)�,因此在系統(tǒng)部件(或處理步驟)之間的實(shí)際連接可能依賴于本發(fā)明被編程的方式而不同。在提供在此的講授的情況下�����,本領(lǐng)域的普通技術(shù)人員能夠考慮到本發(fā)明的這些和類似的實(shí)現(xiàn)方式或配置�����。
圖1是圖解按照本發(fā)明的說明性實(shí)施例的��、可以應(yīng)用本發(fā)明的計(jì)算機(jī)系統(tǒng)100的方框圖�����。通過包括在本領(lǐng)域內(nèi)公知的必要通信接口元件和處理元件����,計(jì)算機(jī)系統(tǒng)100可以被實(shí)現(xiàn)在例如用于接入無線LAN或蜂窩網(wǎng)絡(luò)的移動(dòng)設(shè)備中或用于實(shí)現(xiàn)無線LAN的接入點(diǎn)中����。在移動(dòng)用戶設(shè)備的情況下����,計(jì)算機(jī)系統(tǒng)100將包括例如用于與所需要的無線接入網(wǎng)絡(luò)通信的必要無線接口,以及用于編碼和解碼按照可適用的標(biāo)準(zhǔn)的消息的處理元件����。計(jì)算機(jī)處理系統(tǒng)100包括至少一個(gè)處理器(CPU)102,用于經(jīng)由系統(tǒng)總線104工作地耦接到其他部件����。只讀存儲(chǔ)器(ROM)106、隨機(jī)存取存儲(chǔ)器(RAM)108��、顯示器適配器110��、輸入/輸出適配器112��、用戶界面適配器114���、聲音適配器199和網(wǎng)絡(luò)適配器198工作地耦接到系統(tǒng)總線104。
顯示器116通過顯示器適配器110工作地耦接到系統(tǒng)總線104����。盤存儲(chǔ)器(例如磁盤或光盤存儲(chǔ)器)118通過輸入/輸出適配器112工作地耦接到系統(tǒng)總線104����。鼠標(biāo)120和鍵盤122通過用戶界面適配器114工作地耦接到系統(tǒng)總線104���。鼠標(biāo)120和鍵盤122用于向系統(tǒng)100輸入信息和從系統(tǒng)100輸出信息���。
至少一個(gè)揚(yáng)聲器(以下稱為“揚(yáng)聲器”)197通過聲音適配器199工作地耦接到系統(tǒng)總線104。
(數(shù)字和/或模擬)調(diào)制解調(diào)器196通過網(wǎng)絡(luò)適配器198工作地連接到系統(tǒng)總線104��。
本發(fā)明提供其中使用中介器的AAA手段�。中介器用作證書權(quán)力機(jī)構(gòu)而不是實(shí)時(shí)驗(yàn)證引擎。因此�,中介器不再是單個(gè)的故障點(diǎn)。中介器向無線網(wǎng)絡(luò)發(fā)出證書�����,無線網(wǎng)絡(luò)繼而向預(yù)訂交互工作服務(wù)的獨(dú)立移動(dòng)用戶發(fā)出它們自己的證書���。
圖2是圖解按照本發(fā)明的說明性實(shí)施例的�����、可以被應(yīng)用本發(fā)明的通信結(jié)構(gòu)的方框圖���。在圖2的說明性實(shí)施例中�,所述通信結(jié)構(gòu)包括蜂窩網(wǎng)絡(luò)210����、無線局域網(wǎng)(WLAN)220、中介器230和移動(dòng)用戶240���。本發(fā)明提供基于證書的方案以向WLAN用戶提供AAA服務(wù)���。如上所述,本發(fā)明可以被應(yīng)用到網(wǎng)絡(luò)的任何組合�����,所述網(wǎng)絡(luò)包括不同數(shù)量和不同類型的網(wǎng)絡(luò)�����。
圖3是圖解按照本發(fā)明的說明性實(shí)施例的��、用于在接入網(wǎng)絡(luò)之間的松散耦合交互工作中的移動(dòng)用戶的驗(yàn)證�、授權(quán)和賬戶管理(AAA)的基于中介器的方法的流程圖。所述接入網(wǎng)絡(luò)包括蜂窩網(wǎng)絡(luò)和無線局域網(wǎng)(WLAN)�。蜂窩網(wǎng)絡(luò)與至少一個(gè)移動(dòng)用戶相關(guān)聯(lián)。應(yīng)當(dāng)明白���,雖然參照蜂窩網(wǎng)絡(luò)和WLAN來說明圖3的說明性實(shí)施例(以及下面圖4的說明性實(shí)施例)����,但是可以在保持本發(fā)明的精神和范圍的情況下按照本發(fā)明容易地使用網(wǎng)絡(luò)的任何組合��,其中包括在前的和其他類型的網(wǎng)絡(luò)以及不同數(shù)量的網(wǎng)絡(luò)(例如��,一個(gè)蜂窩網(wǎng)絡(luò)和三個(gè)WLAN����、兩個(gè)蜂窩網(wǎng)絡(luò)和兩個(gè)WLAN等)。還應(yīng)當(dāng)明白��,在本發(fā)明的優(yōu)選實(shí)施例中�����,可能存在移動(dòng)用戶已經(jīng)初始地與其簽訂合同以用于服務(wù)的單個(gè)蜂窩網(wǎng)絡(luò)和與所述單個(gè)蜂窩網(wǎng)絡(luò)具有交互工作合同的多個(gè)WLAN�?��?梢允褂迷赪LAN和蜂窩網(wǎng)絡(luò)之間的各種公知通信方法來實(shí)現(xiàn)所述交互工作合同。
從中介器向WLAN發(fā)送中介器的公共密鑰Kpub_b�,后者具有與蜂窩網(wǎng)絡(luò)的交互工作合同(步驟305)。在蜂窩網(wǎng)絡(luò)與一個(gè)以上的WLAN具有交互工作合同的情況下����,中介器可以向所有這些WLAN發(fā)送所述公共密鑰Kpub_b。優(yōu)選但不強(qiáng)制的是����,經(jīng)由安全信道來發(fā)送中介器的所述公共密鑰Kpub_b,以便WLAN可以保證所述公共密鑰Kpub_b確實(shí)是所述中介器的公共密鑰����。
對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書被中介器頒發(fā)給蜂窩網(wǎng)絡(luò)(步驟310)。所述對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書包括但是不限于下列蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_b���;和蜂窩網(wǎng)絡(luò)的ID����。使用中介器的私有密鑰Kpri_b來將對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書簽字�。
在移動(dòng)用戶為WLAN交互工作服務(wù)與蜂窩網(wǎng)絡(luò)簽約時(shí),由蜂窩網(wǎng)絡(luò)向移動(dòng)用戶發(fā)出對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書(步驟315)���。所述對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書包括但是不限于下列對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書�;移動(dòng)用戶的公共密鑰Kpub_m���;移動(dòng)用戶預(yù)訂級(jí)別(移動(dòng)用戶是否預(yù)訂WLAN交互工作服務(wù))��;對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書的期滿時(shí)間��。使用蜂窩網(wǎng)絡(luò)的私有密鑰Kpri_cn來將對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書簽字�����。
在移動(dòng)用戶移動(dòng)進(jìn)入WLAN覆蓋的區(qū)域時(shí)��,移動(dòng)用戶向WLAN(例如接入點(diǎn)(AP)或WLAN的其他實(shí)體)發(fā)送他/她的證書(即�����,對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書)(步驟320)�����。WLAN使用(在步驟305被發(fā)送到WLAN的)中介器的公共密鑰Kpub_b確定(在對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書中包括的)對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書是否是可信的(步驟325)�����。如果對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書不是可信的����,則所述方法終止。但是��,如果對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書是可信的�,則WLAN(從在對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書中包括的對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書)提取蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_cn(步驟330)。使用蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_cn�����,WLAN確定對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書是否是可信的(步驟335)���。
如果對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書不是可信的����,則所述方法終止�。但是,如果對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書是可信的����,則WLAN從所述對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書提取移動(dòng)用戶的公共密鑰Kpub_m,并且向使用移動(dòng)用戶的公共密鑰Kpub_m加密的移動(dòng)用戶發(fā)出會(huì)話密鑰(步驟340)�����。所述會(huì)話密鑰可以是但不限于每個(gè)用戶的有線等效私有(WEP)密鑰。
移動(dòng)用戶使用他/她的私有密鑰Kpri_m來解密所述被加密的會(huì)話密鑰(步驟345)�。移動(dòng)用戶和WLAN使用會(huì)話密鑰來通信(即,使用會(huì)話密鑰來加密在移動(dòng)用戶和WLAN之間的所有后續(xù)通信)(步驟350)�。移動(dòng)用戶被WLAN驗(yàn)證�,因?yàn)閮H僅特定的移動(dòng)用戶具有必要的解密所述會(huì)話密鑰的私有密鑰Kpri_m。
圖4是圖解按照本發(fā)明的說明性實(shí)施例的�����、用于在接入網(wǎng)絡(luò)之間的松散耦合交互工作中的移動(dòng)用戶的驗(yàn)證���、授權(quán)和賬戶管理(AAA)的基于證書的方法的流程圖�����。接入網(wǎng)絡(luò)包括蜂窩網(wǎng)絡(luò)和無線局域網(wǎng)(WLAN)���。所述蜂窩網(wǎng)絡(luò)與至少一個(gè)移動(dòng)用戶相關(guān)聯(lián)。圖4的方法允許在移動(dòng)用戶和WLAN之間的相互驗(yàn)證�,以便移動(dòng)用戶也可以驗(yàn)證他/她確實(shí)在與合法的WLAN交談(以防止例如消息被窺探)。
從中介器向WLAN發(fā)送中介器的公共密鑰Kpub_b和對(duì)于WLAN的中介器證書���,后者具有與蜂窩網(wǎng)絡(luò)的交互工作合同(步驟405)���。所述對(duì)于WLAN的中介器證書包括但是不限于下列WLAN的公共密鑰Kpub_w��;WLAN的ID����。使用中介器的私有密鑰Kpri_b來將對(duì)于WLAN的中介器證書簽字���。
在蜂窩網(wǎng)絡(luò)與一個(gè)以上的WLAN具有交互工作合同時(shí)�����,則中介器可以向所有這些WLAN發(fā)送公共密鑰Kpub_b�����。優(yōu)選但是不強(qiáng)制的是���,中介器的公共密鑰Kpub_b經(jīng)由安全信道被發(fā)送,以便WLAN可以保證所述公共密鑰Kpub_b確實(shí)是所述中介器的公共密鑰��。
中介器向蜂窩網(wǎng)絡(luò)頒發(fā)對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書(步驟410)。所述對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書包括但是不限于下列蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_cn��;蜂窩網(wǎng)絡(luò)的ID���;中介器的公共密鑰Kpub_b��。使用中介器的私有密鑰Kpri_b來將對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書簽字�����。
在移動(dòng)用戶為WLAN交互工作服務(wù)與蜂窩網(wǎng)絡(luò)簽約時(shí)����,由蜂窩網(wǎng)絡(luò)向移動(dòng)用戶發(fā)出對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書(步驟415)����。所述對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書包括但是不限于下列對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書����;移動(dòng)用戶的公共密鑰Kpub_m;移動(dòng)用戶預(yù)訂級(jí)別(移動(dòng)用戶是否預(yù)訂WLAN交互工作服務(wù))�����;對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書的期滿時(shí)間���。使用蜂窩網(wǎng)絡(luò)的私有密鑰Kpri_cn來將對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書簽字�。所述中介器的公共密鑰Kpub_b也被發(fā)送到移動(dòng)用戶(步驟417)。
在移動(dòng)用戶移動(dòng)進(jìn)入WLAN覆蓋的區(qū)域時(shí)�,移動(dòng)用戶向WLAN(例如,接入點(diǎn)(AP)或WLAN的其他實(shí)體)發(fā)送他/她的證書(即對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書)(步驟420)���。WLAN使用(在步驟405發(fā)送到WLAN的)中介器的公共密鑰Kpub_b確定(在對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書中包括的)對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書是否是可信的(步驟425)����。如果對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書不是可信的�,則所述方法終止。但是�����,如果對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書是可信的�����,則WLAN(從在對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書中包括的對(duì)于蜂窩網(wǎng)絡(luò)的中介器證書)提取蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_cn(步驟430)�。使用蜂窩網(wǎng)絡(luò)的公共密鑰Kpub_cn,WLAN確定對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書是否是可信的(步驟435)�。
如果對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書不是可信的,則所述方法終止。但是�����,如果對(duì)于移動(dòng)用戶的蜂窩網(wǎng)絡(luò)證書是可信的��,則WLAN提取移動(dòng)用戶的公共密鑰Kpub_m����,并且向使用移動(dòng)用戶的公共密鑰Kpub_m加密并且通過WLAN的私有密鑰Kpri_w簽字的移動(dòng)用戶發(fā)出會(huì)話密鑰,并且也向移動(dòng)用戶發(fā)送通過中介器的私有密鑰Kpri_b簽字的對(duì)于WLAN的中介器證書(步驟440)��。對(duì)于WLAN的中介器證書包括WLAN的公共密鑰Kpub_w����。會(huì)話密鑰可以是但不限于每個(gè)用戶的有線等效私有(WEP)密鑰�。
移動(dòng)用戶使用中介器的公共密鑰Kpub_b來確定對(duì)于WLAN的中介器證書是否是可信的(步驟442)。如果所述對(duì)于WLAN的中介器證書不是可信的�����,則所述方法終止���。但是���,如果對(duì)于WLAN的中介器證書是可信的�����,則移動(dòng)用戶從對(duì)于WLAN的中介器證書獲得WLAN的公共密鑰Kpub_w�。移動(dòng)用戶使用WLAN的公共密鑰Kpub_w來確定會(huì)話密鑰是否是可信的(步驟444)����。如果所述會(huì)話密鑰不是可信的,則所述方法終止����。
但是,如果所述會(huì)話密鑰是可信的����,則移動(dòng)用戶使用他/她的私有密鑰Kpri_m來解密被加密的會(huì)話密鑰(步驟445)。移動(dòng)用戶和WLAN使用會(huì)話密鑰通信(即�����,使用會(huì)話密鑰來加密在移動(dòng)用戶和WLAN之間的所有后續(xù)通信)(步驟450)�����。
雖然在此已經(jīng)參照附圖描述了說明性實(shí)施例,但是應(yīng)當(dāng)明白�����,本發(fā)明不限于那些精確的實(shí)施例����,可以在不脫離本發(fā)明的范圍和精神的情況下由本領(lǐng)域的技術(shù)人員在其中進(jìn)行各種其他改變和修改。所有這樣的改變和修改意欲被包括在由所附的權(quán)利要求所限定的本發(fā)明范圍內(nèi)��。
權(quán)利要求
1.在具有交互工作功能的無線LAN(WLAN)中���,一種用于在WLAN和第二網(wǎng)絡(luò)之間交互工作的方法���,所述WLAN和第二網(wǎng)絡(luò)能夠與中介器實(shí)體通信,所述方法包括下列步驟從中介器接收第一密鑰���;從用戶設(shè)備接收對(duì)于用戶的第二網(wǎng)絡(luò)證書�����,它包括對(duì)于第二網(wǎng)絡(luò)的中介器證書和第二密鑰;使用第一密鑰驗(yàn)證對(duì)于第二網(wǎng)絡(luò)的中介器證書以得到第三密鑰���;使用第三密鑰來驗(yàn)證對(duì)于用戶的第二網(wǎng)絡(luò)證書以得到第二密鑰��;產(chǎn)生會(huì)話密鑰�,使用第二密鑰來加密所述會(huì)話密鑰,并且向用戶設(shè)備發(fā)送被加密的會(huì)話密鑰���;和使用會(huì)話密鑰來與用戶設(shè)備通信���。
2.按照權(quán)利要求1的方法,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括用戶的預(yù)訂級(jí)別��,它指示用戶是否預(yù)訂交互工作服務(wù)����,并且響應(yīng)于預(yù)訂級(jí)別來執(zhí)行產(chǎn)生步驟。
3.按照權(quán)利要求1的方法�����,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括對(duì)于用戶的第二網(wǎng)絡(luò)證書的期滿時(shí)間�����,所述方法還包括步驟查看所述期滿時(shí)間以確定對(duì)于用戶的第二網(wǎng)絡(luò)證書是否已經(jīng)過期���。
4.按照權(quán)利要求1的方法����,還包括步驟產(chǎn)生使用第五密鑰簽字并且包括會(huì)話密鑰的對(duì)于用戶的WLAN證書,由此用戶設(shè)備能夠驗(yàn)證WLAN�。
5.在具有交互工作功能的無線LAN(WLAN)中,一種用于在WLAN和第二網(wǎng)絡(luò)之間交互工作的方法���,所述WLAN和第二網(wǎng)絡(luò)能夠與中介器實(shí)體通信�����,所述方法包括下列步驟從中介器接收中介器公共密鑰���;從用戶設(shè)備接收對(duì)于用戶的第二網(wǎng)絡(luò)證書,它使用第二網(wǎng)絡(luò)私有密鑰被簽字���,并且包括對(duì)于第二網(wǎng)絡(luò)的中介器證書和用戶公共密鑰�����,所述對(duì)于第二網(wǎng)絡(luò)的中介器證書以中介器私有密鑰被簽字���,并且包括第二網(wǎng)絡(luò)公共密鑰;使用中介器公共密鑰來驗(yàn)證對(duì)于第二網(wǎng)絡(luò)的中介器證書��,并且得到第二網(wǎng)絡(luò)公共密鑰�����;使用第二網(wǎng)絡(luò)公共密鑰來驗(yàn)證對(duì)于用戶的第二網(wǎng)絡(luò)證書�����,并且得到用戶公共密鑰��;產(chǎn)生會(huì)話密鑰�����,使用用戶公共密鑰來加密所述會(huì)話密鑰��,并且向用戶設(shè)備發(fā)送被加密的會(huì)話密鑰����;使用會(huì)話密鑰來與用戶設(shè)備通信。
6.按照權(quán)利要求5的方法����,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括用戶的預(yù)訂級(jí)別��,它指示用戶是否預(yù)訂交互工作服務(wù)�����,并且響應(yīng)于預(yù)訂級(jí)別來執(zhí)行產(chǎn)生步驟����。
7.按照權(quán)利要求5的方法��,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括對(duì)于用戶的第二網(wǎng)絡(luò)證書的期滿時(shí)間�����,所述方法還包括步驟查看所述期滿時(shí)間以確定對(duì)于用戶的第二網(wǎng)絡(luò)證書是否已經(jīng)過期�。
8.按照權(quán)利要求5的方法,還包括步驟向用戶設(shè)備提供驗(yàn)證WLAN的能力�。
9.按照權(quán)利要求8的方法,其中提供步驟包括步下列驟接收對(duì)于WLAN的中介器證書���,它以中介器私有密鑰被簽字并且包括WLAN私有密鑰��;產(chǎn)生對(duì)于用戶的WLAN證書����,它以WLAN私有密鑰被簽字,并且包括被加密的會(huì)話密鑰�;向用戶設(shè)備發(fā)送對(duì)于用戶的WLAN證書�。
10.一種使用具有對(duì)第二網(wǎng)絡(luò)的預(yù)訂的用戶設(shè)備與無線LAN(WLAN)通信的方法,所述第二網(wǎng)絡(luò)與所述WLAN具有交互工作合同�,所述WLAN和第二網(wǎng)絡(luò)能夠與中介器實(shí)體通信,所述方法包括下列步驟從第二網(wǎng)絡(luò)接收對(duì)于用戶的第二網(wǎng)絡(luò)證書�,它以第二網(wǎng)絡(luò)私有密鑰被簽字,并且包括對(duì)于網(wǎng)絡(luò)的中介器證書和用戶公共密鑰���;向WLAN發(fā)送對(duì)于用戶設(shè)備的第二網(wǎng)絡(luò)證書��,其中WLAN能夠使用從中介器實(shí)體接收的中介器公共密鑰來得到用戶公共密鑰�;從WLAN接收使用用戶公共密鑰加密的會(huì)話密鑰����;使用用戶私有密鑰來解密所述會(huì)話密鑰;使用會(huì)話密鑰與WLAN通信�。
11.按照權(quán)利要求10的方法,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括用戶的預(yù)訂級(jí)別����,它指示用戶是否預(yù)訂交互工作服務(wù)。
12.按照權(quán)利要求10的方法,其中對(duì)于用戶的第二網(wǎng)絡(luò)證書還包括對(duì)于用戶的第二網(wǎng)絡(luò)證書的期滿時(shí)間�,如果期滿時(shí)間還未過期則執(zhí)行所述發(fā)送步驟。
13.按照權(quán)利要求10的方法���,其中所述接收步驟包括接收以中介器私有密鑰簽字并且包括會(huì)話密鑰的對(duì)于用戶的WLAN證書��,并且還包括步驟從第二網(wǎng)絡(luò)接收中介器公共密鑰����,并且使用中介器公共密鑰來驗(yàn)證對(duì)于用戶的WLAN證書和得到會(huì)話密鑰��。
14.一種基于中介器的系統(tǒng)��,用于驗(yàn)證在具有交互工作關(guān)系的網(wǎng)絡(luò)中的用戶�����,包括具有交互工作功能的無線LAN(WLAN)��;第二網(wǎng)絡(luò)��;和中介器實(shí)體����,它能夠與WLAN和第二網(wǎng)絡(luò)通信���,所述中介器具有用于向WLAN發(fā)送中介器公共密鑰的部件和用于向第二網(wǎng)絡(luò)發(fā)送對(duì)于第二網(wǎng)絡(luò)的中介器證書的部件,所述對(duì)于第二網(wǎng)絡(luò)的中介器證書以中介器私有密鑰被簽字����,并且包括第二網(wǎng)絡(luò)公共密鑰,所述第二網(wǎng)絡(luò)包括用于向用戶設(shè)備發(fā)送對(duì)于用戶的第二網(wǎng)絡(luò)證書的部件�����,所述對(duì)于用戶的第二網(wǎng)絡(luò)證書以第二網(wǎng)絡(luò)私有密鑰被簽字�����,并且包括對(duì)于第二網(wǎng)絡(luò)的中介器證書和用戶公共密鑰��,所述WLAN包括用于驗(yàn)證對(duì)于第二網(wǎng)絡(luò)的中介器證書和得到第二網(wǎng)絡(luò)公共密鑰的部件�����、用于驗(yàn)證對(duì)于用戶的第二網(wǎng)絡(luò)證書和得到用戶公共密鑰的部件和用于產(chǎn)生會(huì)話密鑰和使用用戶公共密鑰來加密會(huì)話密鑰的部件����。
15.按照權(quán)利要求14的方法��,其中WLAN還包括用于發(fā)送對(duì)于用戶的WLAN證書的部件,所述對(duì)于用戶的WLAN證書以WLAN私有密鑰被簽字����,并且包括加密的會(huì)話密鑰。
全文摘要
一種用于在至少兩個(gè)網(wǎng)絡(luò)(210和220)之間的交互工作中的驗(yàn)證�����、授權(quán)和賬戶管理(AAA)的方法����。所述至少兩個(gè)網(wǎng)絡(luò)能夠與中介器(230)通信,并且包括第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)�。第二網(wǎng)絡(luò)從中介器接收中介器公共密鑰,并且從對(duì)應(yīng)于第一網(wǎng)絡(luò)的用戶的用戶設(shè)備接收對(duì)于用戶的第一網(wǎng)絡(luò)證書���。所述對(duì)于用戶的第一網(wǎng)絡(luò)證書通過第一網(wǎng)絡(luò)私有密鑰被簽字���,并且包括對(duì)于第一網(wǎng)絡(luò)的中介器(230)證書和用戶公共密鑰。對(duì)于第一網(wǎng)絡(luò)的中介器(230)證書通過中介器私有密鑰被簽字���,并且包括第一網(wǎng)絡(luò)(210)公共密鑰�。當(dāng)?shù)诙W(wǎng)絡(luò)(220)分別根據(jù)中介器(230)公共密鑰和第一網(wǎng)絡(luò)(210)公共密鑰將對(duì)于第一網(wǎng)絡(luò)(210)的中介器(230)證書和對(duì)于用戶的第一網(wǎng)絡(luò)(210)證書確定為可信時(shí)�����,從第二網(wǎng)絡(luò)(220)向用戶設(shè)備發(fā)送會(huì)話密鑰。使用所述用戶公共密鑰來加密所述會(huì)話密鑰����。所述會(huì)話密鑰用于使得用戶設(shè)備可以訪問第二網(wǎng)絡(luò)。
文檔編號(hào)H04L9/00GK1659558SQ03812990
公開日2005年8月24日 申請(qǐng)日期2003年5月27日 優(yōu)先權(quán)日2002年6月6日
發(fā)明者張俊彪 申請(qǐng)人:湯姆森特許公司