專利名稱:通信系統(tǒng)的互通功能的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)的互通功能���,尤其涉及通過互通功能進(jìn)行公共認(rèn)證和密鑰交換供無線局域網(wǎng)(WLAN)中使用的機(jī)制�。
背景技術(shù):
無線局域網(wǎng)(WLAN)允許用戶對(duì)互聯(lián)網(wǎng)協(xié)議(IP)服務(wù)和數(shù)據(jù)網(wǎng)絡(luò)的實(shí)質(zhì)上不受限制的接入。WLAN的使用不限于膝上電腦及其它計(jì)算設(shè)備�����,而是快速地?cái)U(kuò)展以包括蜂窩電話��、個(gè)人數(shù)字助理(PDA)以及外部網(wǎng)絡(luò)或載體所支持的其它小型無線設(shè)備��。例如,經(jīng)由蜂窩載波通信的無線設(shè)備會(huì)漫游到網(wǎng)絡(luò)咖啡店或工作室內(nèi)的WLAN����。在該情況下,無線設(shè)備接入蜂窩系統(tǒng)�����,但希望接入WLAN���。WLAN的接入要求認(rèn)證�。因?yàn)闊o線設(shè)備已經(jīng)獲準(zhǔn)接入蜂窩系統(tǒng)��,因此對(duì)進(jìn)一步認(rèn)證的需求便成為冗余�。因此,需要一種互通功能��,它允許一種對(duì)蜂窩系統(tǒng)和對(duì)WLAN的公共認(rèn)證����。
圖1是包括無線局域網(wǎng)(WLAN)的通信系統(tǒng)。
圖2是具有互通功能(IWF)單元的通信系統(tǒng)����。
圖3是通信系統(tǒng)中認(rèn)證過程的定時(shí)圖���。
圖4是認(rèn)證過程的流程圖。
圖5是通信系統(tǒng)中認(rèn)證過程的定時(shí)圖�。
圖6是通信系統(tǒng)中IWF處的認(rèn)證過程的流程圖。
圖7是移動(dòng)站處的認(rèn)證處理的流程圖�����。
具體實(shí)施例方式
這里使用單詞“示例性”意指“充當(dāng)示例��、實(shí)例或說明”��。這里描述為“示例性”的任何實(shí)施例都不必被視為比其它實(shí)施例更為優(yōu)選或有利�。
HDR訂戶站(在此稱為接入終端(AT))可以是移動(dòng)的或固定的,并且與一個(gè)或多個(gè)HDR基站(在此稱為調(diào)制解調(diào)器庫收發(fā)機(jī)(MPT))通信��。接入終端通過一個(gè)或多個(gè)調(diào)制解調(diào)器庫收發(fā)機(jī)向HDR基站控制器發(fā)送數(shù)據(jù)分組或從其接收數(shù)據(jù)分組�����,HDR基站控制器在此稱為調(diào)制解調(diào)器庫控制器(MPC)���。調(diào)制解調(diào)器庫收發(fā)機(jī)和調(diào)制解調(diào)器庫控制器是稱為接入網(wǎng)絡(luò)的網(wǎng)絡(luò)的一部分。接入網(wǎng)絡(luò)在多個(gè)接入終端之間傳輸數(shù)據(jù)分組。接入網(wǎng)絡(luò)還能連到接入網(wǎng)絡(luò)外的其它網(wǎng)絡(luò)�,比如公司內(nèi)聯(lián)網(wǎng)或互聯(lián)網(wǎng),并且可以在每個(gè)接入終端和這種外部網(wǎng)絡(luò)間傳輸數(shù)據(jù)分組�。已經(jīng)與一個(gè)或多個(gè)調(diào)制解調(diào)器庫收發(fā)機(jī)建立活動(dòng)話務(wù)信道連接的接入終端稱為活動(dòng)接入終端,并且被稱為處于話務(wù)狀態(tài)�����。正在與一個(gè)或多個(gè)調(diào)制解調(diào)器庫收發(fā)機(jī)建立活動(dòng)話務(wù)信道連接過程中的接入終端被稱為處于連接設(shè)立狀態(tài)�。接入終端可以是通過無線信道或通過有線信道進(jìn)行通信的任何數(shù)據(jù)設(shè)備,例如通過使用光纖或同軸電纜進(jìn)行通信���。接入終端還可以是多類設(shè)備的任一種���,包括但不限于PC卡、微型閃存�����、外置或內(nèi)置調(diào)制解調(diào)器或者無線或有線電話����。接入終端向調(diào)制解調(diào)器庫收發(fā)機(jī)發(fā)送信號(hào)所通過的通信鏈路稱為反向鏈路。調(diào)制解調(diào)器庫收發(fā)機(jī)向接入終端發(fā)送信號(hào)所通過的通信鏈路稱為前向鏈路��。
圖1中示出無線局域網(wǎng)(WLAN)100有多個(gè)接入點(diǎn)(AP)106、108����、110。AP是為WLAN 100的無線端提供星型拓?fù)淇刂埔约暗接芯€網(wǎng)絡(luò)接入的集線器或網(wǎng)橋�。
每個(gè)AP 106、108����、110以及其它未示出的接入點(diǎn)都支持到數(shù)據(jù)服務(wù)的連接,比如互聯(lián)網(wǎng)���。工作站102���,比如膝上電腦或其它數(shù)字計(jì)算設(shè)備經(jīng)由空中接口與AP通信,從而稱為無線LAN���。然后��,AP與認(rèn)證服務(wù)器(AS)或認(rèn)證中心(AC)通信�����。AC是為請(qǐng)求到網(wǎng)絡(luò)的許可的設(shè)備執(zhí)行認(rèn)證服務(wù)的組件。實(shí)施方式包括遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS),它是在RFC 2138中描述的互聯(lián)網(wǎng)用戶認(rèn)證���,C.Rigney等人所著的“Remote Authentication Dial In User Service(RADIUS)”��,于1997年4月出版�,還包括其它認(rèn)證��、授權(quán)和核算(AAA)服務(wù)器���。
無線聯(lián)網(wǎng)成為網(wǎng)際互通的一個(gè)重要方面�����。它表示基于無線網(wǎng)絡(luò)的唯一邊界是無線信號(hào)強(qiáng)度這一事實(shí)的一組唯一問題�����。沒有線路能定義網(wǎng)絡(luò)中的成員組成����。沒有物理方法能把無線范圍內(nèi)的系統(tǒng)限制為無線網(wǎng)絡(luò)的成員���。無線聯(lián)網(wǎng)比任何其它連網(wǎng)技術(shù)都需要認(rèn)證和接入控制機(jī)制?,F(xiàn)在各個(gè)組織正在開發(fā)一種標(biāo)準(zhǔn)的認(rèn)證機(jī)制���。目前所接受的標(biāo)準(zhǔn)是IEEE 802.11。
基于RF的網(wǎng)絡(luò)的性質(zhì)使其對(duì)于發(fā)射機(jī)范圍內(nèi)的任何無線電的分組攔截都是開放式的���。通過使用高增益天線���,攔截會(huì)出現(xiàn)在遠(yuǎn)離用戶的“工作”范圍外的地方�����。根據(jù)容易可用的工具,竊聽者不限于僅僅采集分組以供后來分析��,而能實(shí)際看到交互的會(huì)話,就像有效的無線用戶所能查看的Web網(wǎng)頁�����。竊聽者會(huì)捕獲弱的認(rèn)證交換,比如一些網(wǎng)站登錄����。盜取者會(huì)稍后復(fù)制所述登錄并獲得接入。
一旦攻擊者獲得了WLAN控制許可的知識(shí)�,他就可能或者自己獲得到網(wǎng)絡(luò)的許可、或者偷取有效用戶的接入�����。如果攻擊者能模仿有效用戶的MAC地址并且使用其分配到的IP地址��,那么盜取用戶的接入就很簡單�。攻擊者等待直到有效的系統(tǒng)停止使用網(wǎng)絡(luò)為止,然后接管它在網(wǎng)絡(luò)中的位置�。這會(huì)允許攻擊者指引到網(wǎng)絡(luò)內(nèi)所有設(shè)備的接入,或者使用網(wǎng)絡(luò)來獲取對(duì)較寬范圍的互聯(lián)網(wǎng)的接入,同時(shí)看上去是被攻擊網(wǎng)絡(luò)的有效用戶���。因此,認(rèn)證和加密成為實(shí)現(xiàn)WLAN的關(guān)鍵問題。
認(rèn)證是確認(rèn)通信中的個(gè)人或應(yīng)用的身份的過程�����。這種認(rèn)證使服務(wù)提供商能把實(shí)體確認(rèn)為有效的用戶�����,還能對(duì)于所請(qǐng)求的特定服務(wù)而認(rèn)證該用戶�����。認(rèn)證和授權(quán)實(shí)際上有很具體的意義����,然而這兩個(gè)名稱通?���?山粨Q使用����,實(shí)踐中不會(huì)清晰分別。
認(rèn)證是用戶對(duì)身份建立權(quán)利的過程���,所述權(quán)利實(shí)質(zhì)上是使用名稱的權(quán)利�。有大量技術(shù)可用來認(rèn)證用戶——密碼��、生物測(cè)定技術(shù)�����、智能卡�����、證書����。
名稱或身份具有與其相關(guān)聯(lián)的屬性��。屬性可以緊密綁定于一名稱(例如在證書有效負(fù)載內(nèi))�����,或它們可能在與該名稱對(duì)應(yīng)的密鑰下被存儲(chǔ)在目錄或其它數(shù)據(jù)庫內(nèi)�。屬性可隨時(shí)間而改變����。
授權(quán)是確定是否允許一身份(假設(shè)一組與該身份相關(guān)聯(lián)的屬性)來執(zhí)行某些行為的過程,所述行為比如接入一資源����。注意到執(zhí)行行為的許可不能確保可以執(zhí)行該行為���。注意到認(rèn)證和授權(quán)決定可由不同的實(shí)體在不同的點(diǎn)上作出。
在蜂窩網(wǎng)絡(luò)中�,認(rèn)證特性是—網(wǎng)絡(luò)能力,其允許蜂窩網(wǎng)絡(luò)確認(rèn)無線設(shè)備的身份����,從而減少蜂窩網(wǎng)絡(luò)未經(jīng)授權(quán)的使用。該過程對(duì)于訂戶是透明的��。不要求用戶在他們進(jìn)行呼叫時(shí)做任何事以認(rèn)證其電話的身份。
認(rèn)證一般包括加密方案�,其中服務(wù)提供商和用戶有一些共享的信息和一些專用的信息。共享信息一般稱為“共享秘密”�。
A-密鑰認(rèn)證密鑰(A-密鑰)是對(duì)于每個(gè)單獨(dú)的蜂窩電話唯一的秘密值。它向蜂窩服務(wù)提供商注冊(cè)并且被保存在電話和認(rèn)證中心(AC)中����。A-密鑰被制造商編程到電話中。它也可由用戶從無線設(shè)備菜單手動(dòng)輸入��,或在售出點(diǎn)用特殊終端由用戶手動(dòng)輸入�。
無線設(shè)備和AC必須有相同的A-密鑰來產(chǎn)生相同的計(jì)算。A-密鑰的主要功能是被用作計(jì)算共享秘密數(shù)據(jù)(SSD)的參數(shù)�。
共享秘密數(shù)據(jù)(SSD)
SSD被用作無線設(shè)備和AC中認(rèn)證計(jì)算的輸入,并且被保存在以上兩個(gè)位置中���。不像A-密鑰那樣���,SSD可以經(jīng)過網(wǎng)絡(luò)而修改。AC和無線設(shè)備共享計(jì)算SSD的三個(gè)元件1)電子序列號(hào)(ESN)�;2)認(rèn)證密鑰(A-密鑰);以及3)共享秘密數(shù)據(jù)的隨機(jī)數(shù)(RANDSSD)計(jì)算��。
ESN和RANDSSD通過網(wǎng)絡(luò)和空中接口被發(fā)送���。SSD在設(shè)備作出其第一次系統(tǒng)接入時(shí)被更新�����,此后被周期性更新���。在計(jì)算SSD時(shí)��,結(jié)果是兩個(gè)分開的值SSD-A和SSD-B����。SSD-A用于認(rèn)證�。SSD-B用于加密和話音保密。
根據(jù)提供服務(wù)的系統(tǒng)的能力�,SSD可以在AC和服務(wù)移動(dòng)交換中心(MSC)之間共享或不共享。如果秘密數(shù)據(jù)是共享的���,則意味著AC會(huì)將其發(fā)送到服務(wù)MSC���,服務(wù)MSC必須能執(zhí)行CAVE�。如果它不是共享的,則AC會(huì)保留數(shù)據(jù)并執(zhí)行認(rèn)證���。
共享類型影響到怎樣實(shí)施認(rèn)證詢問�。認(rèn)證詢問是為了詢問無線設(shè)備的身份而發(fā)送的消息?�;旧?���,認(rèn)證詢問發(fā)送一些信息供用戶處理,所述信息一般是隨機(jī)數(shù)數(shù)據(jù)�。然后,用戶處理信息并發(fā)送一響應(yīng)����。該響應(yīng)為了確認(rèn)用戶而被分析。如果有共享的秘密數(shù)據(jù)����,則在服務(wù)MSC處處理詢問。如果有非共享數(shù)據(jù)��,則由AC處理詢問����。通過共享秘密數(shù)據(jù),系統(tǒng)可使所發(fā)送的話務(wù)量最小����。并能使詢問在服務(wù)交換機(jī)處發(fā)生得更快�����。
認(rèn)證過程在給定的系統(tǒng)中��,本地位置寄存器(HLR)通過充當(dāng)MSC和AC間的中介物來控制認(rèn)證過程�����。設(shè)立服務(wù)MSC以支持與移動(dòng)站的HLR的認(rèn)證��,反之亦然��。
通過通知服務(wù)MSC它是否能進(jìn)行認(rèn)證�����、通過在開銷消息序列中設(shè)置一授權(quán)字段��,設(shè)備開始該過程����。響應(yīng)于此,服務(wù)MSC開始用認(rèn)證請(qǐng)求進(jìn)行注冊(cè)/認(rèn)證過程���。
通過發(fā)送認(rèn)證請(qǐng)求,服務(wù)MSC告知HLR/AC它是否能進(jìn)行CAVE計(jì)算��。AC控制在那些可用的服務(wù)MSC和設(shè)備能力中使用哪些服務(wù)MSC以及哪些設(shè)備能力����。當(dāng)服務(wù)MSC不具有CAVE能力時(shí),SSD不能在AC和MSC之間共享�,因此所有認(rèn)證過程都在AC中執(zhí)行。
認(rèn)證請(qǐng)求(AUTHREQ)的目的是認(rèn)證電話并請(qǐng)求SSD�。AUTHREQ包含兩個(gè)用于認(rèn)證的參數(shù),AUTHR和RAND參數(shù)�����。當(dāng)AC獲取AUTHREQ時(shí)�,它使用RAND和最后知道的SSD來計(jì)算AUTHR。如果它與AUTHREQ中發(fā)送的AUTHR匹配�����,則認(rèn)證成功����。如果SSD能被共享�����,AUTHREQ的返回結(jié)果會(huì)包含SSD�����。
詢問認(rèn)證過程由詢問和響應(yīng)對(duì)話組成���。如果SSD是共享的,則該對(duì)話在MSC和設(shè)備間運(yùn)行���。如果SSD不是共享的���,則該對(duì)話在HLR/AC和設(shè)備間運(yùn)行。根據(jù)交換機(jī)類型��,MSC能進(jìn)行或是唯一詢問(Unique Challenge)或全局詢問(Global Challenge)或兩者��。一些MSC目前不能進(jìn)行全局詢問�����。唯一詢問是僅出現(xiàn)在呼叫嘗試期間的詢問,因?yàn)樗褂谜Z音信道�����。唯一詢問在呼叫始發(fā)和呼叫傳送期間向單個(gè)設(shè)備作出認(rèn)證���。全局詢問是出現(xiàn)在注冊(cè)、呼叫始發(fā)和呼叫傳送期間的詢問����。全局詢問向正在使用特定無線電控制信道的所有MS作出認(rèn)證詢問。因?yàn)樗跓o線電控制信道上被廣播���,因此它被稱為全局詢問����,該詢問由接入該控制信道的所有電話使用�����。
在詢問期間����,設(shè)備對(duì)由MSC或AC所提供的隨機(jī)數(shù)進(jìn)行應(yīng)答。設(shè)備使用該隨機(jī)數(shù)和設(shè)備中保存的共享秘密數(shù)據(jù)來計(jì)算對(duì)MSC的響應(yīng)。MSC還使用隨機(jī)數(shù)和共享秘密數(shù)據(jù)來計(jì)算來自設(shè)備的應(yīng)是什么響應(yīng)���。這些計(jì)算通過CAVE算法完成�����。如果響應(yīng)不同�,則服務(wù)被拒絕�����。詢問過程不增加它連到呼叫所花費(fèi)的時(shí)間量��。實(shí)際上���,呼叫可在某些情況下繼續(xù)���,僅僅在認(rèn)證失敗時(shí)被拆卸。
無線局域網(wǎng)(WLAN)獲得了極大的流行作為一種手段來向用戶提供對(duì)IP數(shù)據(jù)網(wǎng)的不受限制的接入��。第三代(3G)無線網(wǎng)絡(luò)也被設(shè)計(jì)成提供高速數(shù)據(jù)接入���;然而它們所支持的數(shù)據(jù)速率一般比WLAN的數(shù)據(jù)速率要低���,3G網(wǎng)絡(luò)在更廣泛的區(qū)域上提供數(shù)據(jù)覆蓋��。盡管它們可被視為競(jìng)爭(zhēng)者��,然而WLAN和3G網(wǎng)絡(luò)可以是互補(bǔ)的WLAN在諸如候機(jī)室或酒店大堂等公共區(qū)域提供高容量的“熱點(diǎn)(hot-spot)”覆蓋���,而3G網(wǎng)絡(luò)會(huì)向用戶提供運(yùn)動(dòng)時(shí)幾乎到處存在的數(shù)據(jù)服務(wù)。因此����,同一通信公司能在單個(gè)用戶訂購下提供3G和WLAN接入服務(wù)���。這意味著MS對(duì)于這兩類接入認(rèn)證都使用相同的認(rèn)證方法和秘密�。
在3G接入認(rèn)證中���,認(rèn)證中心(AC)認(rèn)證MS�。AC和MS具有共享密鑰���。在網(wǎng)絡(luò)端���,共享密鑰被安全地存儲(chǔ)在AC中��,并且不被分發(fā)給任何其它網(wǎng)絡(luò)實(shí)體�����。在MS端����,共享密鑰被安全地存儲(chǔ)在安全存儲(chǔ)器中��,并且不對(duì)其向外分發(fā)�。AC和MS使用蜂窩認(rèn)證語音加密(CAVE)或認(rèn)證密鑰協(xié)議(AKA)作為認(rèn)證算法。認(rèn)證參數(shù)在MS和AC間經(jīng)由3G空中信令消息和網(wǎng)絡(luò)信令消息傳送(IS-41)�����。
在WLAN接入認(rèn)證中�,希望MS由同一AC使用相同的共享密鑰和認(rèn)證算法(AKA或CAVE)來認(rèn)證。然而�,使用了不同的機(jī)制在WLAN中傳送認(rèn)證參數(shù)。特別是��,認(rèn)證參數(shù)經(jīng)由可擴(kuò)展認(rèn)證協(xié)議(EAP)和AAA協(xié)議(RADIUS或Diameter)傳送����。難題是在3G和WLAN間互通傳送機(jī)制���,使得對(duì)于WLAN接入認(rèn)證能在MS和AC間傳送認(rèn)證參數(shù)。
如上所述����,CAVE算法通常用于蜂窩通信,因此被經(jīng)常使用和分發(fā)�。也可以使用其它用于認(rèn)證的算法。特別是在數(shù)據(jù)通信中��,存在復(fù)雜度和應(yīng)用不同的許多算法��。為了協(xié)調(diào)這些機(jī)制����,已經(jīng)開發(fā)了可擴(kuò)展認(rèn)證協(xié)議(EAP)作為支持多種認(rèn)證和密鑰分發(fā)機(jī)制的一種通用協(xié)議框架����。EAP在L.Blunk等人所著的“PPP ExtensibleAuthentication Protocol(EAP)”中描述,RFC 2284�����,1998年3月出版��。
EAP所支持的一種這樣的機(jī)制是AKA算法,在J.Arkko等人所著的“EAP AKAAuthentication”中定義�����,2002年2月作為互聯(lián)網(wǎng)草案出版���。因此���,需要擴(kuò)展EAP以包括蜂窩算法CAVE。希望為新的系統(tǒng)和網(wǎng)絡(luò)提供后向兼容���。
EAP可擴(kuò)展認(rèn)證協(xié)議(EAP)是支持多種認(rèn)證機(jī)制的一種通用認(rèn)證協(xié)議�。EAP在鏈路設(shè)立和控制期間不選擇特定的認(rèn)證機(jī)制��,而是將其推遲到認(rèn)證過程開始后�。這使認(rèn)證者能在確定特定的認(rèn)證機(jī)制前請(qǐng)求更多的信息。認(rèn)證者被定義為要求認(rèn)證的鏈路的結(jié)尾�����。認(rèn)證者指定要在鏈路建立期間使用的認(rèn)證協(xié)議�。
互通功能(IWF)按照一實(shí)施例,實(shí)現(xiàn)一新的網(wǎng)絡(luò)實(shí)體并稱為互通功能(IWF)����,更具體地是稱為AAA/IS-41互通功能(IWF)�。IWF在諸如3G這樣的無線網(wǎng)絡(luò)和WLAN網(wǎng)絡(luò)間互通認(rèn)證參數(shù)的傳送機(jī)制(例如CAVE�����、AKA)�����。圖2所示的IWF 204是通信系統(tǒng)200的一部分����。系統(tǒng)200包括WLAN 202、IWF 204和AC 206����。如圖所示�����,工作站208目前處在WLAN202的通信范圍內(nèi)�����。IWF 204在AC 206和WLAN 202之間提供一接口,允許使用公共認(rèn)證使MS 208能獲準(zhǔn)接入網(wǎng)絡(luò)����。注意到MS 208會(huì)是無線工作站、遠(yuǎn)程用戶或者能經(jīng)由除WLAN 202以外的網(wǎng)絡(luò)通信的其它無線設(shè)備����,該情況下所述網(wǎng)絡(luò)是AC 206為其一部分的網(wǎng)絡(luò)。
IWF 204是單向互通功能�����,即認(rèn)證請(qǐng)求始發(fā)自WLAN 202����。注意到在當(dāng)前的實(shí)施例和說明中,AAA是用于在WLAN 202和IWF 204之間傳輸認(rèn)證參數(shù)的傳送機(jī)制�。而且,IS-41是用于在IWF 204和AC 206之間傳輸認(rèn)證參數(shù)的傳送機(jī)制�����。特別對(duì)于該例�����,會(huì)使用RADIUS作為AAA協(xié)議。
圖3說明了認(rèn)證處理�����。首先���,IWF 204接收一RADIUS接入請(qǐng)求消息��,該消息包含希望執(zhí)行認(rèn)證以接入WLAN 202的MS 208(或無線工作站)的身份�。IWF 204配置有一數(shù)據(jù)庫210�,其存儲(chǔ)與MS 208、以及目前經(jīng)由AC 206注冊(cè)的其它MS 208相關(guān)聯(lián)的認(rèn)證能力����。數(shù)據(jù)庫210由每個(gè)MS 208的身份來索引。這樣����,IWF 204可以確定MS 208的認(rèn)證能力(例如AKA和/或CAVE)。
如果MS 208僅支持CAVE�����,IWF 204就執(zhí)行與圖3一致的以下過程��。IWF發(fā)送一RADIUS接入詢問消息����,該消息包含EAP請(qǐng)求消息,EAP請(qǐng)求消息包含一CAVE詢問����。如上所述,詢問包含要由MS 208用來計(jì)算認(rèn)證響應(yīng)的隨機(jī)數(shù)�。IWF 204接收包含EAP響應(yīng)消息(包含CAVE詢問響應(yīng))的RADIUS接入請(qǐng)求消息。CAVE響應(yīng)包含MS 209的認(rèn)證響應(yīng)����,即使用隨機(jī)數(shù)計(jì)算的結(jié)果、以及其它對(duì)于MS 208特定的參數(shù)���。
如果IWF 204不能確認(rèn)EAP響應(yīng)消息�,或特別是不能確認(rèn)對(duì)CAVE詢問的CAVE響應(yīng)�,IWF 204就向AC 206發(fā)送一AUTHREQ消息,該消息是一IS-41消息����。在該情況下,IWF 204沒有確認(rèn)詢問響應(yīng)所必要的信息。AUTHREQ消息包含分配給MS 208的IMSI��、隨機(jī)數(shù)(即詢問)以及MS 208所產(chǎn)生的認(rèn)證響應(yīng)����。AC 206具有對(duì)于MS 208特定的共享秘密的知識(shí),于是它確認(rèn)MS 208的詢問響應(yīng)���。AC 206向IWF返回AUTHREQ消息���,該消息是一IS-41消息。AUTHREQ消息包含認(rèn)證結(jié)果����。如果成功,AUTHREQ消息還包含稱為蜂窩消息加密算法(CMEA)密鑰的一個(gè)密鑰��,該密鑰用于保護(hù)WLAN202中的MS 208話務(wù)����。如果IWF在預(yù)定次數(shù)的重試后不能從AC 206接收AUTHREQ消息,則IWF 204向WLAN 202發(fā)送包含EAP失敗的RADIUS接入拒絕消息����。不能接收AUTHREQ消息會(huì)表明IWF 204和AC 206之間的網(wǎng)絡(luò)問題�。
如果IWF 204能認(rèn)證來自MS 208的詢問響應(yīng)���,并且這種確認(rèn)是成功的,IWF 204就產(chǎn)生CMEA密鑰�����。如果MS 208被成功認(rèn)證�,IWF 204就向WLAN 202發(fā)送一RADIUS接入接受消息。這種消息包含EAP成功消息以及CMEA密鑰�。如果MS 208未能進(jìn)行認(rèn)證,IWF 204就向WLAN 202發(fā)送包含EAP失敗消息的RADIUS接入拒絕消息�����。
圖4說明了按照一實(shí)施例的認(rèn)證過程400��,其中MS 208支持CAVE協(xié)議����。當(dāng)MS 208和WLAN 202在步驟402開始標(biāo)識(shí)協(xié)商時(shí),該過程開始�。同樣在該步驟,WLAN202發(fā)送一RADIUS接入請(qǐng)求消息����,該消息包含MS 208的身份��。如上所述����,身份可由IMSI或其它對(duì)于MS 202的唯一標(biāo)識(shí)符來提供����。該過程包括MS 208設(shè)法接入WLAN202,以及響應(yīng)于此�,WLAN 202從MS 208請(qǐng)求標(biāo)識(shí),步驟402�。在這一點(diǎn),在步驟404�����,IWF 204向WLAN 202發(fā)送一RADIUS接入詢問消息�,其包含CAVE詢問。響應(yīng)于該詢問�����,MS 208計(jì)算一響應(yīng)并把該響應(yīng)提供給WLAN 208(未示出)�。然后在步驟406���,該響應(yīng)在RADIUS接入響應(yīng)消息內(nèi)被發(fā)送到IWF 204。如果IWF 204在判決菱形408處不知道MS 208的共享秘密���,處理就繼續(xù)到步驟410�����,其中IWF 204向AC 206發(fā)送一AUTHREQ消息。AUTHREQ消息請(qǐng)求認(rèn)證MS 208�。如果在判決領(lǐng)先412處返回AUTHREQ消息,處理就繼續(xù)到判決菱形414以確定AUTHREQ消息是否表明成功的認(rèn)證��,即確認(rèn)用于接入WLAN的認(rèn)證結(jié)果�。如果在判決菱形412未接收到AUTHREQ消息,處理就繼續(xù)到步驟416�����,其中IWF發(fā)送一RADIUS接入拒絕消息��。
從判決菱形408繼續(xù)���,如果IWF 204知道MS 208共享秘密信息����,IWF 204就能在判決菱形418處確定認(rèn)證是否成功。成功認(rèn)證繼續(xù)到步驟420以計(jì)算CMEA密鑰�����。RADIUS接入接受消息然后在步驟424被發(fā)送���。注意到步驟414的成功認(rèn)證(用于由AC 206的認(rèn)證)還繼續(xù)到步驟420���。從判決菱形418,如果認(rèn)證不成功�,IWF就在步驟422發(fā)送一RADIUS接入拒絕消息。
在一可替代實(shí)施例中�����,IWF 204使用AKA協(xié)議來發(fā)送詢問�����。如圖5所示���,如果MS 208支持AKA�����,IWF 204就實(shí)現(xiàn)AKA詢問�����,并且改變認(rèn)證處理的順序�����。在該情況下�����,在認(rèn)證向量(AV)中提供足以認(rèn)證用戶的信息����,所述用戶比如MS 208��。注意到AC 206可能在AV中向IWF 204發(fā)送共享秘密(SS)信息�����。按照本實(shí)施例����,AV包括SS����、詢問和密碼密鑰(CK)�����。CK用于對(duì)MS話務(wù)進(jìn)行加密�。
如果IWF 204沒有認(rèn)證向量(AV)來認(rèn)證MS 208,IWF 204就發(fā)送一AUTHREQ消息以便向AC 206請(qǐng)求AV��。AUTHREQ消息包含MS 208的身份���,比如IMSI����、以及對(duì)于AV的請(qǐng)求�。AC 206用包含AV的AUTHREQ消息應(yīng)答。AC由隨機(jī)數(shù)(RAND)�����、期望的響應(yīng)(XRES)、密碼密鑰(CK)和認(rèn)證標(biāo)記(AUTN)組成��。AC可以在AUTHREQ消息中提供多個(gè)AV�����,因此IWF無須向AC 206請(qǐng)求后續(xù)的認(rèn)證��。
如果IWF 204不能從AC 206接收AUTHREQ消息(可能在預(yù)定次數(shù)的重試后)���,IWF 204就向WLAN 202發(fā)送一RADIUS接入拒絕消息���,該消息包含EAP失敗消息,比如在IWF 204和AC 206之間存在網(wǎng)絡(luò)問題時(shí)��。
如果接收到的AUTHREQ不包含AV��,IWF 204就向WLAN 202發(fā)送包含EAP失敗消息的RADIUS接入拒絕消息�����。例如���,這一情況會(huì)在MS 202具有一到期的預(yù)訂的情況下出現(xiàn)。
如果IWF 204具有AV,IWF 204就向WLAN 202發(fā)送一RADIUS接入詢問消息�����,該消息包含EAP請(qǐng)求消息����,EAP請(qǐng)求消息有一AKA詢問。AKA詢問包含AUTN和RAND����。AUTN傳送AC 206證書,并且將由MS 208確認(rèn)����。RAND是對(duì)MS 208的詢問,該詢問用于計(jì)算認(rèn)證響應(yīng)(RES)���。MS 208向WLAN 202提供RES����。
IWF 204從WLAN 202接收包含EAP響應(yīng)的RADIUS接入請(qǐng)求消息���,所述EAP消息包括CAVE詢問�。CAVE詢問包含經(jīng)由WLAN 202接收的MS 208認(rèn)證響應(yīng)(RES)。IWF 204把RES與XRES相比較�。對(duì)于匹配情況,MS 208被成功認(rèn)證����,IWF 204向WLAN 202發(fā)送一RADIUS接入接受消息。這種消息包含EAP成功消息和CK��。CK將用于保護(hù)WLAN 202中的MS 208話務(wù)��。如果MS 208未能成功進(jìn)行認(rèn)證��,IWF 204就向WLAN 202發(fā)送包含EAP失敗消息的RADIUS接入拒絕消息���。
圖5說明了使用AV的認(rèn)證過程500�����。如果IWF 204具有足以在判決菱形502處確認(rèn)MS 208的AV�,過程就繼續(xù)到步驟506��,否則就繼續(xù)到步驟504���。在步驟506,IWF 204向WLAN 204發(fā)送對(duì)于MS 208的RADIUS接入詢問消息。詢問于是就被轉(zhuǎn)發(fā)到MS 208進(jìn)行處理����,然后把一響應(yīng)提供回WLAN 202(未示出)。IWF 204在步驟510接收RADIUS接入請(qǐng)求消息����,并在判決菱形512確定MS認(rèn)證是否成功。如果認(rèn)證成功�����,IWF 204就在步驟514發(fā)送一RADIUS接入接受消息�����,否則IWF 204在步驟516發(fā)送一RADIUS接入拒絕消息�����。
返回到判決菱形502���,如果IWF 204沒有AV����,IWF就在步驟504向AC 206發(fā)送一AUTHREQ消息。在接收到AV時(shí)���,IWF 204把處理繼續(xù)到步驟506����,否則處理繼續(xù)到步驟516���。
圖7說明了適用于在WLAN(未示出)和AC(未示出)間接口的IWF 600�����,因此它能執(zhí)行對(duì)于兩者間的通信�、認(rèn)證����、密鑰交換及其它安全通信所必要的過程。IWF 600包括一WLAN接口單元602���,它準(zhǔn)備��、發(fā)送�、接收和/或解釋與WLAN間的通信�����。類似地�,IWF 600包括一接口單元604,其準(zhǔn)備��、發(fā)送����、接收和/或解釋與AC的通信。IWF 600進(jìn)一步包括一CAVE過程單元608����、EAP過程單元610以及RADIUS過程單元612。IWF 600可包括給定系統(tǒng)中的互通功能所需的任何數(shù)量的這種過程單元(未示出)��。諸如CAVE過程單元608���、EAP過程610和RADIUS過程612等過程單元可以用軟件����、硬件�、固件或它們的組合來實(shí)現(xiàn)。IWF 600內(nèi)的各個(gè)模塊經(jīng)由通信總線614通信�。
本領(lǐng)域的技術(shù)人員可以理解��,信息和信號(hào)可以用多種不同技術(shù)和工藝中的任一種來表示�。例如�����,上述說明中可能涉及的數(shù)據(jù)��、指令�����、命令��、信息���、信號(hào)�、比特��、碼元和碼片可以用電壓����、電流、電磁波、磁場(chǎng)或其粒子��、光場(chǎng)或其粒子或它們的任意組合來表示���。
本領(lǐng)域的技術(shù)人員能進(jìn)一步理解,結(jié)合這里所公開的實(shí)施例所描述的各種說明性的邏輯框���、模塊和算法步驟可以作為電子硬件�、計(jì)算機(jī)軟件或兩者的組合來實(shí)現(xiàn)��。為了清楚說明硬件和軟件間的互換性���,各種說明性的組件�����、框圖��、模塊�、電路和步驟一般按照其功能性進(jìn)行了闡述��。這些功能性究竟作為硬件或軟件來實(shí)現(xiàn)取決于整個(gè)系統(tǒng)所采用的特定的應(yīng)用和設(shè)計(jì)約束����。技術(shù)人員可能以對(duì)于每個(gè)特定應(yīng)用不同的方式來實(shí)現(xiàn)所述功能����,但這種實(shí)現(xiàn)決定不應(yīng)被解釋為造成背離本發(fā)明的范圍��。
結(jié)合這里所描述的實(shí)施例來描述的各種說明性的邏輯框�、模塊和算法步驟的實(shí)現(xiàn)或執(zhí)行可以用通用處理器、數(shù)字信號(hào)處理器(DSP)�����、應(yīng)用專用集成電路(ASIC)����、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其它可編程邏輯器件、離散門或晶體管邏輯��、離散硬件組件或者為執(zhí)行這里所述功能而設(shè)計(jì)的任意組合��。通用處理器可能是微處理器�,然而或者,處理器可以是任何常規(guī)的處理器�、控制器、微控制器或狀態(tài)機(jī)�。處理器也可能用計(jì)算設(shè)備的組合來實(shí)現(xiàn),如,DSP和微處理器的組合�、多個(gè)微處理器、結(jié)合DSP內(nèi)核的一個(gè)或多個(gè)微處理器或者任意其它這種配置�。
結(jié)合這里所公開實(shí)施例描述的方法或算法的步驟可能直接包含在硬件中、由處理器執(zhí)行的軟件模塊中或在兩者當(dāng)中����。軟件模塊可能駐留在RAM存儲(chǔ)器、閃存�����、ROM存儲(chǔ)器����、EPROM存儲(chǔ)器���、EEPROM存儲(chǔ)器����、寄存器�����、硬盤、可移動(dòng)盤�、CD-ROM或本領(lǐng)域中已知的任何其它形式的存儲(chǔ)媒質(zhì)中。示例性存儲(chǔ)媒質(zhì)與處理器耦合����,使得處理器可以從存儲(chǔ)媒質(zhì)讀取信息,或把信息寫入存儲(chǔ)媒質(zhì)�����?;蛘撸鎯?chǔ)媒質(zhì)可以與處理器整合��。處理器和存儲(chǔ)媒質(zhì)可能駐留在ASIC中�。ASIC可能駐留在用戶終端中?��;蛘?�,處理器和存儲(chǔ)媒質(zhì)可能作為離散組件駐留在用戶終端中�����。
上述優(yōu)選實(shí)施例的描述使本領(lǐng)域的技術(shù)人員能制造或使用本發(fā)明����。這些實(shí)施例的各種修改對(duì)于本領(lǐng)域的技術(shù)人員來說是顯而易見的,這里定義的一般原理可以被應(yīng)用于其它實(shí)施例中而不使用創(chuàng)造能力���。因此���,本發(fā)明并不限于這里示出的實(shí)施例,而要符合與這里揭示的原理和新穎特征一致的最寬泛的范圍�����。
權(quán)利要求
1.一種互通功能IWF裝置����,包括處理單元���;與所述處理單元耦合的無線局域網(wǎng)WLAN接口單元����,其適合與WLAN通信��;以及與所述處理單元耦合的接入控制AC接口單元����,其適合與蜂窩通信網(wǎng)通信�����。
2.如權(quán)利要求1所述的裝置�,其特征在于還包括適用于準(zhǔn)備與第一協(xié)議相對(duì)應(yīng)的消息的第一協(xié)議單元�����;以及適用于準(zhǔn)備與第二協(xié)議相對(duì)應(yīng)的消息的第二協(xié)議單元��。
3.一種把無線局域網(wǎng)WLAN與一通信系統(tǒng)相接的方法���,包括為通信系統(tǒng)的用戶從WLAN請(qǐng)求一接入請(qǐng)求����;確定所述用戶的認(rèn)證狀態(tài)���;以及把表明所述認(rèn)證狀態(tài)的響應(yīng)提供給WLAN�����。
4.如權(quán)利要求3所述的方法�����,其特征在于�����,確定所述用戶的認(rèn)證狀態(tài)還包括向WLAN發(fā)送一接入詢問消息����;以及從WLAN接收一接入響應(yīng)。
5.如權(quán)利要求4所述的方法���,其特征在于����,確定所述認(rèn)證狀態(tài)還包括向通信系統(tǒng)發(fā)送一認(rèn)證請(qǐng)求����;以及從通信系統(tǒng)接收所述用戶的認(rèn)證狀態(tài)�����。
6.如權(quán)利要求5所述的方法�,其特征在于�,所述認(rèn)證請(qǐng)求包括來自WLAN的接入請(qǐng)求�����。
7.如權(quán)利要求5所述的方法��,其特征在于還包括從通信系統(tǒng)接收用戶的安全信息��;以及響應(yīng)于所述安全信息為所述用戶產(chǎn)生加密密鑰��。
8.如權(quán)利要求3所述的方法�,其特征在于還包括為所述用戶產(chǎn)生一加密密鑰。
9.一種把無線局域網(wǎng)WLAN與一通信系統(tǒng)相接的裝置����,包括用于為通信系統(tǒng)的用戶從WLAN請(qǐng)求一接入請(qǐng)求的裝置;用于確定所述用戶的認(rèn)證狀態(tài)的裝置����;以及用于把表示所述認(rèn)證狀態(tài)的響應(yīng)提供給WLAN的裝置。
全文摘要
用于在無線局域網(wǎng)(WLAN)和通信系統(tǒng)間接口的互通功能(IWF)�����。IWF可包含足夠的信息來認(rèn)證用戶到WLAN的接入���,或者IWF可需要向通信系統(tǒng)請(qǐng)求認(rèn)證�����。在一實(shí)施例中,IWF向WLAN發(fā)送對(duì)于用戶的接入詢問。然后����,IWF會(huì)把對(duì)該詢問的響應(yīng)傳送到通信系統(tǒng)以供認(rèn)證��。IWF允許WLAN使用通信系統(tǒng)的認(rèn)證能力來進(jìn)行本地認(rèn)證�����。
文檔編號(hào)H04L29/06GK1672368SQ03818430
公開日2005年9月21日 申請(qǐng)日期2003年6月20日 優(yōu)先權(quán)日2002年6月20日
發(fā)明者R·T·蘇 申請(qǐng)人:高通股份有限公司