亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

無線局域網(wǎng)中業(yè)務(wù)隧道建立的方法

文檔序號:7557389閱讀:163來源:國知局
專利名稱:無線局域網(wǎng)中業(yè)務(wù)隧道建立的方法
技術(shù)領(lǐng)域
本發(fā)明涉及通道建立技術(shù),特別是指一種無線局域網(wǎng)(WLAN)中對用戶終端所請求業(yè)務(wù)完成業(yè)務(wù)隧道建立的方法。
背景技術(shù)
由于用戶對無線接入速率的要求越來越高,無線局域網(wǎng)(WLAN,WirelessLocal Area Network)應(yīng)運而生,它能在較小范圍內(nèi)提供高速的無線數(shù)據(jù)接入。無線局域網(wǎng)包括多種不同技術(shù),目前應(yīng)用較為廣泛的一個技術(shù)標(biāo)準(zhǔn)是IEEE802.11b,它采用2.4GHz頻段,最高數(shù)據(jù)傳輸速率可達(dá)11Mbps,使用該頻段的還有IEEE 802.11g和藍(lán)牙(Bluetooth)技術(shù),其中,802.11g最高數(shù)據(jù)傳輸速率可達(dá)54Mbps。其它新技術(shù)諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達(dá)到54Mbps。
盡管有多種不同的無線接入技術(shù),大部分WLAN都用來傳輸因特網(wǎng)協(xié)議(IP)分組數(shù)據(jù)包。對于一個無線IP網(wǎng)絡(luò),其采用的具體WLAN接入技術(shù)對于上層的IP一般是透明的。其基本的結(jié)構(gòu)都是利用接入點(AP)完成用戶終端的無線接入,通過網(wǎng)絡(luò)控制和連接設(shè)備連接組成IP傳輸網(wǎng)絡(luò)。
隨著WLAN技術(shù)的興起和發(fā)展,WLAN與各種無線移動通信網(wǎng),諸如GSM、碼分多址(CDMA)系統(tǒng)、寬帶碼分多址(WCDMA)系統(tǒng)、時分雙工-同步碼分多址(TD-SCDMA)系統(tǒng)、CDMA2000系統(tǒng)的互通正成為當(dāng)前研究的重點。在第三代合作伙伴計劃(3GPP)標(biāo)準(zhǔn)化組織中,用戶終端可以通過WLAN的接入網(wǎng)絡(luò)與因特網(wǎng)(Internet)、企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)相連,還可以經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP系統(tǒng)的歸屬網(wǎng)絡(luò)或3GPP系統(tǒng)的訪問網(wǎng)絡(luò)連接,具體地說就是,WLAN用戶終端在本地接入時,經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP的歸屬網(wǎng)絡(luò)相連,如圖2所示;在漫游時,經(jīng)由WLAN接入網(wǎng)絡(luò)與3GPP的訪問網(wǎng)絡(luò)相連,3GPP訪問網(wǎng)絡(luò)中的部分實體分別與3GPP歸屬網(wǎng)絡(luò)中的相應(yīng)實體互連,比如3GPP訪問網(wǎng)絡(luò)中的3GPP認(rèn)證授權(quán)計費(AAA)代理和3GPP歸屬網(wǎng)絡(luò)中的3GPP認(rèn)證授權(quán)計費(AAA)服務(wù)器;3GPP訪問網(wǎng)絡(luò)中的無線局域網(wǎng)接入關(guān)口(WAG)與3GPP歸屬網(wǎng)絡(luò)中的分組數(shù)據(jù)關(guān)口(PDG,Packet DataGateway)等等,如圖1所示。其中,圖1、圖2分別為漫游情況下和非漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的組網(wǎng)結(jié)構(gòu)示意圖。
參見圖1、圖2所示,在3GPP系統(tǒng)中,主要包括歸屬簽約用戶服務(wù)器(HSS)/歸屬位置寄存器(HLR)、3GPP AAA服務(wù)器、3GPP AAA代理、WAG、分組數(shù)據(jù)關(guān)口、計費關(guān)口(CGw)/計費信息收集系統(tǒng)(CCF)及在線計費系統(tǒng)(OCS)。用戶終端、WLAN接入網(wǎng)絡(luò)與3GPP系統(tǒng)的所有實體共同構(gòu)成了3GPP-WLAN交互網(wǎng)絡(luò),此3GPP-WLAN交互網(wǎng)絡(luò)可作為一種無線局域網(wǎng)服務(wù)系統(tǒng)。其中,3GPP AAA服務(wù)器負(fù)責(zé)對用戶的鑒權(quán)、授權(quán)和計費,對WLAN接入網(wǎng)絡(luò)送來的計費信息收集并傳送給計費系統(tǒng);分組數(shù)據(jù)關(guān)口負(fù)責(zé)將用戶數(shù)據(jù)從WLAN接入網(wǎng)絡(luò)到3GPP網(wǎng)絡(luò)或其他分組網(wǎng)絡(luò)的數(shù)據(jù)傳輸;計費系統(tǒng)主要接收和記錄網(wǎng)絡(luò)傳來的用戶計費信息,還包括OCS根據(jù)在線計費用戶的費用情況指示網(wǎng)絡(luò)周期性的傳送在線費用信息,并進(jìn)行統(tǒng)計和控制。
在非漫游情況下,當(dāng)WLAN用戶終端希望直接接入Interneet/Intranet時,用戶終端通過WLAN接入網(wǎng)與AAA服務(wù)器(AS)完成接入認(rèn)證授權(quán)后,用戶終端可通過WLAN接入網(wǎng)接入到Internet/Intranet。如果WLAN用戶終端還希望接入3GPP分組交換(PS)域業(yè)務(wù),則可進(jìn)一步向3GPP歸屬網(wǎng)絡(luò)申請互通場景3(Scenario3)的業(yè)務(wù),即WLAN用戶終端向3GPP歸屬網(wǎng)絡(luò)的AS發(fā)起互通場景3的業(yè)務(wù)授權(quán)請求,3GPP歸屬網(wǎng)絡(luò)的AS對該業(yè)務(wù)授權(quán)請求進(jìn)行業(yè)務(wù)鑒權(quán)和授權(quán),如果成功,則AS給用戶終端發(fā)送接入允許消息,且AS給用戶終端分配相應(yīng)的PDG,用戶終端與所分配的PDG之間建立隧道后,即可接入3GPPPS域業(yè)務(wù)。同時,CGw/CCF和OCS根據(jù)用戶終端的網(wǎng)絡(luò)使用情況記錄計費信息。在漫游情況下,當(dāng)WIAN用戶終端希望直接接入Internet/Intranet時,用戶終端可通過3GPP訪問網(wǎng)絡(luò)向3GPP歸屬網(wǎng)絡(luò)申請接入到Internet/Intranet。如果用戶終端還希望申請互通場景3業(yè)務(wù),接入到3GPP PS域業(yè)務(wù),則用戶終端需要通過3GPP訪問網(wǎng)絡(luò)向3GPP歸屬網(wǎng)絡(luò)發(fā)起業(yè)務(wù)授權(quán)過程,該過程同樣在用戶終端和3GPP歸屬網(wǎng)絡(luò)的AS之間進(jìn)行,當(dāng)授權(quán)成功后,AS給用戶終端分配相應(yīng)的歸屬PDG,用戶終端通過3GPP訪問網(wǎng)絡(luò)中的WAG與分配的PDG之間建立隧道后,用戶終端即可接入歸屬網(wǎng)絡(luò)的3GPP PS域業(yè)務(wù)。
從以上描述可以看出,對于任何一個用戶期望接入的業(yè)務(wù),都需要建立WLAN用戶終端與PDG之間的業(yè)務(wù)隧道,但如何建立該業(yè)務(wù)隧道的具體實現(xiàn)過程,目前尚未提出明確的解決方案。

發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種無線局域網(wǎng)中業(yè)務(wù)隧道建立的方法,使WLAN用戶終端與分組數(shù)據(jù)關(guān)口之間能建立安全的業(yè)務(wù)數(shù)據(jù)隧道。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種無線局域網(wǎng)WLAN中業(yè)務(wù)隧道建立的方法,該方法包括以下步驟a.業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證和授權(quán),并判斷認(rèn)證授權(quán)是否通過,如果未通過,則結(jié)束當(dāng)前隧道建立流程,如果通過,則生成包括用于當(dāng)前請求業(yè)務(wù)WLAN用戶終端與目的分組數(shù)據(jù)關(guān)口之間通信的共享密鑰在內(nèi)的業(yè)務(wù)授權(quán)信息;b.業(yè)務(wù)認(rèn)證授權(quán)單元將步驟a中生成的至少包括共享通信密鑰的業(yè)務(wù)授權(quán)信息發(fā)送給目的分組數(shù)據(jù)關(guān)口;c.目的分組數(shù)據(jù)關(guān)口根據(jù)所得到的共享通信密鑰與當(dāng)前請求業(yè)務(wù)的WLAN用戶終端協(xié)商建立安全信任關(guān)系,如果建立成功,則目的分組數(shù)據(jù)關(guān)口繼續(xù)為當(dāng)前請求業(yè)務(wù)的WLAN用戶終端分配隧道資源、協(xié)商參數(shù),完成隧道的建立;否則結(jié)束當(dāng)前隧道建立流程。
其中,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證可分為以下幾種情況第一種情況進(jìn)一步包括a11.所述WLAN用戶終端直接向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和自身標(biāo)識的認(rèn)證請求;a12.業(yè)務(wù)認(rèn)證授權(quán)單元收到認(rèn)證請求后,根據(jù)用戶標(biāo)識對當(dāng)前發(fā)起認(rèn)證請求的WLAN用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)鑒權(quán);a13.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識和用戶簽約信息確定所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口。
第二種情況進(jìn)一步包括a21.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有自身標(biāo)識的隧道建立請求;a22.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端標(biāo)識的認(rèn)證授權(quán)請求;a23.業(yè)務(wù)認(rèn)證授權(quán)單元收到認(rèn)證授權(quán)請求后,根據(jù)用戶標(biāo)識對當(dāng)前發(fā)起隧道建立請求的WLAN用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)鑒權(quán)。
第三種情況進(jìn)一步包括a31.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的標(biāo)識認(rèn)證通過的證書信息的認(rèn)證請求;a32.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識和用戶簽約信息確定所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的證書信息是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
第四種情況進(jìn)一步包括a41.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的標(biāo)識認(rèn)證通過的證書信息的隧道建立請求;a42.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端證書信息的認(rèn)證授權(quán)請求;a43.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的證書信息是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
這里,所述證書信息為WLAN用戶終端當(dāng)前擁有的證書,或為用于查詢WLAN用戶終端當(dāng)前擁有證書的證書索引標(biāo)識。所述證書信息為證書索引標(biāo)識時,所述判斷證書信息是否有效進(jìn)一步包括業(yè)務(wù)認(rèn)證授權(quán)單元先根據(jù)所收到的證書索引標(biāo)識查找WLAN用戶終端當(dāng)前擁有的證書,再判斷所查找到的證書是否有效。
第五種情況進(jìn)一步包括a51.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的共享秘密會話標(biāo)識的認(rèn)證請求;a52.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識確定和用戶簽約信息所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的共享秘密會話標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
第六種情況進(jìn)一步包括a61.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的共享秘密會話標(biāo)識的隧道建立請求;a62.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端共享秘密會話標(biāo)識的認(rèn)證授權(quán)請求;a63.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的共享秘密會話標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
第七種情況進(jìn)一步包括a71.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的重認(rèn)證標(biāo)識的認(rèn)證請求;a72.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識確定和用戶簽約信息所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的重認(rèn)證標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
第八種情況進(jìn)一步包括a81.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的重認(rèn)證標(biāo)識的隧道建立請求;a82.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端重認(rèn)證標(biāo)識的認(rèn)證授權(quán)請求;a83.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的重認(rèn)證標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
上述方案中,步驟b中業(yè)務(wù)認(rèn)證授權(quán)單元將共享通信密鑰發(fā)送給目的分組數(shù)據(jù)關(guān)口之前,進(jìn)一步包括目的分組數(shù)據(jù)關(guān)口向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送業(yè)務(wù)授權(quán)請求,業(yè)務(wù)認(rèn)證授權(quán)單元收到業(yè)務(wù)授權(quán)請求后,將自身生成的共享通信密鑰及相關(guān)業(yè)務(wù)授權(quán)信息發(fā)送給目的分組數(shù)據(jù)關(guān)口。
對于第一、三、五、七種情況,步驟b與步驟c之間進(jìn)一步包括當(dāng)前請求業(yè)務(wù)的WLAN用戶終端向目的分組數(shù)據(jù)關(guān)口發(fā)送隧道建立請求。
上述方案中,所述業(yè)務(wù)認(rèn)證授權(quán)單元為認(rèn)證授權(quán)計費服務(wù)器。在3G中,所述業(yè)務(wù)認(rèn)證授權(quán)單元為3GPP AAA服務(wù)器。
本發(fā)明所提供的無線局域網(wǎng)中業(yè)務(wù)隧道建立的方法,利用現(xiàn)有WLAN交互網(wǎng)絡(luò)的認(rèn)證機(jī)制,使提供業(yè)務(wù)的PDG能對請求業(yè)務(wù)的WLAN用戶終端進(jìn)行識別和認(rèn)證,進(jìn)而在目的PDG與WLAN用戶終端之間建立安全的業(yè)務(wù)數(shù)據(jù)隧道,從而可保障數(shù)據(jù)傳輸?shù)陌踩煽啃?,且實現(xiàn)簡單方便,實現(xiàn)方式靈活多樣。


圖1為漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的網(wǎng)絡(luò)結(jié)構(gòu)示意圖;圖2為非漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的網(wǎng)絡(luò)結(jié)構(gòu)示意圖;圖3為本發(fā)明方法的實現(xiàn)流程示意圖;圖4為本發(fā)明第一實施例的實現(xiàn)流程示意圖;圖5為本發(fā)明第二實施例的實現(xiàn)流程示意圖;
圖6為本發(fā)明第三實施例的實現(xiàn)流程示意圖。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明。
如圖3所示,本發(fā)明方法的具體實現(xiàn)過程包括以下步驟步驟301~303當(dāng)前請求業(yè)務(wù)的WLAN用戶終端與業(yè)務(wù)認(rèn)證授權(quán)單元之間進(jìn)行認(rèn)證和授權(quán),包括身份認(rèn)證、業(yè)務(wù)鑒權(quán)和業(yè)務(wù)授權(quán);并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端的認(rèn)證授權(quán)是否通過,如果通過,則繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。
這里,業(yè)務(wù)認(rèn)證授權(quán)單元可以由AAA服務(wù)器實現(xiàn),在3G中,業(yè)務(wù)認(rèn)證授權(quán)單元可以是3GPP AAA服務(wù)器。如果WLAN用戶終端處于訪問網(wǎng)絡(luò),則WLAN用戶終端發(fā)送給AAA服務(wù)器的信息可以經(jīng)由AAA代理轉(zhuǎn)發(fā)。以下僅以業(yè)務(wù)認(rèn)證授權(quán)單元是AAA服務(wù)器為例。
本步驟中,AAA服務(wù)器對WLAN用戶終端的認(rèn)證可以分為以下幾種情況第一種情況當(dāng)前請求業(yè)務(wù)的WLAN用戶終端直接向AAA服務(wù)器發(fā)送認(rèn)證請求,該請求中至少包括用戶標(biāo)識、所請求業(yè)務(wù)標(biāo)識,還可進(jìn)一步包括用戶簽約信息等信息。其中,所請求業(yè)務(wù)標(biāo)識可以是所請求業(yè)務(wù)對應(yīng)的接入點名稱(APN)。
這種情況下,AAA服務(wù)器收到WLAN用戶終端發(fā)來的認(rèn)證請求后,一方面根據(jù)請求中的業(yè)務(wù)標(biāo)識和用戶簽約信息確定處理該業(yè)務(wù)的目的PDG。另一方面,根據(jù)請求中的用戶標(biāo)識以及其它信息對當(dāng)前發(fā)起請求的WLAN用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)授權(quán),這里所述的其它信息包括發(fā)起請求WLAN用戶終端的認(rèn)證密碼、用戶簽約信息等。AAA服務(wù)器根據(jù)請求中的信息和用戶簽約信息來確定該WLAN用戶終端是否為合法用戶,并確認(rèn)是否允許為該WLAN用戶終端提供所請求的業(yè)務(wù),如果用戶合法且具有提供所請求業(yè)務(wù)的權(quán)限,則對該WLAN用戶終端認(rèn)證通過,可繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。
第二種情況,當(dāng)前請求業(yè)務(wù)的WLAN用戶終端通過解析知道所請求業(yè)務(wù)對應(yīng)哪個PDG,即知道所請求業(yè)務(wù)能由哪個PDG提供,則當(dāng)前請求業(yè)務(wù)的WLAN用戶終端按照解析出的目的PDG地址直接向目的PDG發(fā)送隧道建立請求,該請求中至少攜帶用戶標(biāo)識,目的PDG地址可根據(jù)業(yè)務(wù)名解析出。
這種情況下,目的PDG收到WLAN用戶終端發(fā)來的隧道建立請求,先獲取請求中的用戶標(biāo)識,然后向AAA服務(wù)器發(fā)起認(rèn)證授權(quán)請求,該認(rèn)證授權(quán)請求中含有用戶標(biāo)識及其它相關(guān)信息,比如發(fā)起請求WLAN用戶終端的認(rèn)證密碼、用戶簽約信息等。AAA服務(wù)器收到認(rèn)證授權(quán)請求后,根據(jù)請求中的用戶標(biāo)識和用戶簽約信息來確定該WLAN用戶終端是否為合法用戶,并確認(rèn)是否允許為該WLAN用戶終端提供所請求的業(yè)務(wù),如果用戶合法且具有提供所請求業(yè)務(wù)的權(quán)限,則對該WLAN用戶終端認(rèn)證通過,可繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。
第三種情況,當(dāng)前請求業(yè)務(wù)的WLAN用戶終端向AAA服務(wù)器發(fā)送含有當(dāng)前擁有的、標(biāo)識認(rèn)證通過的證書信息和所請求業(yè)務(wù)標(biāo)識的認(rèn)證請求。這里所述的證書信息是指WLAN用戶終端當(dāng)前所擁有的證書本身,或者是用于查詢WLAN用戶終端當(dāng)前所擁有證書的證書索引標(biāo)識。
這里所提到的證書是利用公知的證書方法獲得的,所謂證書方法具體是指用戶獲得一個私鑰用來加密數(shù)據(jù),證書服務(wù)器產(chǎn)生公鑰來公開,用戶獲得的私鑰與證書服務(wù)器的相關(guān)公鑰共同形成證書,該證書可以自由被相關(guān)設(shè)備包括用戶自身荻取,用來確認(rèn)用戶。
這種情況下,AAA服務(wù)器收到WLAN用戶終端發(fā)來的認(rèn)證請求后,一方面根據(jù)請求中的業(yè)務(wù)標(biāo)識和用戶簽約信息確定處理該業(yè)務(wù)的目的PDG。另一方面,對請求中WLAN用戶終端提供的證書信息進(jìn)行確認(rèn),根據(jù)自身記錄的信息或與證書服務(wù)系統(tǒng)交互獲取的信息,來判斷WLAN用戶終端當(dāng)前所擁有的證書是否有效,如果有效,則通過對當(dāng)前請求業(yè)務(wù)WLAN用戶終端的認(rèn)證,繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。在進(jìn)行證書信息確認(rèn)時,如果證書信息為證書索引標(biāo)識,則AAA服務(wù)器還要先根據(jù)所收到的證書索引標(biāo)識到證書服務(wù)系統(tǒng)中查找WLAN用戶終端當(dāng)前擁有的證書,再判斷所查找到的證書是否有效。
第四種情況,當(dāng)前請求業(yè)務(wù)的WLAN用戶終端向AAA服務(wù)器發(fā)送含有當(dāng)前擁有的共享秘密會話標(biāo)識和所請求業(yè)務(wù)標(biāo)識的認(rèn)證請求。
這里所提到的共享秘密會話標(biāo)識是通過共享秘密方法獲得的,所謂共享秘密方法是在GBA(Generic Bootstrapping Architecture)構(gòu)架下,BSF(Boot-trapping Service Function)和用戶交互產(chǎn)生密鑰后,給用戶發(fā)送一個會話標(biāo)識(TID,Transaction ID)來標(biāo)識它們之間的共享秘密,該共享秘密包括密鑰、隨機(jī)序列、檢驗值等安全信息。當(dāng)用戶向NAF(Operator-controlled NetworkApplication Function functionality)請求業(yè)務(wù)時,發(fā)送TID給用戶,則NAF把該TID送給BSF,BSF則判斷該TID是否有效,有效則初步認(rèn)證通過,再把相關(guān)的共享秘密發(fā)送給NAF,NAF利用這些共享秘密進(jìn)一步與用戶進(jìn)行認(rèn)證建立信任關(guān)系。
這種情況下,AAA服務(wù)器收到WLAN用戶終端發(fā)來的認(rèn)證請求后,一方面根據(jù)請求中的業(yè)務(wù)標(biāo)識和用戶簽約信息確定處理該業(yè)務(wù)的目的PDG。另一方面,對請求中WLAN用戶終端提供的共享秘密會話標(biāo)識進(jìn)行確認(rèn),根據(jù)自身記錄的信息判斷該共享秘密會話標(biāo)識是否有效,如果是,則通過對當(dāng)前請求業(yè)務(wù)WLAN用戶終端的認(rèn)證,繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。
第五種情況,當(dāng)前請求業(yè)務(wù)的WLAN用戶終端向AAA服務(wù)器發(fā)送含有當(dāng)前擁有的重認(rèn)證標(biāo)識和所請求業(yè)務(wù)標(biāo)識的認(rèn)證請求。
這種情況下,AAA服務(wù)器收到WLAN用戶終端發(fā)來的認(rèn)證請求后,一方面根據(jù)請求中的業(yè)務(wù)標(biāo)識和用戶簽約信息確定處理該業(yè)務(wù)的目的PDG。另一方面,對請求中WLAN用戶終端提供的重認(rèn)證標(biāo)識進(jìn)行確認(rèn),根據(jù)自身記錄的信息判斷該重認(rèn)證標(biāo)識是否有效,如果是,則通過對當(dāng)前請求業(yè)務(wù)WLAN用戶終端的認(rèn)證,繼續(xù)執(zhí)行步驟304;否則,對該WLAN用戶終端認(rèn)證失敗,結(jié)束當(dāng)前隧道建立流程。
上述第三、第四、第五種情況比較類似,只是在接入認(rèn)證時,所分配的證書、共享秘密會話標(biāo)識與重認(rèn)證標(biāo)識的安全級別不同,雖然都是認(rèn)證通過,但證書和共享秘密會話標(biāo)識相對于重認(rèn)證標(biāo)識而言,不必?fù)?dān)心被盜取冒用,安全可靠性更高。所述證書、或共享秘密會話標(biāo)識、或重認(rèn)證標(biāo)識可以是該WLAN用戶終端在接入認(rèn)證時獲取的;也可以是由AAA服務(wù)器隨時更新的。這兩種情況中所述的接入認(rèn)證,遵循802.1X接入認(rèn)證的過程,基本包括WLAN用戶終端與WLAN接入網(wǎng)建立無線連接后,由網(wǎng)絡(luò)或所述WLAN用戶終端發(fā)起接入認(rèn)證過程,WLAN接入網(wǎng)向所述WLAN用戶終端發(fā)送請求用戶名報文;所述WLAN用戶終端收到請求用戶名報文后,通過接入控制單元向AAA服務(wù)器發(fā)送鑒權(quán)所需的認(rèn)證信息,AAA服務(wù)器根據(jù)得到的用戶終端相關(guān)信息以及自身存儲的信息,在自身完成接入認(rèn)證鑒權(quán)判定,如果認(rèn)證鑒權(quán)成功,則根據(jù)簽約情況對用戶的接入范圍進(jìn)行授權(quán),繼續(xù)后續(xù)操作,否則通知用戶終端接入認(rèn)證鑒權(quán)失敗,結(jié)束當(dāng)前接入授權(quán)流程。
上述第三、第四、第五種情況中,WLAN用戶終端也可以將自己當(dāng)前擁有的證書、或共享秘密會話標(biāo)識、或重認(rèn)證標(biāo)識放在隧道建立請求中發(fā)給目的PDG,目的PDG收到后再將證書、或共享秘密會話標(biāo)識、或重認(rèn)證標(biāo)識通過認(rèn)證授權(quán)請求轉(zhuǎn)發(fā)給AAA服務(wù)器,由AAA服務(wù)器對請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證,AAA服務(wù)器執(zhí)行的認(rèn)證過程與前面所述過程相同。
另外,還有一種情況是如果存在一個用于進(jìn)行初始接入處理的業(yè)務(wù)解析單元,則當(dāng)前請求業(yè)務(wù)的WLAN用戶終端將隧道建立請求發(fā)送給該業(yè)務(wù)解析單元,該請求中含有用戶標(biāo)識、用戶簽約信息、所請求業(yè)務(wù)名等信息,所述業(yè)務(wù)解析單元收到請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有用戶標(biāo)識、用戶簽約信息的認(rèn)證授權(quán)請求,業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)發(fā)起請求WLAN用戶終端的用戶簽約信息,對發(fā)起請求的用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)授權(quán)。其中,該業(yè)務(wù)解析單元可以由一個PDG實現(xiàn)。
步驟304AAA服務(wù)器在自身生成至少包括用于當(dāng)前請求業(yè)務(wù)WLAN用戶終端和目的PDG之間共享通信密鑰在內(nèi)的業(yè)務(wù)授權(quán)信息,并將所生成的共享通信密鑰發(fā)送給目的PDG;同時,當(dāng)前請求業(yè)務(wù)WLAN用戶終端也與AAA服務(wù)器協(xié)商生成共享通信密鑰;并且,AAA服務(wù)器要向目的PDG發(fā)送業(yè)務(wù)授權(quán)消息,允許目的PDG向當(dāng)前請求業(yè)務(wù)WLAN用戶終端提供相應(yīng)業(yè)務(wù)。所述業(yè)務(wù)授權(quán)消息可以是AAA服務(wù)器主動向目的PDG發(fā)送的;也可以是目的PDG向AAA服務(wù)器發(fā)送業(yè)務(wù)授權(quán)請求,請求從AAA服務(wù)器獲取的。
本步驟所述生成共享通信密鑰的過程可以是這樣預(yù)先在WLAN用戶終端和HLR/HSS設(shè)置共享密鑰Ki,可采用SIM或USIM的方式存儲;然后,以SIM的三元組認(rèn)證為例,HLR會將相關(guān)的衍生三元組發(fā)送給AAA服務(wù)器,其中包括隨機(jī)數(shù)Rand和密鑰Kc,根據(jù)隨機(jī)數(shù)Rand和Kc可以生成用于WLAN用戶終端和目的PDG之間共享通信的密鑰Ks;同時AAA服務(wù)器會將隨機(jī)數(shù)Rand和Kc發(fā)給WLAN用戶終端,WLAN用戶終端也根據(jù)收到的隨機(jī)數(shù)Rand和Kc生成共享通信密鑰Ks,這就是所說的協(xié)商生成共享通信密鑰,該共享通信密鑰Ks用于與目的PDG之間數(shù)據(jù)傳輸。這里提到的SIM、USIM是指現(xiàn)有技術(shù)中通過三元組或五元組進(jìn)行認(rèn)證的方法。
AAA服務(wù)器可以將共享通信密鑰放置于業(yè)務(wù)授權(quán)消息中發(fā)送給目的PDG,而且,在AAA服務(wù)器向目的PDG發(fā)送業(yè)務(wù)授權(quán)時,還可以將其它業(yè)務(wù)授權(quán)信息一起發(fā)送給目的PDG,所謂其它業(yè)務(wù)授權(quán)信息是指當(dāng)前請求業(yè)務(wù)WLAN用戶終端的相關(guān)用戶信息、認(rèn)證通過信息、授權(quán)WAPN等信息。當(dāng)然,所述的共享通信密鑰、授權(quán)WAPN等信息也可以分別獨立發(fā)送。
另外,AAA服務(wù)器向目的PDG發(fā)送信息的前提是目的PDG與AAA服務(wù)器之間已經(jīng)預(yù)先建立好相互信任的安全通道,該建立過程屬于現(xiàn)有技術(shù),比如可以采用預(yù)先設(shè)置共享密鑰,或是建立站到站設(shè)備間多個用戶共享的專用通道、或物理專線連接等多種方式,在此不再詳細(xì)描述。
步驟305WLAN用戶終端與目的PDG之間利用共享通信密鑰Ks進(jìn)行相互認(rèn)證和協(xié)商,建立相互的安全信任關(guān)系。一旦完成相互安全信任關(guān)系的建立,則目的PDG繼續(xù)為WLAN用戶終端分配隧道資源、協(xié)商相關(guān)參數(shù),完成安全業(yè)務(wù)數(shù)據(jù)隧道的建立,并為WLAN用戶終端提供所需的業(yè)務(wù)。這里所述分配隧道資源、協(xié)商相關(guān)參數(shù)的過程與VPN中隧道建立的過程類似,所述分配隧道資源是指分配隧道內(nèi)部用戶IP地址、隧道標(biāo)識、用戶信息存儲空間等資源,協(xié)商相關(guān)參數(shù)是指協(xié)商所用加密算法、協(xié)議版本等參數(shù)。如果未通過相互認(rèn)證,則結(jié)束當(dāng)前的隧道建立過程。這里所述的安全通信是指雙方都要對發(fā)出的數(shù)據(jù)利用共享通信密鑰加密,并且利用共享通信密鑰對收到的數(shù)據(jù)解密和檢驗。
如果步驟301中請求業(yè)務(wù)的WLAN用戶終端采用第一、或第三、或第四種情況到AAA服務(wù)器進(jìn)行認(rèn)證,則本步驟執(zhí)行之前,請求業(yè)務(wù)的WLAN用戶終端還要向目的PDG發(fā)送隧道建立請求。其中,目的PDG的地址,AAA服務(wù)器可以單獨或在發(fā)共享通信密鑰時一起發(fā)送給WLAN用戶終端。
本步驟中所提到的WLAN用戶終端與目的PDG雙方相互認(rèn)證協(xié)商建立安全信任關(guān)系時,是將共享通信密鑰Ks作為基礎(chǔ)預(yù)共享密鑰完成進(jìn)一步的協(xié)商操作。比如可利用現(xiàn)有的協(xié)議IKE、TLS等,將共享通信密鑰Ks作為這些協(xié)議的基礎(chǔ)預(yù)共享密鑰完成進(jìn)一步的協(xié)商操作。另外,也可以可以采用安全認(rèn)證機(jī)制,比如WLAN用戶終端和目的PDG先各自生成一個隨機(jī)數(shù),并分別利用自身生成的隨機(jī)數(shù)和Ks計算出各自的密鑰信息;在進(jìn)行安全認(rèn)證時,一方先利用對方的密鑰信息生成自身的鑒權(quán)密鑰,再根據(jù)雙方確定的數(shù)字簽名算法、自身生成的密鑰信息、自身生成的鑒權(quán)密鑰以及共享密鑰,計算出本次認(rèn)證過程中用于認(rèn)證的簽名字,并將計算出的簽名字和密鑰信息發(fā)給另一方,另一方再將計算出的自身當(dāng)前使用的簽名字和所收到的簽名字進(jìn)行比較,根據(jù)比較結(jié)果來確定對方是否為合法方。如果雙方均為合法方,則認(rèn)證成功;否則認(rèn)證失敗。
實施例一如圖4所示,在3GPP-WLAN互通網(wǎng)絡(luò)中,WLAN用戶終端A選擇接入某個業(yè)務(wù),根據(jù)業(yè)務(wù)名解析發(fā)現(xiàn)該業(yè)務(wù)由PDG提供,則PDG為WLAN用戶終端要連接的目的PDG,本實施例中,業(yè)務(wù)授權(quán)單元為3GPP AAA服務(wù)器。本實施例中,用戶終端A在接入WLAN網(wǎng)絡(luò)時,先經(jīng)由WLAN接入網(wǎng)與3GPP AAA服務(wù)器完成接入認(rèn)證和授權(quán),如步驟400所示。之后,當(dāng)WLAN用戶終端A請求PDG提供的業(yè)務(wù)時,WLAN用戶終端A與PDG之間的隧道建立過程包括以下步驟步驟401WLAN用戶終端A向PDG發(fā)送端到端隧道建立請求,該請求中包括用于認(rèn)證的用戶標(biāo)識、用戶簽約信息。
步驟402~403PDG收到端到端隧道建立請求后,將隧道建立請求中的認(rèn)證信息通過認(rèn)證授權(quán)請求轉(zhuǎn)發(fā)給3GPP AAA服務(wù)器;3GPP AAA服務(wù)器收到后,根據(jù)所收到的認(rèn)證信息對WLAN用戶終端A進(jìn)行認(rèn)證,并判斷認(rèn)證是否通過,本實施例中設(shè)定認(rèn)證通過。
步驟404~4053GPP AAA服務(wù)器根據(jù)預(yù)先設(shè)置的共享密鑰Kc生成WLAN用戶終端A與PDG進(jìn)行安全通信所用的共享通信密鑰Key,并將Key發(fā)送給PDG;同時,WLAN用戶終端A也根據(jù)預(yù)先設(shè)置的共享密鑰Kc生成共享通信密鑰。并且,3GPP AAA服務(wù)器向PDG發(fā)業(yè)務(wù)授權(quán)消息,允許PDG向WLAN用戶終端A提供業(yè)務(wù)。本實施例中,發(fā)送給PDG的Key放置在業(yè)務(wù)授權(quán)消息中,同時,業(yè)務(wù)授權(quán)消息中還包括授權(quán)WAPN等信息。
步驟406~407PDG向WLAN用戶終端A返回端到端隧道建立響應(yīng),并利用所獲得的Key為WLAN用戶終端A分配隧道資源、協(xié)商相關(guān)參數(shù),協(xié)商建立安全的業(yè)務(wù)數(shù)據(jù)隧道,為WLAN用戶終端A提供所請求的業(yè)務(wù)數(shù)據(jù)。在雙方傳輸數(shù)據(jù)過程中,各自利用所獲取的Key對隧道數(shù)據(jù)進(jìn)行加解密和檢驗。
實施例二如圖5所示,與實施例一的條件和實現(xiàn)過程基本類似,只是步驟501中WLAN用戶終端A向PDG發(fā)送的端到端隧道建立請求中攜帶有當(dāng)前擁有的證書或用于查詢證書的證書索引標(biāo)識;則步驟503中,3GPP AAA服務(wù)器根據(jù)自身記錄的信息或根據(jù)與證書服務(wù)系統(tǒng)交互獲取的信息,判斷WLAN用戶終端A當(dāng)前所擁有的證書是否有效,如果有效,則認(rèn)證通過;否則,認(rèn)證失敗。
實施例三如圖6所示,與實施例一的條件和實現(xiàn)過程基本類似,只是步驟601中WLAN用戶終端A向PDG發(fā)送的端到端隧道建立請求中攜帶有當(dāng)前擁有的共享秘密會話標(biāo)識(TID);則步驟603中,3GPP AAA服務(wù)器同時作為BSF功能實體,根據(jù)自身記錄的信息判斷所收到的TID是否有效,如果有效,則初步認(rèn)證通過,3GPP AAA服務(wù)器將TID和相關(guān)共享秘密信息發(fā)送給PDG,此時PDG作為GBA構(gòu)架下的NAF功能實體,PDG根據(jù)共享秘密信息與和用戶終端進(jìn)一步協(xié)商建立安全信任關(guān)系,其中共享秘密信息至少包含有Ks;否則,認(rèn)證失敗,用戶終端可能需要重新交互獲得TID。
以上所述,僅為本發(fā)明的較佳實施例而已,并非用來限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無線局域網(wǎng)WLAN中業(yè)務(wù)隧道建立的方法,其特征在于,該方法包括以下步驟a.業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證和授權(quán),并判斷認(rèn)證授權(quán)是否通過,如果未通過,則結(jié)束當(dāng)前隧道建立流程,如果通過,則生成包括用于當(dāng)前請求業(yè)務(wù)WLAN用戶終端與目的分組數(shù)據(jù)關(guān)口之間通信的共享通信密鑰在內(nèi)的業(yè)務(wù)授權(quán)信息;b.業(yè)務(wù)認(rèn)證授權(quán)單元將步驟a中生成的至少包括共享通信密鑰的業(yè)務(wù)授權(quán)信息發(fā)送給目的分組數(shù)據(jù)關(guān)口;c.目的分組數(shù)據(jù)關(guān)口根據(jù)所得到的共享通信密鑰與當(dāng)前請求業(yè)務(wù)的WLAN用戶終端協(xié)商建立安全信任關(guān)系,如果建立成功,則目的分組數(shù)據(jù)關(guān)口繼續(xù)為當(dāng)前請求業(yè)務(wù)的WLAN用戶終端分配隧道資源、協(xié)商參數(shù),完成隧道的建立;否則結(jié)束當(dāng)前隧道建立流程。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a11.所述WLAN用戶終端直接向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和自身標(biāo)識的認(rèn)證請求;a12.業(yè)務(wù)認(rèn)證授權(quán)單元收到認(rèn)證請求后,根據(jù)用戶標(biāo)識對當(dāng)前發(fā)起認(rèn)證請求的WLAN用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)鑒權(quán);a13.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識和用戶簽約信息確定所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a21.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有自身標(biāo)識的隧道建立請求;a22.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端標(biāo)識的認(rèn)證授權(quán)請求;a23.業(yè)務(wù)認(rèn)證授權(quán)單元收到認(rèn)證授權(quán)請求后,根據(jù)用戶標(biāo)識對當(dāng)前發(fā)起隧道建立請求的WLAN用戶終端進(jìn)行身份認(rèn)證和業(yè)務(wù)鑒權(quán)。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a31.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的標(biāo)識認(rèn)證通過的證書信息的認(rèn)證請求;a32.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識和用戶簽約信息確定所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的證書信息是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a41.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的標(biāo)識認(rèn)證通過的證書信息的隧道建立請求;a42.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端證書信息的認(rèn)證授權(quán)請求;a43.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的證書信息是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于,所述證書信息為WLAN用戶終端當(dāng)前擁有的證書,或為用于查詢WLAN用戶終端當(dāng)前擁有證書的證書索引標(biāo)識。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述證書信息為證書索引標(biāo)識時,所述判斷證書信息是否有效進(jìn)一步包括業(yè)務(wù)認(rèn)證授權(quán)單元先根據(jù)所收到的證書索引標(biāo)識查找WLAN用戶終端當(dāng)前擁有的證書,再判斷所查找到的證書是否有效。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a51.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的共享秘密會話標(biāo)識的認(rèn)證請求;a52.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識確定和用戶簽約信息所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的共享秘密會話標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a61.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的共享秘密會話標(biāo)識的隧道建立請求;a62.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端共享秘密會話標(biāo)識的認(rèn)證授權(quán)請求;a63.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的共享秘密會話標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a71.所述WLAN用戶終端向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的重認(rèn)證標(biāo)識的認(rèn)證請求;a72.業(yè)務(wù)認(rèn)證授權(quán)單元根據(jù)請求業(yè)務(wù)標(biāo)識確定和用戶簽約信息所述WLAN用戶終端所需連接的目的分組數(shù)據(jù)關(guān)口,并且,業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的重認(rèn)證標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
11.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟a中所述業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證進(jìn)一步包括a81.所述WLAN用戶終端向當(dāng)前請求業(yè)務(wù)所對應(yīng)的目的分組數(shù)據(jù)關(guān)口發(fā)送含有所請求業(yè)務(wù)標(biāo)識和當(dāng)前擁有的重認(rèn)證標(biāo)識的隧道建立請求;a82.所述目的分組數(shù)據(jù)關(guān)口收到隧道建立請求后,向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送含有發(fā)起請求WLAN用戶終端重認(rèn)證標(biāo)識的認(rèn)證授權(quán)請求;a83.業(yè)務(wù)認(rèn)證授權(quán)單元判斷所收到的重認(rèn)證標(biāo)識是否有效,如果有效,則認(rèn)證通過;否則認(rèn)證失敗。
12.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟b中業(yè)務(wù)認(rèn)證授權(quán)單元將共享通信密鑰發(fā)送給目的分組數(shù)據(jù)關(guān)口之前,進(jìn)一步包括目的分組數(shù)據(jù)關(guān)口向業(yè)務(wù)認(rèn)證授權(quán)單元發(fā)送業(yè)務(wù)授權(quán)請求,業(yè)務(wù)認(rèn)證授權(quán)單元收到業(yè)務(wù)授權(quán)請求后,將自身生成的共享通信密鑰及相關(guān)業(yè)務(wù)授權(quán)信息發(fā)送給目的分組數(shù)據(jù)關(guān)口。
13.根據(jù)權(quán)利要求2、4、8或10所述的方法,其特征在于,步驟b與步驟c之間進(jìn)一步包括當(dāng)前請求業(yè)務(wù)的WLAN用戶終端向目的分組數(shù)據(jù)關(guān)口發(fā)送隧道建立請求。
14.根據(jù)權(quán)利要求1至5任一項或8至12任一項所述的方法,其特征在于,所述業(yè)務(wù)認(rèn)證授權(quán)單元為認(rèn)證授權(quán)計費服務(wù)器。
15.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述業(yè)務(wù)認(rèn)證授權(quán)單元為3GPP AAA服務(wù)器。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)中業(yè)務(wù)隧道建立的方法,該方法包括業(yè)務(wù)認(rèn)證授權(quán)單元對當(dāng)前請求業(yè)務(wù)的WLAN用戶終端進(jìn)行認(rèn)證授權(quán),并判斷認(rèn)證授權(quán)是否通過,如果通過,則生成包括用于當(dāng)前請求業(yè)務(wù)、WLAN用戶終端與目的分組數(shù)據(jù)關(guān)口之間共享通信密鑰在內(nèi)的業(yè)務(wù)授權(quán)信息,否則結(jié)束當(dāng)前流程;業(yè)務(wù)認(rèn)證授權(quán)單元將生成的包括共享通信密鑰的業(yè)務(wù)授權(quán)信息發(fā)送給目的分組數(shù)據(jù)關(guān)口;目的分組數(shù)據(jù)關(guān)口根據(jù)所得到的共享通信密鑰與當(dāng)前請求業(yè)務(wù)的用戶終端協(xié)商建立安全信任關(guān)系,如果建立成功,則目的分組數(shù)據(jù)關(guān)口繼續(xù)為當(dāng)前請求業(yè)務(wù)的用戶終端分配隧道資源、協(xié)商參數(shù),完成隧道的建立;否則結(jié)束當(dāng)前流程。該方法使用戶終端與分組數(shù)據(jù)關(guān)口間能建立安全的業(yè)務(wù)數(shù)據(jù)隧道。
文檔編號H04L12/28GK1627753SQ200310118239
公開日2005年6月15日 申請日期2003年12月8日 優(yōu)先權(quán)日2003年12月8日
發(fā)明者張文林 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1